ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE ...
Transcript of ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE ...
ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN QUINTEC DE
COLOMBIA DE ACUERDO CON LA NORMA ISO/IEC 27001
JOHN ALEXANDER BELTRÁN BLANCO SONIA ESPERANZA CAMACHO NIETO JEFFERSON DAVID PEREIRA ORTIZ
DANNY HERNEY PIZA SEGURA CARLOS ANDRES FONSECA PEREZ
UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA PROGRAMA PROFESIONAL DE INGENIERIA DE SISTEMAS
BOGOTÁ 2011
2
ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN QUINTEC DE COLOMBIA DE ACUERDO CON LA NORMA
ISO/IEC 27001
JOHN ALEXANDER BELTRÁN BLANCO SONIA ESPERANZA CAMACHO NIETO JEFFERSON DAVID PEREIRA ORTIZ
DANNY HERNEY PIZA SEGURA CARLOS ANDRES FONSECA PEREZ
TRABAJO DE GRADO PARA OPTAR AL TITULO DE INGENIERO DE SIS-TEMAS
DIRECTOR GRUPO INVESTIGACIÓN INGENIERIA DE SISTEMAS (GIIS): ING. RAUL FABIAN ROLDAN
ASESOR: ING. ALIRIO GARCIA MARTINEZ
UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA PROGRAMA PROFESIONAL DE INGENIERIA DE SISTEMA
BOGOTÁ 2011
3
Los autores certifican que el trabajo presentado es de su autoría, para su ela-boración se han respetado las normas de citación de fuentes y ninguna copia textual supera las 400 palabras. Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por identidad. Los autores son responsables del contenido y de los juicios y opiniones emitidas. Se autoriza a los interesados, a consultar y reproducir parcialmente el conteni-do del trabajo de investigación titulado: ANALISIS Y DEFINICION DE PROCESOS PARA EL SISTEMA DE GESTION DE SEGURIDAD DE LA IN-FORMACION (SGSI) EN QUINTEC DE COLOMBIA DE ACUERDO A LA NORMA ISO/IEC 27001, dirigido por: Ing. ALIRIO GARCIA MARTINEZ, reali-zado por: JOHN ALEXANDER BELTRÁN BLANCO, SONIA ESPERANZA CAMACHO NIETO, JEFFERSON DAVID PEREIRA ORTIZ, DANNY HERNEY PIZA SEGURA y CARLOS ANDRES FONSECA PEREZ. Siempre que se haga la respectiva cita bibliográfica que dé crédito al trabajo y a sus autores, según normas ICONTEC.
4
Nota De Aceptación
________________________________ Firma Del Presidente Del Jurado
________________________________ Firma Del Jurado
________________________________ Firma Del Jurado Bogotá D.C 18-noviembre-2011
5
TABLA DE CONTENIDO
Pág.
RESUMEN Y PALABRAS CLAVES INTRODUCCIÓN 16 1. MARCO REFRENCIAL 19 1.2 Enfoque de calidad 22 2. DISEÑO METODOLOGICO 21 2.1 TIPO DE DISEÑO 21 2.3 HIPÓTESIS Y VARIABLES 23 2.3.1 Hipótesis 23 2.3.2 Variables 24 2.3.2.1 Independientes 24 2.3.2.2 Dependientes 24 2.3.2.3 Intervinientes 24 2.4 POBLACIÓN Y MUESTRA 24 2.4.1 Población 24 2.4.2 Muestra 24 2.5 INSTRUMENTOS 25 2.5.1Estadio Descriptivo 21 2.5.2 Estadio comparativo 21 2.5.3 Estadio interactivo 22 2.6 ASPECTOS ADMINISTRATIVOS 25 2.6.1 RECURSOS 25 2.6.2 Recursos Económicos 25 2.6.3 Recursos Humanos 26 2.6.4 Recursos Tecnológicos 26 3. RESULTADOS 27 4. CONCLUCIONES 38 5. RECOMENDACIONES 39 BIBLIOGRAFÍA ANEXOS
6
LISTA DE TABLAS
Pág. POLITICA DE SEGURIDAD 29 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN ORGANIZACIÓN SEGURIDAD DE LA INFORMACIÓN 30 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN GESTIÓN DE ACTIVOS 31 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN SEGURIDAD DE RR.HH 32 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN SEGURIDAD FISICA Y DEL ENTORNO 33 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN GESTIÓN DE COMUNICACIONES Y OPERACIONES 34 GESTIÓN DE COMUNICACIONES OPERACIONES PREGUNTAS DE RIESGOS Y PREVENCIÓN CONTROL DE ACCESO 35 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION ADQUISICIÓN MTO Y DESARROLLO DE SISTEMAS DE INFORMACIÓN 36 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION
7
LISTA DE FIGURAS
Pág.
Figura 1. Ciclo PHVA (Planificar, Hacer, Verificar y Actuar) 18 Figura 2. Procesos ISO/IEC 27001. 18 Figura 3. Controles Sub-sección: Organización Interna. 19 Figura 4. Controles Sub-sección: Partes Externas. 19 Figura 5. Controles Sub-sección: Resp. De activos y Clasificación de la infor-mación. 20 Figura 6. Controles Sub-sección: Antes contratación laboral, durante el contrato laboral y cambio contratación laboral. 20 Figura 7. Controles Sub-sección: Áreas seguras y seguridad de los equipos. 21
Figura 8. Controles Sub-sección: Responsabilidades y procedimientos de ope-ración, Gest. De la provisión de servicios, planificación y aceptación del sistema, protección contra el código malicioso, gestión seguridad redes, copias seguridad. 21 Figura 9. Controles Sub-sección: Manipulación de los soportes, intercambio de información, responsabilidades y procedimientos y supervisión. 22 Figura 10. Controles Sub-sección: Control de acceso, Acceso de usuarios, Responsabilidades usuario, acceso a la red. 22 Figura 11. Controles Sub-sección: Requisitos de seguridad de S.I, Procesa-miento correcto en las aplicaciones, controles criptográficos. 23 Figura 12. Controles Sub-sección: Seguridad archivos del sistemas, seguridad en desarrollo de SW y soporte, Vulnerabilidad técnica. 23 Figura 13. Controles Sub-sección: Reportes sobre eventos y debilidades de la seguridad de la info. Y Gestión de incidentes y mejoras en la seguridad de la info. 23 Figura 14. Controles Sub-sección: Aspectos de seguridad de la información, de la gestión de la continuidad del negocio. 24 Figura 15. Controles Sub-sección: Cumplimiento con los requisitos legales, cumplimiento de las políticas y normas de seguridad, consideraciones de audi-toría de S.I. 24
8
LISTA DE ANEXOS
Pág. Cheklist evaluativos 42
9
GLOSARIO
SGSI: Sistema de gestión de seguridad de la información, usado para dar una mejor organización y control de la información en las empresas, en pro de las actividades claves y del núcleo de las organizaciones. TIER: Es una clasificación que se asigna a los centros de datos, está actual-mente hasta el nivel 4, entre más alto sea el numero, más confiable, seguro y optimo será el Centro De Datos. ISO/IEC 27001: La norma técnica ISO27001, es la encargada de definir los parámetros para certificar un sistema de gestión de seguridad de la informa-ción, propios para los centros de datos y toda la estructura de información de las organizaciones. PHVA: es una metodología de calidad usada por la ISO en los procesos de cer-tificación, la cual consta en Planificar, Verificar, Hacer y Actuar. COBIT: Por sus siglas en ingles (Control Objetives for information and related technology), objetivos de control para tecnologías de información, son un con-junto y metodología de prácticas para la auditoría y control de los sistemas de información e infraestructura tecnológica, actualmente está en la versión 4.1, la cual cuenta con 34 objetivos que cubren 210 objetivos de control. ITIL: Por sus siglas en ingles (Information Technology Infrastructure library), o biblioteca de infraestructura de tecnologías de la información. Es una metodo-logía para las mejores prácticas en sistemas de computación e infraestructura tecnológica, aplicable a todas las organizaciones, la cual certifica personas más no a empresas, ya que a estas solo les da unos lineamientos y metodolog-ías para gestionar de manera adecuada los sistemas de información.
10
RESUMEN Por ser Quintec una empresa dedicada al servicio de almacenamiento de in-formación para terceros debe garantizar su servicio con altos estándares internacionales de calidad. Estándares con los que actualmente no cuenta y en este trabajo se pretende planificar y recomendar los procesos y controles nece-sarios para qué la empresa cuente y se prepare para la certificación en un SGSI, basado en la norma ISO/IEC27001. Teniendo como principal objetivo realizar un análisis de los controles actuales de la organización para evaluar con qué cuenta, frente a lo que requiere la norma, y específicamente dar las recomendaciones de mejoras a los mismos y que se deben implementar para alcanzar la certificación trabajando en el marco de calidad PHVA, COBIT 4.1 e ITIL V.3 para alcanzar la certificación. Para llevar a cabo estos objetivos se debe levantar información por medio de visitas y encuestas, posteriormente organizar la norma en listas de chequeo y evaluar la empresa, para finalmente elaborar un paralelo que muestre cuanto le falta para cumplir lo mínimo que exige la norma y por ultimo dar recomendacio-nes de lo que deben mejorar y como lo pueden hacer. Obteniendo como resultado información documentada, actualizada y estandari-zada de las gestiones a mejorar, los procesos a implementar y la forma de cómo hacerlo.
PALABRAS CLAVES GESTIÓN, SGSI, TIER, CENTRO DE DATOS, ISO/IEC 27001, PHVA, COBIT, ITIL
11
ABSTRAC This research work consists of planning and including the parameters that must be taken into account in order to implement a Security Management System ISMS of information for the data center QUINTEC LTDA, which is currently in TIER1, and to indicate the company what to do and how you can do it to get into a certification process under ISO / IEC 27001. The research problem was to analyze the importance that it has for the organi-zation from the commercial area, of customer services and administration as such, to have a properly certified data center and working under strict and high standards of quality. This research process was conducted by collecting information through sur-veys, visits and permanent contact with the facilities, workforce and processes carried out in the data center, working within the standard framework under the methodology PDCA (plan-do-check, Act), where our work covers planning, it was also worked whit ISO/IEC 27002, COBIT under standards and best metho-dology practices ITIL. This allowed us to develop the parameters whit, which it must be developed the methodology and give recommendations on how to obtain certification.
KEY WORDS
MANAGEMENT, ISMS, TIER, DATA CENTER, ISO/IEC 27001, PDCA, COBIT, ITIL
12
INTRODUCCIÓN La información es también un activo muy importante para las organizaciones, ya sea la clasificada como conocimiento para el desarrollo de sus productos o la de tipo financiero, contable y demás; razón por la cual los centros de datos se convierten en una buena opción para aquellas organizaciones que quieren reducir costos en infraestructura y personal de tecnología, y que son de activi-dad ajena al manejo de información. Quintec de Colombia S.A por tener clientes que prestan servicios a varios sectores de la economía, debe cumplir con estándares en seguridad de la información. Actualmente la compañía no cuenta con normas y/o controles mínimos que garanticen a sus clientes las políticas para una adecuada administración de la información. Clientes como Fedesarrollo, Cascabel, Impact, Prodesa deben presentar infor-mes anuales de como administran y controlan a sus proveedores de tecnología, encontrando que en la calificación su proveedor Quintec Colombia no cumple con los requerimientos mínimos en seguridad de la información. Quintec de Colombia S.A necesita realizar un análisis y levantamiento de in-formación que permita definir los procesos necesarios para establecer un sistema de gestión de seguridad de la información, en el tiempo justo para cumplir con los requerimientos de los clientes. Con este proceso de investigación se busca hacer recomendaciones de los procesos necesarios para alcanzar la debida certificación del centro de datos de Quintec Ltda. Con la implementación y puesta en marcha de un SGSI se puede lograr un control, respaldo y debido funcionamiento de los procesos del centro de datos de la compañía, hacerla empresa más competitiva y a su vez mostrar un “Plus” a los clientes que contratan el servicio; ya que los mismos exigen proveedores de servicios certificados por ser estas empresas de hidrocarburos, financieros entre otros sectores. Se pretende en primera instancia identificar los procesos críticos para el mane-jo de la información en el centro de datos de Quintec S.A, desde el momento en que se da el primer contacto con el cliente hasta el almacenamiento y ma-nejo de la información. Todo esto nos permitirá saber en qué puntos del estándar que exige ISO/IEC27001 para los sistemas de gestión de la informa-ción debemos basarnos y con qué normas exactamente podemos integrar esta misma. ¿Realizando un análisis a los procesos actuales, recomendado mejoras a los mismos y definiendo nuevos procesos al SGSI para el Centro De Datos de Quintec Colombia basados en la norma ISO/IEC 27001, se puede dejar listo el mismo para una certificación y mejor prestación del servicio en su centro de datos?
13
La finalidad de este proyecto es realizar un análisis del estado actual de la compañía en administración de información e infraestructura que permita identi-ficar los procesos necesarios para la certificación en la dicha norma. Realizar este análisis permitirá a la compañía preparar procesos propios del SGSI, en un corto tiempo con miras a la certificación, la cual permitirá que Quintec sea una compañía apta para prestar servicios de almacenamiento y procesamiento de información entre otros relacionados, y estar por encima o al mismo nivel de las demás empresas del sector. De acuerdo a los lineamientos corporativos con la casa matriz, la norma ISO/IEC 27001 cumple con los objetivos que la organización se ha planteado para prestación de servicios de TI y administración de la información a lo largo de toda su trayectoria desde 1980. La ISO/IEC 27001 es un estándar internacional de Sistemas de Gestión de Se-guridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integri-dad y la disponibilidad del valor de la información. La implementación de un SGSI para Quintec Colombia puede ser viable por y representar lo siguiente:
• Mejora del conocimiento de los sistemas de información, sus problemas y los medios de protección.
• Mejora de la disponibilidad de los materiales y datos. • Protección de la información. • Diferenciación sobre la competencia y mercado. • mayor oportunidad competitiva desde el punto de vista comercial para la
empresa, lo cual se verá reflejado en una mayor cantidad de clientes. • trabajar con altos estándares de calidad, lo cual dejara documentado,
establecido y parametrizado los procesos tecnológicos y administrativos de la organización.
En este proyecto tenemos como objetivo general realizar un análisis de los pro-cesos actuales y recomendar mejoras a los mismos, de igual forma definir controles que no existan actualmente en la organización para que posterior-mente puedan ser aplicados y dejar a la empresa preparada para una certificación de su Centro De Datos en ISO/IEC27001. Y de una manera específica, desarrollar paso a paso los siguientes objetivos:
• Identificar las mejoras que se deben aplicar a los procesos encontrados en la empresa con miras a la certificación.
• Identificar los procesos más críticos e importantes para el centro de da-
tos.
• Analizar los procesos actuales que se llevan a cabo en la Administración de la información que se maneja en el Centro De Datos.
14
• Identificar cuales con los procesos que se deben implementar con miras
a la certificación. Con este proyecto se pretende alcanzar, una planificación de las gestiones y procesos mínimos con los que debe contar el centro de datos para empezar un proceso de certificación, y también dar un balance y recomendaciones lo mas exactas posible de cómo está actualmente la empresa y como debe estar para alcanzar dicho proceso. También se debe estar precavido con los riesgos inherentes a dicho proceso, ya que podemos encontrar retraso en los procesos de entrevistas y evaluacio-nes por contratiempos de orígenes naturales o ajenos a la organización, también demora y errores al diseñar las métricas de evaluación debido a la in-experiencia de las personas que las realizan y a factores ajenos a esta. Aclarando que las limitaciones van, en no poder seguir el proceso de imple-mentación de certificación en la empresa por el tiempo corto del mismo proyecto, también nos vemos limitados en conseguir la información legal y normativa de certificación, ya que es material costoso y que se entrega en al-gunos casos con cursos y a personas calificadas en áreas de seguridad, procesos y controles informáticos.
15
1. MARCO REFERENCIAL
Las certificaciones generan mucho movimiento en las empresas, y es correcto que la certificación sea vista como una ventaja competitiva; pero a la hora de administrar y comprometer los tiempos del proyecto es importante ser realistas en función del alcance y de la calidad de la implementación. La forma en que se implementaran todos los sistemas de protección necesarios para los activos fijos y de información de la empresa, hace necesario también que haya una plena investigación con respecto a las fortalezas y debilidades dentro de los procesos internos de la empresa, así como también asegurar que por medio de esta certificación la empresa obtiene un beneficio el cual es poder brindar a todos sus usuarios la certeza de la seguridad de la información. Una certificación de ISO/IEC27001 conlleva a una inversión en hardware y ser-vicios asociados a la implementación de tecnologías; también es un proceso en donde se hace un análisis de los riesgos, del tiempo y de la forma en que se implementaran todos los sistemas de protección necesarios para los activos fijos y de información de la empresa, se hace necesario también que haya una plena investigación con respecto a las fortalezas y debilidades dentro de los procesos internos de la empresa, así como también asegurar qué por medio de esta certificación la empresa obtiene un beneficio el cual es poder brindar a todos sus usuarios la certeza de la seguridad de la información, por lo tanto se hace prescindible el uso del método PHVA en el cual enfocaremos este proyec-to particularmente, y específicamente en el proceso de planificación para poder brindar a la empresa una visión especifica de los riesgos y aspectos a mejorar para poder llegar a tener esta certificación de calidad. 1
1 Figura 1. Fuente: El Autor del texto
•Hacer revisiones periodicas a los procesos y al funcionamiento del sistema de gestión
•Aplicar las correcciones y las mejoras pertinentes encontradas en la verificación del mismo.
•Aplicar y operar el SGSI
•Definir los objetivos, el procedimiento y la forma de trabajar.
PLANIFICAR HACER
VERIFICARACTUAR
Figura 1. Ciclo PHVA (Planificar, Hacer, Verificar y Actuar)
16
La norma define actividades indispensables que son necesarias para imple-mentar un SGSI, tales como los procesos para obtener la certificación; y un ejemplo seria, las revisiones por medio de auditorías internas a la empresa. También es indispensable poner a consideración qué procesos del negocio se verán afectados en función del alcance, en cuanto a este mismo el objetivo es lograr que la empresa cuente con un estimado de tiempo y de requerimientos para adquirir su certificación. Se hace así indispensable nombrar procedimientos y procesos tanto en la im-plementación como en la utilización del día a día del sistema de gestión, es necesario también recurrir a la verificación de los documentos de los procesos, procedimientos, políticas, metodologías, entre otros para poder tener en es-pecífico un resultado óptimo del estado actual de la empresa y así poder brindar un soporte de recomendaciones y puntos a mejorar los cuales permitan garantizar en un futuro el objetivo final que es la certificación de ISO 27001, siendo este el punto a favor de la empresa para generar una mayor competiti-vidad comercial y en la dependencia de las TI, también generando un proceso continuo de mejora dentro de la empresa para la reducción de riesgos en el SGSI. 2 En este momento la compañía se encuentra en una etapa de ingreso al mundo de venta de servicios administrados, procesamiento y almacenamiento de in-formación, por esta razón se montó un centro de datos que cumpliera con todas las normas de infraestructura a nivel mundial y como un centro de datos tipo TIER 2 para servicios de datos, en la búsqueda constante de la mejora del servicio, requiere analizar sus procesos actuales y validarlos bajo las normas 27001 de seguridad con el fin de garantizar la correcta aplicación de procesos,
2http://www.iso27000.es/sgsi.html#section2a
Figura 2. Procesos ISO/IEC 27001
17
se han presentado fallas y no existen procedimientos claros de cómo proceder, ante las eventualidades presentadas como corte del servicio de energía, o caí-da de servicios críticos y la seguridad de la información por lo tanto se propone que con lo anteriormente nombrado se logre el objetivo de brindar una correcta planificación hacia una certificación de ISO 27001. 1.2 Enfoque de calidad Asegurar la calidad hace parte del control de calidad. Un sistema de calidad se centra principalmente en garantizar que una organización cumple con las es-pecificaciones establecidas previamente entre esta y el cliente, asegurando la calidad continua a lo largo del tiempo. Los principales enfoques que se manejan son los siguientes: Enfoque del cliente: todas las organizaciones dependen de los clientes y Quin-tec de Colombia se preocupa por comprender las demandas actuales y futuras de los mismos, satisfacer las demandas y esforzarse en rebasar sus expectati-vas. Ya que este proyecto está dirigido directamente al Centro De Datos que es donde se maneja toda la información del cliente obviamente es muy importante que cumpla con todos los requisitos, en este caso la norma ISO/IEC27001. Participación del personal: Son las personas que intervienen en todos los nive-les de organización como gerentes, coordinadores y a los mismos clientes, también están las personas directamente implicadas en el estudio de los pro-cesos que se analizaran para que Quintec de Colombia tenga la posibilidad de cambiar y así poder certificarse con la Norma. Enfoque en el proceso: se tiene que relacionar eficientemente todos los resul-tados de las investigaciones y los recursos con los que se cuenta para poder gestionar muy bien los procesos que aplican para Quintec de Colombia en cuanto a la norma ISO/IEC 27001. Gestión basada en los sistemas: Lograr la Identificación, comprensión y gestión a modo de sistemas de los procesos que interrelacionan con el manejo de la información de Quintec de Colombia, todo esto contribuye a la eficacia y la efi-ciencia de la organización a la hora de conseguir sus objetivos. Mejora continua: Buscando la mejora continua, de los procesos que nos com-peten para el funcionamiento de la organización para constituir un objetivo permanente de esta. Toma de decisiones basada en hechos: Esta se da después que se entreguen los informes del análisis del proceso de los cambios que se deben hacer para que Quintec de Colombia tome la decisión de certificarse con la norma ISO 27001 y así poder ser más competitivos.
18
ORGANIZACIÓN INTERNA
Compromiso de la dirección
con la seguridad de
la información
Coordinación de la
seguridad de la
información
Asignación de responsabilidades para la seguridad de
la información
Procesos de autorización
para los servicios de
procesamiento de información
Acuerdos sobre confidencialidad
Contacto con las
autoridades
Revisión independiente de la seguridad
de la información
PARTES EXTERNAS
Compromiso de la dirección con la seguridad de la
informaciónCoordinación de la
seguridad de la información
Asignación de responsabilidades para la
seguridad de la información
Para una correcta planificación se establece en la norma evaluar gestiones por procesos, y tener como objetivos identificar las mejoras que se deben aplicar a los procesos encontrados en la empresa que no cumplen con lo que indica la norma, todo esto con miras a la certificación3. PLANEACIÓN POR PROCESOS4. Organización De La Seguridad.
∴ Consolidar la seguridad de la información a través de una administración apropiada por parte de las gerencias, áreas, grupos e individuos asigna-dos a cada función.
5 Gestión De Activos De La Información.
3ISO/IEC27001E ISO/IEC27002 4Fuente: ISO/IEC 27002 5Fuente: El Autor
Figura 3. Controles Sub-sección: Organización Interna
Figura 4. Controles Sub-sección: Partes Externas
19
∴ Establecer mecanismos para garantizar la protección de los activos de información en todas sus formas y medios.
Seguridad En Recursos Humanos.
∴ Establecer mecanismos específicos para realizar un proceso de selec-ción que asegure el control adecuado de los empleados de QUINTEC y de este modo reducir el riesgo de errores humanos por falta de compe-tencias, el mal uso de equipamiento de la compañía, robo y fraude.
Figura 6. Controles Sub-sección: Antes contratación laboral, durante el contrato laboral y cambio contratación laboral.
Figura 5. Controles Sub-sección: Resp. De activos y Clasificación de la información
20
SEGURIDAD FÍSICA Y DEL
ENTORNO
Áreas seguras
Seguridad de los equipos
RESPONSABILIDADES Y PROCEDIMIENTOS
DE OPERACIÓN
Documentación de los
procedimientos de operación
Gestión de cambios
Responsabilidad de tareas
Separación de los recursos de
desarrollo prueba y
operación
PROTECCIÓN CONTRA EL CÓDIGO
MALICIOSO Y DESCARGABLE
Control contra el código malicioso
Controles contra el
código descargado en
el cliente
PLANIFICACIÓN Y ACEPTACIÓN DEL
SISTEMA
Gestión de capacidades
Aceptación del sistema
GESTIÓN DE LA PROVISIÓN DE SERVICIOS DE
TERCEROS
Prestacion de servicios
Monitoreo de los servicios
prestados por terceros
gestión del cambio en los
servicios prestados por
terceros
COPIAS DE SEGURIDAD
Copia de seguridad de la
información
GESTIÓN DE LA SEGURIDAD DE
LAS REDES
Controles de red
Seguridad de los servicios de
red
Seguridad Física Y Ambiental.
∴ Identificar las áreas seguras que protejan a los activos de la organiza-ción de acceso no autorizado, daño o interferencia.
∴ Definir una guía de trabajo para las mismas áreas.
Gestión De Operaciones Y Comunicaciones.
∴ Identificar y definir cada uno de los pasos, procedimientos, y equipos de computación y comunicación que permiten el desarrollo de las activida-des del centro de datos. También la forma en que se debe configurar cada uno de estos.
∴ Realizar un análisis de los procesos actuales y proponer mejoras a los mismos, de igual forma crear procesos que no existan actualmente en la organización buscando prepararla para una certificación de su datacen-ter en NTC/ISO 27001.
Figura 7. Controles Sub-sección: Áreas seguras y seguridad de los equipos.
Figura 8. Controles Sub-sección: Responsabilidades y procedimientos de operación, Gest. De la provisión de servicios, planificación y aceptación del sistema, protección contra el código malicioso, gestión seguridad redes, copias seguridad.
21
INTERCAMBIO DE INFORMACIÓN
Políticas y procedimientos de intercambio
de la información
Acuerdos de intercambio
Soportes físicos en transito
Mensajería electrónica
Sistemas de información
empresariales
MANIPULACIÓN DE LOS SOPORTES
Gestión de los soportes
extraíbles
Eliminación de los soportes
Procedimientos de manipulación
de la información
Seguridad de la documentación
del sistema
RESPONSABILIDADES Y PROCEDIMIENTOS
DE OPERACIÓN
Comercio electrónico
Transacciones en línea
Información públicamente
disponible
SUPERVISIÓN
Registros de auditoria
Supervisión del uso del sistemas
Protección de la información de
los registros
Registro de administración y
operación
Registro de fallos
Sincronización del reloj
REQUISITOS DEL NEGOCIO PARA EL
CONTROL DE ACCESO
Política de control de
acceso
GESTIÓN DEL ACCESO DE USUARIOS
Registro de Usuarios
Gestión de Privilegios
Gestión de contraseñas
para usuarios
Revisión de los derechos de acceso de los
usuarios
CONTROL DEACCESO A LA RED
Política de uso de los servicios
de red
Autenticación de usuarios para
conexiones externas
Identificación de los equipos en
las redes
Protección de los puertos de
configuración y diagnostico
remoto
Separación en las redes
Control de conexión a las
redes
Control de enrutamiento en
la red
RESPONSABILIDADES DEL USUARIO
Uso de contraseñas
Equipo de usuario
desatendido
Política de escritorio
despejado y de pantalla
despejada
Control De Acceso.
∴ Diseñar un plan de seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los derechos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos.
Figura 9. Controles Sub-sección: Manipulación de los soportes, intercambio de información, responsabilidades y procedi-mientos y supervisión.
Figura 10. Controles Sub-sección: Control de acceso, Acceso de usuarios, Responsabilidades usuario, acceso a la red.
22
REQUISITOS DE SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN
Análisis y especificación
de los requisitos de seguridad
CONTROLES CRIPTOGRÁFICOS
Política sobre el uso de controles
criptográficos
Gestión de claves
PROCESAMIENTO CORRECTO EN LAS
APLICACIONES
Validación de los datos de
entrada
Control de procesamiento
interno
Integridad del mensaje
Validación de los datos de
salida
SEGURIDAD EN LOS PROCESOS DE
DESARROLLO Y SOPORTE
Procedimientos de control de cambios
Revisión técnica de las aplicaciones después de los cambios en el
sistema operativo
Restricciones en los cambios a los paquetes
de software
Fuga de información
Desarrollo de software contratado
externamente
GESTIÓN DE LA VULNERABILIDAD
TÉCNICA
Control de las vulnerabilidades
tecnicas
Trabajo remoto
SEGURIDAD DE LOS ARCHIVOS DE
SISTEMA
El control del software operativo
Protección de los datos de prueba del sistema
Control de acceso al código fuente de los
programas
Adquisición Desarrollo Y Mantenimiento De Sistemas De Información.
∴ Asegurar una adecuada protección para el desarrollo, mantención y ad-quisición de los programas de aplicación que se utilizan para apoyar las funciones críticas del negocio.
Figura 11. Controles Sub-sección: Requisitos de seguridad de S.I, Procesamiento correcto en las aplicaciones, controles criptográficos.
Figura 12. Controles Sub-sección: Seguridad archivos del sistemas, seguridad en desarro-llo de SW y soporte, Vulnerabilidad técnica.
23
REPORTES SOBRE LOS EVENTOS Y DEBILIDADES DE LA SEGURIDAD DE LA
INFORMACION
Reportes sobre los eventos
Reportes sobre las debilidades
GESTION DE LOS INCIDENTES Y LAS
MEJORAS EN LA SEGURIDAD DE LA
INFORMACION
Responsabilidades y procedimientos
Aprendizaje debido a los incidentes en la
seguridad de la información
Recolección de evidencia
ASPECTOS DE SEGURIDAD DE LA INFORMACION, DE LA
GESTION DE LA CONTINUIDAD DEL
NEGOCIO
Inclusión de la seguridad de la
información en el proceso de gestión de continuidad del
negocio
Continuidad del negocio y
avaluación de riesgos
Desarrollo e implementación de planes
de continuidad que incluyen la seguridad de la
información
Estructura para la planificación de la
continuidad del negocio
Prueba, mantenimiento y reevaluación de
los planes de continuidad del
negocio
Gestión De Incidentes De Seguridad.
∴ Establecer procedimientos operativos para gestionar apropiadamente las gestiones de seguridad
Gestión De La Continuidad Del Negocio.
∴ Establecer medidas que mitiguen las interrupciones de las actividades calificadas como sensibles o críticas debido a los efectos de fallas o de-sastres y asegurar su restauración oportuna.
Figura 13. Controles Sub-sección: Reportes sobre eventos y debilidades de la seguridad de la info. Y Gestión de incidentes y mejoras en la seguridad de la info.
Figura 14. Controles Sub-sección: Aspectos de seguridad de la información, de la gestión de la continuidad del negocio.
24
CUMPLIMIENTO CON LOS REQUISITOS
LEGALES
Identificación de la legislación
aplicable
Derechos de propiedad
intelectual (DPI)
Protección de los registros de la organización
Protección de los datos y
privacidad de la información
personal
Prevención del uso inadecuado de los servicios
de procesamiento de la información
Reglamentación de los controles criptográficos
CUMPLIMIENTO DE LAS POLITICAS Y LAS
NORMAS DE SEGURIDAD Y CUMPLIMIENTO
TECNICO
Cumplimiento con las políticas y
normas de seguridad
Verificación de cumplimiento
técnico
CONSIDERACIONES DE AUDITORIA DE
SISTEMAS DE INFORMACION
Controles de auditoria de los
S.I.
Protección de las herramientas de auditoria de los
S.I.
Cumplimiento.
∴ Marcar las pautas para asegurar que todas las áreas y dependencias, dentro de la organización estén cumpliendo las políticas y procedimien-tos de seguridad. Además, esta política apunta a asegurar que los controles estén operando parar proteger apropiadamente los activos de información.
Análisis del riesgo: Este se encuentra evaluado según lo indica la versión de Cobit 4.1, también en las actividades criticas según la actividad de esta empresa. Matriz de riesgos:
RIEGOS DESASTRE NATURAL RIESGO POR ERROR HUMANO
UBICACIÓN Centro de datos Centro de datos COMO TRABAJARLO Basado ITILV3, COBIT 4.1 Basado ITILV3, COBIT 4.1
Figura 15. Controles Sub-sección: Cumplimiento con los requisitos legales, cum-plimiento de las políticas y normas de seguridad, consideraciones de auditoría de S.I
25
2. DISEÑO METODOLÓGICO
2.1 TIPO DE DISEÑO: La investigación para el análisis y definición de procesos para el sistema de gestión de seguridad de la información (SGSI) en Quintec de Colombia de acuerdo a la norma ISO/IEC 27001 se realizó bajo un estudio: exploratorio, tipo: cualitativo y cuantitativo, ya que arrojará datos que se pueden medir numéricamente y otros cualificarlos, es decir se puede medir la cantidad de procesos y riesgos que están incompletos en los diferentes controles de cada una de las gestiones. También se evaluó el proyecto en diferentes estadios. 2.2 HIPÓTESIS Y VARIABLES 2.2.1 Hipótesis:
• Con el análisis y definición de procesos bajo la norma ISO/IEC27001 el centro de datos puede mejorar su nivel competitivo frente a las demás empresas del sector y el mercado actual de procesamiento de informa-ción.
• El centro de datos puede alcanzar la certificación siguiendo las reco-mendaciones y mejoras dadas a los procesos actuales de la compañía.
• Pueden quedar establecidas políticas firmes, estándares y documenta-das para facilitar posteriormente las mejoras que necesite el SGSI.
• Los clientes podrán estar más seguros a la hora de adquirir los servicios de procesamiento y manejo de información.
• Los ingresos operacionales podrán disminuir y así obtener incremento
en las ganancias de los servicios ofrecidos. 2.2.2 Variables: 2.2.2.1 Independientes: Normas y Gestiones de certificación: ya que no se manea ni manipula su con-tenido, modificaciones o actualizaciones. 2.2.2.2 Dependientes: Recomendaciones a implementar: Ya que están completamente ligadas a lo que indique la norma. 2.2.2.3 Interviniente: Ente certificador: Ya que no se puede controlar los parámetros y la métrica de evaluación de este mismo.
26
Personas que implementaran el SGSI: ya que no se puede controlar la forma como trabajaran en esto. 2.3 POBLACIÓN Y MUESTRA: 2.3.1 POBLACIÓN: La población son todos aquellos centros de datos de la ciudad que tengan im-plementado o quieran contar con un SGSI. 2.3.2 MUESTRA: La muestra será el centro de datos de QUINTEC De Colombia S.A. 2.4 INSTRUMENTOS: Para el desarrollo de este proceso de investigación se utilizaron diferentes herramientas que permitieron trabajar y entregar una serie de recomendacio-nes. Las más importantes fueron las normas ISO/IEC 27001 e ISO/IEC 27002, las cuales se encuentran en la biblioteca universitaria y en el internet en el webside de la norma.6 También se trabajó COBIT 4.1 e ITIL V3, toda esta información fue obtenida en las diferentes direcciones de internet de dichas metodologías y mejores prácti-cas. Entonces con base a la norma ISO/IEC 27001 para saber qué controles eva-luar e implementar, en la norma ISO/IEC 27002 para saber cómo evaluar y aplicar los controles, y en COBIT 4.1 para hacer una evaluación basada en riesgo, y en ITIL V3 para reforzar los controles que exige la ISO/IEC27002 Para realizar la recolección de datos se requirió de la utilización 7 de encuestas en principio estructuradas para poder darle un camino a la investigación y sa-ber cuáles serán los requerimientos, una vez identificados, se armaron listas de checheo con los controles qué deberían cumplir y ahí evaluar con cuántos de estos cumplían. Esto para finalmente hacer una relación general de cuanto le falta al centro de datos para llegar a obtener una certificación y específicamente mostrar en que gestiones deben enfocarse; teniendo como un tope mínimo de cumplimiento el 80%.También se tuvieron en cuenta la interacción en diferentes estadios.
6http://www.iso27001.es 7Ver anexos, tabla de encuestas.
27
2.4.1 Estadio Descriptivo: Aquí se elabora un perfil de cómo se deberá prestar el servicio a cada uno de los clientes asociados a Quintec de Colombia S.A. que busca caracterizar el manejo que se le da a la información, los principales problemas tanto en la guía como en la administración de la información, tales como seguridad informática, seguridad física tanto de los empleados como de los elementos físicos, y más importante en el Centro De Datos que es donde se va a centrar la investiga-ción. La compañía actualmente no cuenta con normas y/o controles mínimos que garantice a sus clientes para una adecuada administración de la informa-ción. Los datos para la debida implementación se obtendrán mediante entrevistas con los directos implicados en el manejo de la información, así como los clien-tes que la manejan, para ver todos los procesos que implica el movimiento de la misma. Se realizara una primera reunión con los empresarios encargados del manejo de la información para presentar y socializar la importancia del pro-yecto para así poder medir los alcances de esta investigación que va a tener como base la norma ISO/IEC27001, así poder normalizar todos los procesos que allí se manejan, con la supervisión de los responsables de la investigación y los tutores que guían el proyecto. 2.4.2 Estadio comparativo Una vez analizada la información de cómo se manejan los procesos de admi-nistración de la información del Centro De Datos incluyendo a los clientes, se busca precisar semejanzas y diferencias entre ellas para analizar la norma ISO/IEC 27001 y cuales procesos son los que competen para así poder valorar qué se debería implementar o mejorar por parte de Quintec de Colombia. En este estadio se determinaran los procesos en los cuales Quintec de Colom-bia podría aplicar, ya que la norma ISO/IEC 27001 maneja 133 procesos y no todos aplican al proyecto, otro análisis es buscar constatar con que elementos se cuenta para trabajar, hasta qué niveles de acceso tenemos de investigación y que información se puede recolectar. También es necesario aplicar una reunión o encuesta con algunos de los clien-tes para observar el proceso completo del movimiento de la información desde que el cliente comienza a utilizarla hasta que llega al data center. 2.4.3 Estadio interactivo Este estadio es donde se dan las posibles soluciones entre los procesos que maneja la ISO/IEC 27001, y los procesos que competen a Quintec de Colom-bia. Estos procesos son estudiados y aplicados en un documento llamados “listas de chequeo “o check list, en donde se compara qué problemas se mane-jan y qué hay que mejorar basándose en los procesos ya aprobados en las normas ISO. Se busca elaborar un plan de acción con el objeto de dejar en las listas de chequeo lo que se puede aplicar en este proceso, mediante una dis-cusión y retroalimentación permanente con los gerentes y los directamente
28
implicados en el proceso de mejoramiento para la certificación en ISO/IEC 27001. Los planes de acción serán preparados conjuntamente con los empresarios, el grupo investigador y con la asesoría de los tutores del proyecto. Se tiene como base los diferentes procesos de la norma ISO/IEC27001 que aplican a la inves-tigación. 2.5 ASPECTOS ADMINISTRATIVOS 2.5.1 RECURSOS Para lograr todo el análisis y definición de los procesos y recomendaciones pa-ra el centro de datos de Quintec S.A es fundamental contar con recursos, económicos, humanos y tecnológicos. 2.5.2 Recursos Económicos Los recursos económicos serán reflejados en los aportes propios de los inte-grantes del proyecto. Y estos fueron necesarios para lograr el traslado hacia el centro de datos ubicado a las afuera de Bogotá D.C, también para hacer efecti-vas las reuniones de trabajo y la movilización hacia los lugares donde se podía encontrar información acerca de las normas, también para obtener acceso a internet desde cualquier sitio y usar servidores para sincronizar las modificacio-nes y avances que se realizaban al proyecto. 2.5.3 Recursos Humanos Los recursos Humanos estarán integrados por los integrantes del proyecto que pondrán a prueba los conocimientos adquiridos en las aulas de clase. Integran-tes: JOHN ALEXANDER BELTRÁN BLANCO, SONIA ESPERANZA CAMACHO NIETO, JEFFERSON DAVID PEREIRA ORTIZ, DANNY HERNEY PIZA SEGURA y CARLOS ANDRES FONSECA PEREZ. Además de contar con el apoyo de un tutor adjudicado por la universidad el Ing. ALIRIO GARCIA MARTINEZ. 2.5.4 Recursos Tecnológicos Estos recursos los constituyen todos los implementos tecnológicos como un computador ya sea laptop o desktop que cuente con el software ofimático ne-cesario para diagramar y organizar la información recolectada, también el conocimiento acerca de normas e infraestructura informática que tenga y ma-neje cada uno.
29
3. RESULTADOS
Al evaluar cada uno de los controles que tiene cada gestión de la norma ISO/IEC27001-2 se hizo una matriz clasificada por procesos y en riesgos, lo que permite medir en que porcentaje esta la organización, y qué tanto debe mejorar y empezar a implementar en su centro de datos. Esta matriz también nos permite entregar valores y recomendaciones puntuales. Basado en las normas y estándares internacionales se decidió como el 80% el porcentaje mínimo que debe alcanzar cada gestión para clasificarse como competente y acorde a la norma ISO/IEC27001-2. A continuación se muestran los resultados obtenidos a cada una de las gestiones. Cada proceso debe estar documentado, especificando el objetivo, el alcance y los documentos relacionados, también debe estar aprobado por las personas involucradas, bajo los métodos y las políticas establecidas. Se debe tener en cuenta al igual qué recursos se llegarían a usar, tanto financieros como huma-nos. Por último se encuentra el análisis y evaluación de los planes de acción reali-zados por los empresarios para hacer las modificaciones si quieren tener la certificación ISO 27001, y finalmente la presentación de resultados. CONSOLIDADO DE TODAS LAS RECOMENDACIONES ENTREGADAS POR CADA UNA DE LAS GESTIONES.
0
10
20
30
40
50
60
recomendaciones
11 107
9
23
13
52
17
6
15 16
POLITICA DE SEGURIDAD
ORGANIZACIÓN DE SEGURIDAD INFORMATICA
GESTION DE ACTIVOS
SEGURIDAD DE RR HH
SEGURIDAD FISICA Y DEL ENTORNO
GESTION DE LAS COMUNICACIONES
CONTROL DE ACCESO
ADQUISICION MANTENIMIENTO Y DESARROLLO DE SI
GESTION DE INCIDENTES Y MEJORAS
GESTION DE LA CONTINUIDAD
30
1. POLITICA DE SEGURIDAD:
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % Ideal. NO CUMPLE 88% CUMPLE 12% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Rótulos de fila % Ideal. NO CUMPLE 9% CUMPLE 91% Total general 100%
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Consolidar la seguridad de la información dentro de QUIN-TEC a través de una política definida que permita estandarizar la gestión segura de la información. Llevando a cabo estas recomendaciones para lograr la mejoría de la política de seguridad: CAMBIE SU CLAVE. Si un tercero ha generado su clave o bien, si usted la ha generado pero sospecha que la misma puede ser conocida por un tercero, cambie inmediatamente su clave. De no hacerlo, otras personas podr-ían actuar en nombre suyo. RECUERDE QUE LA CLAVE ES PERSONAL E INTRANSFERIBLE.
NO CUMPLE88%
CUMPLE12%
Preguntas de Control y Auditoria
NO CUMPLE9%
CUMPLE91%
Preguntas de Riesgo y Prevenciòn
31
2. ORGANIZACIÓN SEGURIDAD DE LA INFORMACIÓN: PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 20% Cumple 80% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Rótulos de fila % IDEAL2 No Cumple 74% Cumple 26% Total general 100%
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Consolidar la seguridad de la información dentro de QUIN-TEC a través de una administración apropiada por parte de las Gerencias, Áreas, grupos e individuos asignados a cada función. Llevando a cabo estas recomendaciones para lograr la mejoría de la organiza-ción de seguridad de la información: Esta política debe ser cumplida por todo el personal de Quintec y los
No Cumple20%
Cumple80%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple74%
Cumple26%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
32
Terceros autorizados para acceder a los activos y a las instalaciones de la organización. Revisar y proponer a la Gerencia de QUINTEC para su aprobación, la Política y las funciones generales en materia de seguridad de la informa-ción. 3. GESTIÓN DE ACTIVOS:
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 8% Cumple 92% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Rótulos de fila % IDEAL No Cumple 83% Cumple 17% Total general 100%
No Cumple8%
Cumple92%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple83%
Cumple17%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
33
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer los mecanismos para asegurar la protección de los activos de información en todas sus formas y medios, a través de un proceso de clasificación conforme a su sensibilidad e importancia. Llevando a cabo estas recomendaciones para lograr la mejoría de la ges-tión de activos: QUINTEC debe tener una persona encargada o un custodio de los activos cuando algunos de los empleados se encuentren ausentes sea por vacaciones, licencia, incapacidad, etc. Teniendo identificados los activos con sus datos más relevantes para tener control sobre ellos 4. SEGURIDAD DE RR.HH: PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 42% Cumple 58% Total general 100%
No Cumple42%
Cumple58%
PREGUNTAS DE CONTROL Y AUDITORIA
34
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Rótulos de fila % IDEAL2 No Cumple 23% Cumple 6% Total general 28%
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer mecanismos específicos para realizar un proceso de selección que asegure el control adecuado de potenciales empleados de QUINTEC y de Este modo reducir el riesgo de errores humanos por falta de competencias, el mal uso de equipamiento de la compañía o, robo y fraude. Llevando a cabo estas recomendaciones para lograr la mejoría de la segu-ridad de los RR.HH: Antes de la contratación laboral se deben tener estandarizado los documentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los empleados, los contratistas y usuarios de terceras partes, la conozcan y así no se caiga en los problemas de repetición de documentos.
No Cumple80%
Cumple20%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
35
5. SEGURIDAD FISICA Y DEL ENTORNO: PREGUNTAS DE CONTROL Y AUDITORIA
Etiquetas de fila % IDEAL No Cumple 87% Cumple 13% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Etiquetas de fila % IDEAL No Cumple 98% Cumple 2% Total general 100%
No Cumple87%
Cumple13%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple98%
Cumple2%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
36
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Impedir el acceso no autorizado, daños o interferencias a los acti-vos de información dentro de la organización. Llevando a cabo estas recomendaciones para lograr la mejoría de la seguri-dad física y del entorno: QUINTEC debe definir áreas seguras que protejan a los activos de información de acceso no autorizado, daño e interferencia. Además debe definir guías para trabajar en las áreas seguras. 6. GESTIÓN DE COMUNICACIONES Y OPERACIONES:
GESTIÓN DE COMUNICACIONES OPERACIONES
Etiquetas de fila % IDEAL No Cumple 64% Cumple 36% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Etiquetas de fila % IDEAL No Cumple 68% Cumple 32% Total general 100%
No Cumple64%
Cumple36%
GESTIÓN DE COMUNICACIONES OPERACIONES
No Cumple
68%
Cumple32%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
37
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer procedimientos operativos para la administración de sistemas informáticos que aseguren la calidad de los procesos que se imple-mentan en el ámbito operativo, a fin de minimizar los riesgos de pérdida de confidencialidad, integridad y disponibilidad de la información. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de comunicaciones y operaciones: Se deben establecer responsabilidades y pro-cedimientos formales para la gestión y operación de los equipos de cómputo y sistemas de información. Además se deben desarrollar instrucciones de opera-ción apropiadas y procedimientos de respuesta a incidentes para cada uno de estos sistemas. 7. CONTROL DE ACCESO: PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 96,94% Cumple 3,06% Total general 100%
No Cumple97%
Cumple3%
PREGUNTAS DE CONTROL Y AUDITORIA
38
PREGUNTAS DE RIESGOS Y PREVENCION
Rótulos de fila % IDEAL No Cumple 97,27% Cumple 2,73% Total general 100%
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Proporcionar seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos de información de QUINTEC, a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los dere-chos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos; también tiene como objetivo definir políti-ca para el manejo de contraseñas de usuarios con privilegio de administración en los Sistemas Operativos administrados por el DataCenter Quintec. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de control de acceso: los empleados están autorizados a acceder a la información clasificada según sus responsabilidades y funciones propias de su cargo apli-cando el principio de privilegio de acceso mínimo, es decir, a cada usuario debe autorizársele únicamente el nivel de acceso necesario para cumplir con sus funciones.
No Cumple97%
Cumple3%
PREGUNTAS DE RIESGOS Y PREVENCION
39
8. ADQUISICIÓN, MTO Y DESARROLLO DE SISTEMAS DE INFO: PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL
No Cumple 73%
Cumple 27%
Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION
Rótulos de fila % IDEAL
No Cumple 93%
Cumple 7%
Total general 100%
No Cumple73%
Cumple27%
PREGUNTAS DE CONTROL Y AUDITORIA
40
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: asegurar una adecuada protección para el desarrollo, man-tención y adquisición de los programas de aplicación de QUINTEC que se utilizan para apoyar las funciones críticas del negocio. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de adquisición, mantenimiento y desarrollo de los sistemas de información: debe estar incorporada en los sistemas de información, esto incluye la infra-estructura, las aplicaciones de negocio, tanto adquiridas como desarrolladas internamente. 9. GESTIÓN DE LOS INCIDENTES Y MEJORAS:
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 30% Cumple 70% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION
Rótulos de fila % IDEAL No Cumple 92% Cumple 8% Total general 100%
41
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: establecer procedimientos operativos para gestionar apropiada-mente las debilidades y eventos de seguridad. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de los incidentes y mejoras en la seguridad de la información: todos los em-pleados, terceros y contratistas de QUINTEC deben conocer los mecanismos para reportar un incidente de Seguridad de Información. Es un deber reportar un incidente que pudiera afectar a los activos de información de QUINTEC. 10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. PREGUNTAS DE CONTROL Y AUDITORIA Rótulos de fila % IDEAL1 (GDC) NO 23 SI 19 (en blanco) 2 Total general 44
PREGUNTAS DE RIESGOS Y PREVENCIÓN Rótulos de fila % IDEAL2 (GDC) NO 0 SI 37,52 (en blanco)
Total general 37,52
42
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer medidas que mitiguen las interrupcio-nes de las actividades calificadas como sensibles o críticas de QUINTEC debido a los efectos de fallas o desastres y asegurar su restauración opor-tuna. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de la continuidad del negocio: QUINTEC debe preparar, actualizar y probar periódicamente (al menos dos veces al año) los planes de continuidad del negocio que provean las acciones alternativas que los empleados realizarán para mantener la continuidad de las operaciones en el caso de que se pro-duzca una interrupción de las actividades regulares. 11. CUMPLIMIENTO:
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL No Cumple 54% Cumple 46% Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION
Rótulos de fila % IDEAL No Cumple 95% Cumple 5% Total general 100%
43
Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: asegurar que todas las áreas y dependencias, dentro de la organización estén cumpliendo las políticas y procedimientos de se-guridad. Además, esta política apunta a asegurar que los controles estén operando parar proteger apropiadamente los activos de información. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión del cumplimiento: QUINTEC debe identificar y documentar todos los requeri-mientos legales, estatutos, regulaciones y requerimientos contractuales que afectan a los sistemas de información de la organización. Los servicios realiza-dos sobre los sistemas en producción de QUINTEC deben ser realizados por proveedores especializados, asociaciones profesionales, agencias de gobierno o grupos legítimos y confiables.
RESULTADOS TOTALES DEL CENTRO DE DATOS CON RESPECTO A TODAS LAS GESTIONES:
44
4. CONCLUCIONES Con el análisis y desarrollo de procesos para el centro de datos de Quintec, se puede concluir que para llevar a cabo esta labor es necesario, trabajar bajo normas actuales preferiblemente las publicadas por los organismos de acredi-tación y certificación como la ISO y demás, ya que si se basa el trabajo en normas no oficiales encontradas en otros textos o internet, la información pue-de ser muy vaga. También es fundamental saber entender las actividades principales de la orga-nización sobre la cual se va aplicar dicha norma, ya que así mismo se podrá guiar y orientar el trabajo y las diferentes recomendaciones. Las herramientas que permitieron dar estas recomendaciones se encuentran como anexos al final del documento.
39
5. RECOMENDACIONES A nivel institucional se recomienda adquirir normas y material necesario para trabajar dicho proceso. También se recomienda realizar documentos donde se deje plasmado el al-cance, limitaciones y tiempo de entregas de los diferentes procesos que incurren en dicha actividad. Ahora, las recomendaciones propias de la investigación al centro de datos se observan en los anexos.
40
6. BIBLIOGRAFÍA INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC-ISO/IEC colombiana ISO 27001: técnicas de seguridad sistemas de gestión de la seguridad de la información (SGSI) requisitos, Bogotá: biblioteca fundación universitaria pana-mericana julio 5 2011: paginación (658.568 i57ant ejemplar 1) INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC-ISO/IEC colombiana ISO 27002: técnicas de seguridad sistemas código de práctica para la gestión de la seguridad de la información, Bogotá Noviembre 16 2007. PiattiniVelthuis, Mario Gerardo y Fernando Hervada: Auditoria de tecnologías y sistemas de información: Madrid (España): Editorial Rama: Editado por ISACA® Capítulo de Madrid en el año 2007. SoftManagement Copyright 2011 © All rigths reserved, testimonios: Implementación ISO 27001 en el BANCO DE LA REPUBLICA DE COLOMBIA: 13 de junio de 2011, http://www.softmanagement.com.co/soft/index.php?option=com_content&view=article&id=60&Itemid=61&lang=co INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC/ 555 colombiana, ministerio de Educación Nacional República de Colombia: Sis-tema de gestión de la calidad para instituciones de formación para el trabajo: 12 de Diciembre 2007, http://www.mineducacion.gov.co/1621/articles-157089_archivo_pdf_NTC_5555.pdf UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS: AGIP VALVERDE, JOHANNA, ANDRADE SÁNCHEZ, FABIOLA EVELYN Lima, Perú TESIS GESTIÓN POR PROCESOS (BPM) USANDO MEJORACONTINUA Y REIN-GENIERÍA DE PROCESOS DE NEGOCIO, 2007 http://es.scribd.com/doc/61518548/9/Modelo-Ciclo-de-Deming-PHVA SISTEMAS DE GESTIÓN DE LA CALIDAD: UN CAMINO HACIA LA SATIS-FACCIÓN DEL CLIENTE: GESTIONPOLIS.COM: Autor: Rafael José Mateo: Gestión de la calidad 02-03-2010http://www.gestiopolis.com/administracion-estrategia/sistemas-gestion-calidad-satisfaccion-cliente.htm GUIA DE DIAGNOSTICO PARA IMPLEMENTAR EL SISTEMA DE GESTIÓN DE LA CALIDAD EN LA GESTIÓN PUBLICA NTCGP 1000:2004: Departamen-to Administrativo de la función pública dirección de control interno y racionalización de tramites Bogotá septiembre 2006 http://portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=408 Official Sites: Best Management Practice ITILV3: Copyright © 2007-11 APM Group LtdCo-pyright © 2007-11 APM Group LtdAll rights reserved Registered in England No. 2861902http://www.itil-officialsite.com/
41
ANEXOS
ANEXO A: RECOMENDACIONES A LAS POLITICAS DE QUINTEC (VER CARPETA RECOMENDACIONES) ANEXO B: METRICAS DE EVALUACIÓN A LAS POLITICAS DE QUINTEC (VER CARPETA EVALUACIÓN POLITICAS)
42
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. ALCANCE Y RECOMENDACIONES ALCANCE:
• Consolidar la seguridad de la información dentro de QUINTEC a
través de una política definida que permita estandarizar la gestión segu-ra de la información.
• Definir en forma clara los estados de seguridad de la información y la infraestructura de la organización.
RECOMENDACIONES:
Esta política debe ser cumplida por todo el personal de Quintec y los Terce-ros autorizados para acceder a las instalaciones y administración de la información y servidores que residen en el Datacenter.
• CAMBIE SU CLAVE. Si un tercero ha generado su clave o bien, si usted
la ha generado pero sospecha que la misma puede ser conocida por un tercero, cambie inmediatamente su clave. De no hacerlo, otras personas podrían actuar en nombre suyo. RECUERDE QUE LA CLAVE ES PER-SONAL E INTRANSFERIBLE.
• Seleccione una clave fácil de recordar y evite las fácilmente deducibles. Evite utilizar contraseñas vinculadas con fechas de cumpleaños, núme-ros de cuentas, números de documentos, datos personales, caracteres repetitivos o secuencias lógicas.
• Memorice su contraseña y manténgala en secreto. No la guarde en
emails ni en ningún otro tipo de archivo. No la anote en lugares visibles o de fácil acceso, ni haga un documento del tipo claves.doc.
• No la divulgue. Recuerde su contraseña y no la divulgue. La misma es PERSONAL e INTRANSFERIBLE. Bajo ninguna circunstancia informe su contraseña a otra persona.
• Diferencie su contraseña. No utilice la misma clave para diferentes ser-vicios de Internet.
Tipo: Política Gerencia: Quintec Páginas: PQ - 4 Documento: QSGSI-POL-01 Clasificación: Uso Interno
43
• Sea cuidadoso en el uso del Correo electrónico: Deshabilite la visualiza-ción automática de mensajes del programa de correo. Borre los mensajes con asuntos o remitentes extraños o bien que contengan ar-chivos con extensiones .exe, .scr o .zip. Éstos pueden ser programas que roben información. Puede verificar la dirección del remitente si tiene dudas, pasando el cursor del mouse sobre los links del mail. Podrá ver las direcciones en la barra inferior de la pantalla.
• Instale y mantenga actualizado el software de su equipo: Firewall: Es un software que lo protege de posibles ataques desde Internet. Actualiza-ciones del Sistema Operativo: Ayudan a proteger su computadora de vulnerabilidades, a medida que aparecen. Antivirus: Ayuda a proteger a su computadora contra los virus, gusanos, troyanos y otros invasores no deseados, que pueden afectar al correcto funcionamiento de su compu-tadora.
• Sea cuidadoso en el uso del Correo electrónico: Deshabilite la visualiza-ción automática de mensajes del programa de correo. Borre los mensajes con asuntos o remitentes extraños o bien que contengan ar-chivos con extensiones .exe, .scr o .zip. Éstos pueden ser programas que roben información. Puede verificar la dirección del remitente si tiene dudas, pasando el cursor del mouse sobre los links del mail. Podrá ver las direcciones en la barra inferior de la pantalla.
• Desconfíe y no responda los mensajes que solicitan datos confidencia-
les. Nunca responda correos electrónicos que le soliciten información personal, claves, actualización de datos o bien que le avisan de un su-puesto problema. Este tipo de mensajes son fraudulentos y responden a una técnica denominada “Phishing”. Su único objetivo es obtener su in-formación personal. Si usted no está seguro de la legitimidad de un correo electrónico, trate de verificarlo telefónicamente contactando direc-tamente a la entidad que lo haya enviado.
• Verifique la autenticidad y seguridad del Sitio. Antes de ingresar infor-mación confidencial (usuario y contraseña), verifique que se encuentra en un sitio seguro. Para esto hay que tener en cuenta que: La dirección Web debe comenzar con https://, en lugar de http://. (En la barra horizon-tal superior) En la parte inferior del navegador (barra de estado), debe aparecer un candado amarillo cerrado: Al hacer doble clic sobre él, apa-recerá el certificado de autenticidad donde podrá verificar la validez/vigencia del certificado. No introduzca información personal ni fi-nanciera en ventanas emergentes, ya que no hay modo de comprobar el certificado de seguridad.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
44
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
DOCUMENTOS RELACIONADOS
Código Nombre Documento Relacionado
QSGSI-POL-10 Gestion de Seguridad de la Información AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
2 22 Octubre 2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-01 Versión: 01 FechadeVigencia:01/12/2011
Páginas 3
45
POLÍTICA DE ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:
• Consolidar la seguridad de la información dentro de QUINTEC a
través de una administración apropiada por parte de las Gerencias, Áreas, grupos e individuos asignados a cada función.
• Definir en forma clara las responsabilidades de cada funcionario en el contexto de la seguridad de la información.
• Mantener la seguridad de las instalaciones donde se procesa informa-
ción de la organización y de los activos accedidos por terceras partes.
RECOMENDACIONES:
• Esta política debe ser cumplida por todo el personal de Quintec y los Terceros autorizados para acceder a los activos y a las instalacio-nes de la organización.
• Revisar y proponer a la Gerencia de QUINTEC para su aprobación, la
Política y las funciones generales en materia de seguridad de la infor-mación.
• Acordar y aprobar metodologías y procesos específicos.
• Evaluar y coordinar la implementación de controles específicos.
• Acordar y aprobar políticas, procedimientos y normas específicas rela-tivas a la seguridad de la Información.
• Coordinar el análisis de riesgos, planes de contingencia y prevención de desastres.
• Garantizar que la seguridad sea parte del proceso de planificación es-tratégica de la Institución.
• Evaluar y coordinar la implementación de la presente política de segu-ridad.
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-02 Clasificación: Uso Interno
46
• Promover la difusión y apoyo a la seguridad de la información dentro de la Institución.
• Evaluar y revisar la situación de la Institución respecto de la seguridad de la información, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.
• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
47
DOCUMENTOS RELACIONADOS
Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltrán Blanco. Danny H. Piza Segura. Carlos Andrés Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DEMODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-02 Versión: 01 FechadeVigencia:01/12/2011
Páginas 3
48
POLÍTICA DE GESTIÓN DE ACTIVOS DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:
• Establecer los mecanismos para asegurar la protección de los acti-
vos de información en todas sus formas y medios, a través de un proceso de clasificación conforme a su sensibilidad e importancia.
• Mantener un adecuado nivel de protección de los activos de infor-
mación mediante la asignación de Propietarios de la Información a todos los activos de información críticos.
• Definir pautas generales para asegurar una adecuada clasificación y
control de la información. RECOMENDACIONES: • Las disposiciones contenidas en la presente política, son de aplicación
obligatoria para todas las áreas y personal de QUINTEC. Tanto los usuarios de Quintec como los de las empresas contratistas y terceros, deberán cumplir estrictamente lo establecido en la presente Política.
• QUINTEC debe tener una persona encargada o un custodio de los activos cuando algunos de los empleados se encuentren ausentes sea por vacacio-nes, licencia, incapacidad, etc. Teniendo identificados los activos con sus datos más relevantes para tener control sobre ellos
• Se debe tener una base actualizada donde muestre los activos asignados a
cada empleado con las características más relevantes del mismo. Y debe mantenerse actualizado permanentemente.
• Se debe realizar un documento donde especifique las políticas de cómo se
deben manejar todos los activos de la compañía. Así mismo dársela a co-nocer a todos los empleados de la compañía y que firmen un documento por enterado de que se les explico cuáles son estas políticas.
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-03 Clasificación: Uso Interno
49
• Se debe realizar un documento donde especifique las políticas de cómo se
deben manejar todos los activos Móviles de la compañía, como los son ce-lulares portátiles, cámaras, etc. Así mismo dársela a conocer a todos los empleados de la compañía y que firmen un documento por enterado de que se les explico cuáles son estas políticas
• Cada jefe de área debe tener unas políticas específicas que solo le aplican
al departamento al cual está a cargo. • La información debe estar clasificada según su importancia, ya sea por su
valor, término legal o que sea de mucha importancia para QUINTEC. Al igual se debe restringir el acceso a esta información solo a las personas au-torizadas ya que esta información no se puede filtrar.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
50
DOCUMENTOS RELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltrán Blanco. Danny H. Piza Segura. Carlos Andrés Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSIÓN CREADO POR DESCRIPCIÓN DE LA MODIFICACIÓN
Documento: QSGSI-POL-03
Versión: 01 Fecha deVigencia:01/12/2011
Páginas 3
51
POLÍTICA DE SEGURIDAD DE LOS RECURSOS HUMANOS
ALCANCE Y RECOMENDACIONES ALCANCE:
• Establecer mecanismos específicos para realizar un proceso de se-lección que asegure el control adecuado de potenciales empleados de QUINTEC y de Este modo reducir el riesgo de errores humanos por falta de competencias, el mal uso de equipamiento de la com-pañía o, robo y fraude.
• Reducir los daños ocasionados por incidentes de seguridad y mal funcionamiento de las medidas de control asociadas a la Con-tratación, desempeño y desvinculación del personal.
• Asegurar que los empleados, contratistas y terceros estén
conscientes de las amenazas de la seguridad de la información y que se comprometan al cumplimiento de política de seguridad de la información en la organización, durante el desempeño de sus labo-res.
RECOMENDACIONES:
• Esta política debe ser cumplida por todo el personal de QUINTEC y los terceros autorizados para acceder a los activos y a las instala-ciones de la organización.
• Antes de la contratación laboral se deben tener estandarizado los docu-mentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los emplea-dos, los contratistas y usuarios de terceras partes, la conozcan y así no se caiga en los problemas de repetición de documentos.
• Antes de la contratación Se debe tener un especial cuidado de orden y control de acceso a estos documentos para no tener pérdidas de infor-mación de los documentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los empleados, los contratistas y usuarios de terceras partes.
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-04 Clasificación: Uso Interno
52
• Los empleados de recursos humanos deben estar actualizados sobre las
legislaciones para así tenerlas en cuenta en el momento de la selección del empleado, contratista o usuario de terceras partes
• Se debe tener en cuenta la protección y privacidad de los datos de los usuarios que se postulan a los cargos ya sea para empleados, contratis-tas o usuarios de terceras partes.
• Los encargados de la dirección deben buscar la manera de que los em-pleados y contratistas que estén dentro de la vigencia laboral apliquen los procedimientos y políticas establecidos por la compañía.
• Es necesario que antes que comience a laboral plenamente en su cargo un empleado o un contratista se les brinde una capacitación a todos los procedimientos y políticas de la entidad, así mismo se debe pues organi-zar las capacitaciones también por su función desempeñada, es decir, una solución podría ser que una persona de cada departamento le expli-cara el funcionamiento de cada área y de las funciones que deba desempeñar.
• Se debe organizar un método de entrega para todos los empleados, con-tratistas y usuarios a terceros, cuando su contrato laboral ya haya finalizado, formalizar y revisar que todos los activos y objetos a su cargo durante la contratación laboral, entre estos están el Software, documen-tos, equipos, etc.
• Si el empleado, contratista o usuario de terceras partes es quien se va a
retirar de la empresa, es decir que sea decisión suya, preferible que to-dos los accesos a la información o procesos de la información les sean retirados antes de su terminación de contrato o acuerdo. Para así evitar inconvenientes de seguridad, filtrado de información
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
53
DOCUMENTOS RELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltrán Blanco. Danny H. Piza Segura. Carlos Andrés Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSIÓN CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-04 Versión: 01 Fecha deVigencia:01/12/2011
Páginas 3
54
POLÍTICA DE SEGURIDAD FISICA Y DEL ENTORNO
ALCANCE Y RECOMENDACIONES ALCANCE:
• Impedir el acceso no autorizado, daños o interferencias a los activos de in-
formación dentro de la organización. • Evitar el robo y/o hurto de activos de información y de los equipos que la
procesan • Implementar medidas para proteger la información manejada por el per-
sonal en el marco de sus labores habituales RECOMENDACIONES: • Esta política debe ser cumplida por todo el personal de QUINTEC
y los terceros autorizados para acceder a los activos y a las instalacio-nes de la organización
• QUINTEC debe definir áreas seguras que protejan a los activos de infor-
mación de acceso no autorizado, daño e interferencia. Además debe definir guías para trabajar en las áreas seguras.
• Disponer de un registro actualizado de los sitios protegidos, indicando:
O Identificación del edificio y área. O Principales activos de información a proteger. O Medidas de protección física
• QUINTEC debe establecer controles que protejan a la información y a los activos físicos que la procesan, de la divulgación, modificación o robo por personas no autorizadas.
• QUINTEC debe establecer controles que protejan a la información y a los activos físicos que la procesan, de la divulgación, modificación o robo por personas no autorizadas
• Sólo personal autorizado puede brindar mantenimiento y llevar a cabo
reparaciones en el equipamiento y utilizar los elementos de protección per-sonal necesarios según el tipo de actividad a realizar.
Tipo: Política Gerencia: Quintec Páginas: PQ-4 Documento: QSGSI-POL-01 Clasificación: Uso Interno
55
• Fabricante y con la autorización formal del responsable del área de Infraes-
tructura de QUINTEC. El área de Infraestructura mantendrá un listado actualizado del equipamiento con el detalle de la frecuencia en que se reali-zará el mantenimiento preventivo.
• Los equipos no deben salir de las instalaciones de QUINTEC sin la debida
autorización.
• Se deben tomar medidas de seguridad para el equipamiento que se utilice para trabajar fuera de la organización tomando en cuenta los diferentes riesgos asociados.
• Todos los medios de almacenamiento o equipos que sean dados de baja o
reutilizados deben ser revisados para asegurar que cualquier dato sensible y licencias de software son removidos con procedimientos adecuados.
• Todos los empleados de QUINTEC deberán portar su credencial corporativa
en un lugar visible durante toda su permanencia en las instalaciones.
• Supervisar e inspeccionar a los visitantes a áreas protegidas, registrando fecha y horario de ingreso y egreso. Sólo se permitirá el acceso mediando propósitos específicos y autorizados e instruyéndole al visitante en el mo-mento de ingreso sobre los requerimientos de seguridad del área y los procedimientos de emergencia.
• Toda persona externa, que transite por instalaciones de QUINTEC, debe
exhibir en un lugar visible una identificación que indique su calidad de visita.
• Toda persona externa deberá ser escoltada por un empleado de QUIN-TEC desde el punto de ingreso hasta su destino dentro del edificio, del mismo modo cuando se retire.
• Es política de Quintec que se mantenga el escritorio de trabajo físico y
computacional libre de documentos o información sensible del negocio y/o de clientes. Esto considera también el orden y limpieza de las áreas de trabajo.
• Guardar documentos, discos externos y computadores portátiles en cajo-nes con llave.
• Asegurar físicamente computadores portátiles con Guayas de
seguridad.
56
• No publicar documentos o datos sensibles, por ejemplo:
* Nombre de Usuario y Passports * Direcciones IP * Contratos * Números de Cuenta * Listas o datos de Clientes * Propiedad Intelectual * Datos de Empleados.
• La información sensible o crítica de la empresa debe guardarse bajo llave (preferentemente en caja fuerte o gabinete a prueba de incendios) cuando no está en uso, especialmente cuando no hay personal en la oficina.
• Se deben protegerlos puntos de recepción y envío de correo y las máqui-nas fax, fotocopiadoras e impresoras no atendidas. La información sensible o confidencial, una vez impresa, fotocopiada o trasmitida, debe ser retirada.
• Los reportes o impresiones que tengan información confidencial deben
ser destruidos antes de tirarlos en depósitos de basuras.
• Es deber de todos los empleados de QUINTEC observar y fiscalizar el cumplimiento de estas Políticas. Los Gerentes, Jefes y/o Supervisores de cada área o departamento son los responsables por la aplicación y super-visión en el cumplimiento de la misma.
• Los incidentes de seguridad que infrinjan esta política serán reportados a
la gerencia respectiva según lo amerite y de acuerdo a la gravedad de los hechos, se aplicarán las sanciones señaladas en el reglamento Interno respecto al incumplimiento de las normativas vigentes.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
57
DOCUMENTOS RELACIONADOS
Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson David Pereira Ortiz. Sonia Esperanza Camacho Nieto. John Alexander Beltrán Blanco. Danny Herney Piza Segura. Carlos Andrés Fonseca
24Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DEMODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-01 Versión: 01 Fecha:24/10/2011
Páginas 4
58
POLÍTICA DE GESTIÓN COMUNICACIONES
ALCANCE Y RECOMENDACIONES ALCANCE:
• Establecer procedimientos operativos para la administración de sistemas
informáticos que aseguren la calidad de los procesos que se implementan en el ámbito operativo, a fin de minimizar los riesgos de pérdida de confi-dencialidad, integridad y disponibilidad de la información.
• Definir los requisitos de planeamiento de sistemas y procesos de
aceptación del usuario para proteger los activos de información dentro de QUINTEC.
RECOMENDACIONES: • Esta política se aplica a todos los equipos, redes, aplicaciones y bases de
datos que procesan información de QUINTEC o de aquellos clientes en los que Quintec cumpla el rol de Custodia de la Información.
• Se deben establecer responsabilidades y procedimientos formales para la
gestión y operación de los equipos de cómputo y sistemas de información. Además se deben desarrollar instrucciones de operación apropiadas y procedimientos de respuesta a incidentes para cada uno de estos siste-mas.
• Se deben realizar proyecciones que permitan determinar los requisitos futuros de capacidad con el objetivo de reducir los riesgos de sobrecarga. Se tienen que establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los sistemas nuevos.
• Debe evitarse la concentración de funciones que pongan en riesgo la se-
guridad de la información, es decir en aquellos casos en que la realización de una actividad y su revisión o control sean ejecutados por la misma per-sona, tomando las medidas correspondientes para evitarlo, por ejemplo asignando la función de ejecución a una persona y la función de revisión a otra persona.
• Se deben controlar los servicios recibidos de terceros, en su definición a
través de los contratos y durante su entrega mediante acuerdos de confi-dencialidad, monitoreo y revisión de lo recibido. Cualquier cambio en los servicios deberá pasar por los niveles de aprobación apropiados y ser
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-06 Clasificación: Uso Interno
59
formalizado a través de un contrato de servicio.
• Se deben tomar precauciones orientadas a la prevención y detección de software malicioso, abarcando servidores, computadores portátiles y es-taciones de trabajo y sistemas de información en general.
• Se deben establecer procedimientos para respaldar información en servi-
dores y equipos críticos, de manera que ésta pueda ser recuperada de manera oportuna en caso de contingencia. Además se tiene que ensayar regularmente el plan de recuperación de la información registrando even-tos y fallas, así como la verificación periódica de la capacidad de restauración.
• Se deben establecer procedimientos operativos para proteger de daños,
robos y acceso no autorizado, a los documentos, dispositivos computacio-nales, datos de entrada y salida, y a la documentación de los sistemas. Estos procedimientos deben incluir la disposición de los medios una vez que su vida útil ha finalizado.
• Los intercambios de información y software con otras organizaciones se
deben controlar y regular de acuerdo a la legislación vigente, con el objeti-vo de evitar la pérdida, modificación o mal uso.
• El Propietario de la Información debe autorizar todos los intercambios de
datos y programas con terceros de acuerdo a las definiciones de QUIN-TEC.
• Los medios que contengan información deben protegerse y ser transpor-tados de acuerdo con las pautas de protección definidas por la clasificación de seguridad incluida en el medio
• Se deben establecer procedimientos y responsabilidades para hacer cam-bios significativos a instalaciones y sistemas que procesan información, por parte de aquellos que implementan y/u operan los sistemas en pro-ducción.
• Se deben establecer las medidas de protección adecuadas a los servicios básicos de comunicaciones como correo electrónico e Internet.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
60
DOCUMENTOSRELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson David. Pereira Ortiz. Sonia Esperanza Camacho Nieto. John Alexander. Beltran Blanco. Danny Herney. Piza Segura. Carlos Andres Fonseca
24Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-06 Versión: 01 Fecha:24/10/2011
Páginas 3
61
POLÍTICA DE CONTROL DE ACCESO
ALCANCE Y RECOMENDACIONES ALCANCE:
• Proporcionar seguridad razonable con respecto a la integridad y seguridad
de los sistemas y recursos de información de QUINTEC, a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los dere-chos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos; también tiene como objetivo definir política para el manejo de contraseñas de usuarios con privilegio de admi-nistración en los Sistemas Operativos administrados por el DataCenter Quintec.
• Implementar procedimientos formales para controlar la asignación de dere-
chos de acceso a los sistemas de información, bases de datos y servicios de información. Dichos procedimientos deben estar claramente documenta-dos, comunicados y controlados en cuanto a su cumplimiento.
RECOMENDACIONES: • Esta política aplica a todos los sistemas de QUINTEC, incluyendo sin limitar
a las aplicaciones comerciales, bases de datos, aplicaciones desarrolladas internamente, equipos, instalaciones, sistemas, y redes que la organización posea en la actualidad o en el futuro, de manera que la no inclusión explíci-ta en el presente documento, no constituye argumento para no proteger los activos de información que se encuentren en otras formas.
• Los empleados están autorizados a acceder a la información clasificada según sus responsabilidades y funciones propias de su cargo aplicando el principio de privilegio de acceso mínimo, es decir, a cada usuario debe auto-rizársele únicamente el nivel de acceso necesario para cumplir con sus funciones.
• Con el propósito de impedir accesos no autorizados a los recursos de infor-mación, deben establecerse procedimientos formales para asignar los derechos de acceso a los sistemas. Estos procedimientos deben abarcar el ciclo de vida completo de los usuarios en la organización, es decir, su ingre-so, mantenimiento y terminación de la condición de empleado. Estos procedimientos son de particular importancia en el caso de la asignación de derechos de acceso con privilegios elevados. Para efectos de lograr la co-
Tipo: Política Gerencia: Quintec Páginas: PQ-7 Documento: QSGSI-POL-07 Clasificación: Uso Interno
62
bertura de los aspectos más relevantes, los procedimientos deberán consi-derar:
• Registro de usuarios • Gestión de accesos privilegiados • Gestión de contraseñas • Revisión periódica de derechos de los usuarios
• Los usuarios deben ser informados de sus responsabilidades y de la impor-tancia de su cooperación en el éxito de las medidas de seguridad. Los tópicos a cubrir en las actividades de sensibilización y educación de las res-ponsabilidades deben considerar al menos los siguientes temas:
• Uso de contraseñas • Equipos desatendidos.
• Los empleados no deben trasladar información clasificada de cierto nivel de sensibilidad a niveles inferiores de clasificación, a menos que se encuentren en procesos formales de desclasificación.
• Se debe controlar la seguridad en la conexión entre la red de la Institución y otras redes públicas o privadas.
• Se debe registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
• Todos los requerimientos de información de la organización que incluyan, sin limitar, comunicados públicos, declaraciones, cuestionarios, encuestas o entrevistas periodísticas, deben ser referidos a QUINTEC
• Se deben establecer procedimientos formales para el registro y eliminación de usuarios, de modo de garantizar que se otorguen y quiten accesos a los sistemas y servicios de información, en consistencia con los niveles de auto-rización de los usuarios.
• Se deben revisar los derechos de acceso otorgados a los usuarios regular-mente a través de procedimientos formales.
• Cuando un empleado deja algún puesto en la organización, los archivos residentes en los computadores y los archivos impresos, deben ser revisa-dos por su supervisor directo, jefe inmediato o personal que la Gerencia designe para Este efecto, para una inmediata reasignación formal de obli-gaciones y responsabilidades, informando de manera inmediata al Oficial de Seguridad del resultado del procedimiento.
• Se establecerá el control del cumplimiento de esta actividad mediante audi-torías posteriores, verificando la lista de personas que han dejado la empresa o el cargo, para verificar si hay registro de la actividad.
63
• Los empleados de la organización no deben utilizar herramientas para obte-ner información de la red, como detección de puertos, servicios y archivos en general en los sistemas de información de la organización.
• El acceso físico y lógico a la configuración de puertos de manera remota debe ser controlado. Se deben establecer métodos apropiados de autenti-cación para los usuarios que utilicen accesos remotos.
• Para los accesos a sistemas se deben establecer procedimientos de auten-ticación seguros, de modo de minimizar la oportunidad de accesos no autorizados.
• Se debe definir para cada usuario un único nombre de usuario.
• Todos los usuarios deben ser positivamente identificados antes de usar sistemas de información multiusuario.
• Por medio de la Gerencia responsable de la administración de siste-mas, se verificará que Los empleados no utilicen ninguna estructura de contraseña que resulte predecible, esto incluye sin limitar, a contraseñas en blanco, palabras que aparezcan en diccionarios, secuencias comunes de caracteres y datos personales.
• Las contraseñas fijas no deben ser almacenadas en archivos de ejecución por lotes, scripts automáticos, macros de software, computadoras de control de acceso o en otros medios donde personas no autorizadas pueden cono-cerlas.
• Las contraseñas no deben ser escritas o almacenadas en lugares visibles o cerca de los sistemas a los cuales permiten el acceso.
• Todos los empleados de la organización que tengan acceso a algún siste-
ma, deben dejar siempre sus equipos bloqueados o con protector de pantalla con contraseña, en caso de no estar en su lugar de trabajo.
• Las contraseñas tanto de sistemas, servidores y equipos personales, de-berán ser cambiadas regularmente.
• Si los empleados tienen que dejar sus computadores personales encendi-dos y conectados a la red fuera de horario de oficina, estos equipos deben contar con sistemas de seguridad aprobados.
• Las sesiones que se encuentren inactivas serán desconectadas después de un periodo de inactividad.
• La autoridad para ejecutar transacciones de negocio en representación de la organización debe estar sujeta al uso de una identificación individual en los sistemas de información y a una identificación positiva de ésta.
64
• El acceso a información de Uso Interno o Confidencial, puede ser otorgado
de manera individual o ser otorgado a grupos de usuarios.
• Las actividades de usuarios sensibles que afectan la producción de siste-mas de información, deben ser re construibles desde registros de transacciones.
• Las herramientas de monitoreo u observación de actividades computaciona-les deben ser usadas con una notificación a los usuarios involucrados, a excepción de una investigación de actividades criminales.
• Los mensajes enviados por el sistema electrónico de correos de la organi-zación sólo pueden ser leídos bajo los requerimientos establecidos en la normativa legal, en caso de persecución criminal o administrativa.
• Todos los dispositivos de almacenamiento móviles tales como notebooks y PDA’s entre otros, que contienen información sensible de la Organización, deben considerar protección o encriptación de dispositivos de almacena-miento digital, siendo las llaves o claves del proceso de encriptación de propiedad y conocimiento del empleador.
• Antes de otorgar los permisos de trabajo remoto a empleados de la organi-zación, se debe firmar un acuerdo de confidencialidad que proteja la información sensible de la organización.
• Los responsables de las Unidades Organizativas, junto con el Oficial de Seguridad, deben autorizar el trabajo remoto del personal a su cargo, en los casos en que se verifique que son adoptadas todas las medidas que co-rrespondan en materia de seguridad de la información, de modo de cumplir con las normas vigentes. Asimismo autorizarán el acceso de los usuarios a su cargo a los servicios y recursos de red y a Internet.
• Obligatoriedad de identificación y palabra clave.
• Todo administrador de sistemas, debe ser identificado positivamen-
te mediante un Par de Identificación único compuesto por un identificador de usuario (UserID) y contraseña asociada a él.
• Las contraseñas de usuarios de sistemas como ROOT y ADMINISTRATOR no deben ser utilizadas en tareas rutinarias de administración, explota-ción u operación. Solo deben ser almacenadas en repositorio físico custodiado por operaciones de Data Center.
• Es responsabilidad del administrador de sistemas almacenar en un reposito-
rio seguro y encriptado sus usuarios y contraseña bajo su responsabilidad.
• El repositorio de almacenamiento de contraseña de administradores de sis-temas será electrónico, con control personalizado y con acceso a las contraseñas.
65
• Debe existir un repositorio para el almacenamiento físico, donde el custodio
será el grupo de operaciones de Data Center, con acceso restringido, ase-gurando la imposibilidad de manipulación de personal no autorizado.
• Administración de Data Center será responsable creación de cuen-tas/contraseñas de de usuarios, siendo responsabilidad de los usuarios el cambio y almacenamiento de las contraseñas.
• Las contraseñas se deberán comunicar a los usuarios a través de un medio seguro y facilitar el cambio inmediato por el usuario.
• Cuando el administrador de sistemas entregue una contraseña, deberá solicitar los antecedentes necesarios que le permitan confirmar la identidad del usuario.
• Las contraseñas temporales asignadas a los usuarios deberán ser comuni-cadas de manera segura.
• Cuando un usuario solicite un cambio de contraseña, el administrador de
sistemas responsable deberá, notificar al usuario y a la contraparte valida del cliente, mediante un correo a la cuenta personal de ambos como proce-dimiento de seguridad para identificar casos de suplantación de identidad.
• Las contraseñas que sean enviadas por correo u otro medio físico, no, de-
ben ser acompañadas por la cuenta de acceso del usuario. Además, deberán considerarse las medidas que permitan mantener la confidenciali-dad de la contraseña, por ejemplo, no entregando indicios en el correo de su contenido.
• Reglas de construcción de contraseña
• Debe tener un largo mínimo de 8 caracteres alfanuméricos. •Puede contener letras mayúsculas, letras minúsculas y caracteres especia-les. •Debe ser difícil de adivinar, es decir, no pueden ser triviales, como por ejemplo: dejarla en blanco, utilizar palabras generalmente utilizadas como adminis-trador, admin, root, nombre de la empresa, nombre del administrador, nombres propios, nombres de lugares, secuencias de números, fechas significativas o de aniversarios, nacimientos, números significativos para el usuarios como el RUT, etc.
• No puede ser construida basándose en una componente fija y otra cíclica, como meses, número correlativo, etc. ej. crt_ene, crt_feb, crt_mar para los meses de enero, febrero y marzo respectivamente.
• Debe recordar y no permitir el uso de las ultimas 6 contraseñas.
66
• El tiempo mínimo para el cambio de contraseña debe 1 día.
• Deberes de administradores de sistemas
•No deben utilizarse usuarios de sistemas como ROOT, ADMINISTRATOR para tareas de administración y explotación rutinarias. •Mantener la confidencialidad de la contraseña. Cualquier mal uso de-rivado del conocimiento de la contraseña de acceso, es de responsabilidad administrador de sistemas dueño de la cuenta de acceso. • Emplear contraseñas distintas en cada sistema al cual tienen asignado ac-ceso, a menos que el dueño de los sistemas lo autorice, o exista un sistema de autentificación único. • Activar proceso de cambio de contraseña inmediatamente, cada vez que sea conocida por terceras personas. Si dicha contraseña es utilizada en otros sistemas, también deberán ser modificadas.
• Actividades prohibidas en el uso de contraseñas
•Compartir la contraseña con otros usuarios.
•Escribir la contraseña en los equipos o mantenerla escrita en lugares cerca-nos a los equipos, de manera tal, que otras personas puedan conocerla.
•No se debe incorporar contraseñas en el código fuente de las aplicaciones ni dejarlas en archivos de texto en algún directorio. •Las contraseñas utilizadas para una user-id no deben repetirse, ni ser simi-lares. No se puede volver a utilizar las últimas contraseñas.
• La periodicidad del cambio de las contraseñas de usuarios de admi-nistración bajo la responsabilidad Data Center, debe ser de 60 días.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
67
DOCUMENTOS RELACIONADOS
Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DEMODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-7 Versión: 01 Fecha deVigencia:24/10/2011
Páginas 7
68
POLÍTICA DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:
• Asegurar una adecuada protección para el desarrollo, mantención y
adquisición de los programas de aplicación de QUINTEC que se utilizan pa-ra apoyar las funciones críticas del negocio.
• Identificar, documentar y aprobar los requerimientos de seguridad a in-
corporar durante las etapas de desarrollo e implementación de los Sistemas Informáticos, diseñando controles de validación de datos de entrada, proce-samiento interno y salida de datos.
RECOMENDACIONES: • Esta política se aplica a todos los desarrollos, mantención y adquisición de
aplicaciones, sistemas de información y equipos de comunicación de QUINTEC.
• La seguridad debe estar incorporada en los sistemas de información, esto
incluye la infraestructura, las aplicaciones de negocio, tanto adquiridas como desarrolladas internamente.
• Establecer los requisitos del negocio para los sistemas de información, especificando de manera formal, los requerimientos de controles de segu-ridad necesarios para cada caso.
• Definir procedimientos para el Control de Cambios (Datos operativos y programas), verificación de la seguridad de las plataformas y bases de da-tos que soportan e interactúan con los Sistemas y control de código malicioso.
• Prevenir pérdidas, modificaciones o mal uso de los datos ingresados por los usuarios en las aplicaciones de los sistemas.
• Durante la etapa de desarrollo de los sistemas se debe evaluar la necesi-dad de incorporar controles criptográficos que protejan la confidencialidad e integridad de la información que se considere en riesgo.
• Tomar acciones para asegurar que todo el software desarrollado y las ac-tividades de mantenimiento de software cumplan con las políticas,
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-8 Clasificación: Uso Interno
69
estándares y procedimientos definidos en la organización.
• Controlar el acceso a archivos de sistemas y a códigos fuentes de pro-gramas.
• Definir procedimientos que describan el proceso de instalación de soft-ware operacional.
• Procurar que la integridad del software que se encuentra en producción no se vea afectada por el proceso de desarrollo y mantención de sistemas, manteniendo un apropiado nivel de seguridad.
• Establecer estándares para las metodologías de desarrollo y para los len-guajes de programación.
• Los cambios en los sistemas deben ser controlados por un procedi-miento formal de control de cambios.
• Todos los proyectos de desarrollo de sistemas realizados con perso-nal interno o solicitados a terceros, deben ser programados con los lenguajes aprobados y definidos en los estándares de programa-ción de la organización.
• Durante el desarrollo de los sistemas se deben establecer controles y pro-
cedimientos de seguridad para validar toda la información sensible procesada por los sistemas de información de la organización.
• Sobre el desarrollo de software a través de outsourcing se deben definir responsabilidades de supervisión y monitoreo por la organización o por órganos de control.
• Los requerimientos de software y hardware no deben ser canalizados di-rectamente por los usuarios con los proveedores. Se deben realizar a través de las áreas definidas para Este propósito.
• Las Gerencias responsables, deben planificar y organizar la utili-
zación de los recursos de aplicaciones alineándolos con los requerimientos del negocio, para un uso eficiente y responsable.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
70
DOCUMENTOSRELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-8 Versión: 01 Fecha deVigencia:22/12/2011
Páginas 3
71
POLÍTICA DE GESTIÓN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE: • Establecer procedimientos operativos para gestionar apropiadamente las
debilidades y eventos de seguridad. • Asegurar que se toman acciones para prevenir los eventos de seguri-
dad. • Reducir los daños ocasionados por los incidentes de seguridad. RECOMENDACIONES: • Esta política debe ser cumplida por todo el personal de QUINTEC y los ter-
ceros autorizados para acceder a los activos y a las instalaciones de la organización.
• Todos los empleados, terceros y contratistas de QUINTEC deben conocer
los mecanismos para reportar un incidente de Seguridad de Información. Es un deber reportar un incidente que pudiera afectar a los activos de in-formación de QUINTEC.
• Toda evidencia relacionada a un incidente de seguridad que origine accio-nes legales, se deberá preservar procurando no dañar la integridad de la información necesaria para análisis forenses y cumplir con lo establecido en la normativa y legislación vigente.
• Se deben establecer responsabilidades y procedimientos formales para el reporte, respuesta y análisis de los incidentes de seguridad.
• Todos los incidentes que puedan afectar la seguridad de la información,
deben ser informados inmediatamente a través de la mesa de ayuda. Sin perjuicio de lo anterior y según su gravedad estos podrán ser notificados al Supervisor directo o al Oficial de Seguridad para que se tomen las me-didas correspondientes.
• Siempre que se sospeche de un acceso no autorizado a un sistema o se tenga la certeza de que está ocurriendo, el personal debe reportarlo inme-diatamente al Supervisor y a la Mesa de Ayuda, para que personal capacitado pueda tomar las acciones correspondientes.
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-09 Clasificación: Uso Interno
72
• Se deben definir los responsables del manejo de los incidentes en los sis-temas de información, además se les debe conceder la autoridad para llevar a cabo esta labor.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
73
DOCUMENTOSRELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-09 Versión: 01 Fecha deVigencia:01/12/2011
Páginas 3
74
POLÍTICA DE CONTINUIDAD DEL
NEGOCIO ALCANCE Y RECOMENDACIONES: ALCANCE:
• Establecer medidas que mitiguen las interrupciones de las activida-des calificadas como sensibles o críticas de QUINTEC debido a los efectos de fallas o desastres y asegurar su restauración oportuna.
RECOMENDACIONES: • Esta política se aplica a los procesos de negocios calificados como
críticos de QUINTEC. • QUINTEC debe preparar, actualizar y probar periódicamente (al menos
dos veces al año) los planes de continuidad del negocio que provean las acciones alternativas que los empleados realizarán para mantener la con-tinuidad de las operaciones en el caso de que se produzca una interrupción de las actividades regulares.
• Establecer un cronograma de pruebas periódicas de cada uno de los pla-
nes de contingencia, proponiendo una asignación de funciones para su cumplimiento.
• Posterior a las pruebas periódicas y revisión de los resultados, mas la
vigencia de los riesgos y procesos involucrados, se emitirá una nueva ver-sión de plan de continuidad de negocio con las mejoras incorporadas (si corresponde).
• Los planes de contingencia deben incluir al menos las siguientes activida-
des:
o Notificación / Activación: Detección y determinación del daño y activación del plan.
o Reanudación: Restauración temporal de las operaciones y re-
cuperación del daño producido al sistema original.
o Recuperación: Restauración de las capacidades de proceso del sistema a las condiciones de operación normales.
• Se deben identificar los procesos críticos del negocio para poder medir el
Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-10 Clasificación: Uso Interno
75
impacto que tendría la ocurrencia de una falla o desastre sobre ellos. • Los empleados deberán apoyar, a los procesos de restauración de las
actividades normales de negocio, según las responsabilidades asignadas en los planes de contingencia.
• La gestión de la continuidad del negocio debe incluir controles que permi-
tan identificar y disminuir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de incidentes dañinos y asegurar la disponibilidad de la información requerida para los procesos de negocios críticos.
• Se recomienda que el desarrollo, mantención y documentación de los pla-
nes de continuidad del negocio y los planes de contingencia tecnológica, debe ser realizado con el apoyo de los estándares de la industria.
• Los planes de contingencia del negocio y de los sistemas de información,
deben ser accesibles en todo momento y sus copias deben estar disponi-bles en más de un edificio ya sea en formato digital y/o físico.
• Se debe establecer una lista de todos los recursos críticos de QUINTEC para determinar el nivel de prioridad en el restablecimiento de ellos, es decir, que los recursos más críticos sean recuperados primero.
• El análisis de impacto al negocio, debe especificar el período máximo de
tiempo que los procesos críticos pueden operar en contingencia sin afectar el negocio.
• QUINTEC debe documentar los planes de continuidad del negocio y de sistemas identificados como críticos.
• El dueño del proceso de negocio incluido en el plan de continuidad, será el responsable de mantener actualizada la información contenida en dicho plan.
• El dueño del proceso de negocio deberá revisar y actualizar en forma
oportuna los roles y responsabilidades de los planes de contingencia y de recuperación descritos en sus procesos de negocio.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
76
DOCUMENTOS RELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DEMODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-10 Versión: 01 Fecha deVigencia:01/12/2011
Páginas 3
77
POLÍTICA DE CUMPLIMIENTO ALCANCE Y RECOMENDACIONES ALCANCE:
• Asegurar que todas las áreas y dependencias, dentro de la organiza-
ción estén cumpliendo las políticas y procedimientos de seguridad. Además, esta política apunta a asegurar que los controles estén ope-rando parar proteger apropiadamente los activos de información.
• Asegurar que se cumplan los requisitos legales, las obligaciones
contractuales, regulatorias y derechos de propiedad intelectual por parte de QUINTEC.
RECOMENDACIONES: • Esta política se aplica a todas las áreas y dependencias de QUINTEC,
las cuales están sujetas a revisiones y auditorias regulares para asegu-rar el cumplimiento de las políticas y las normativas legales. Para esto, el Comité de Seguridad de la Información designará un responsable pa-ra el monitoreo, mejora continua, retroalimentación y cumplimiento de las políticas establecidas.
• QUINTEC debe identificar y documentar todos los requerimientos legales,
estatutos, regulaciones y requerimientos contractuales que afectan a los sis-temas de información de la organización.
• Los servicios realizados sobre los sistemas en producción de QUINTEC de-
ben ser realizados por proveedores especializados, asociaciones profesionales, agencias de gobierno o grupos legítimos y confiables.
• Establecer controles periódicos para resguardar los sistemas operacio-
nales durante el transcurso de auditorías y la ejecución de herramientas de revisión. Esto busca proteger la integridad y prevenir el mal uso de las herramientas de auditoría.
Tipo: Política Gerencia: Quintec Páginas: PQ-4 Documento: QSGSI-POL-11 Clasificación: Uso Interno
78
• Establecer verificaciones periódicas de los sistemas de información para que se cumplan con las políticas y normas de seguridad establecidas.
• Las Gerencias responsables deben velar porque todo el software de la
organización tenga su respectiva licencia y, si las necesidades del negocio lo requieren, realizar los arreglos apropiados para obtener licencias adi-cionales. Queda prohibido el uso de software que no cuente con su respectiva licencia.
• Basándose en las regulaciones vigentes, se deben definir períodos de re-
tención para toda la información sensible de la organización, y la información que no esté sujeta a dichas regulaciones debe ser retenida por un período o adecuad o a su uso.
• Los empleados no deben destruir o eliminar registros o información, po-
tencialmente importante, sin la aprobación respectiva de los propietarios de la misma.
• Los registros de clientes que contienen información personal y que están
en posesión de QUINTEC, deben ser usados sólo con propósitos directa-mente relacionados con el negocio. La divulgación de esta información a terceros debe producirse únicamente con la autorización formal del cliente dueño de la información.
• No se podrá acceder, copiar, transmitir, comunicar, ceder o dar algún tra-tamiento a los datos y/o aplicaciones de Quintec o Clientes sin contar con autorización expresa para ello.
• La infraestructura de información sólo debe ser usada para propósi-
tos del negocio, a menos que se obtenga una autorización formal por parte de QUINTEC.
• QUINTEC se reserva el derecho a revisar toda la información almacenada
o transmitida en sus sistemas de información, su aplicabilidad estará su-peditada a la legislación vigente. La organización debe informar sobre éste derecho a los trabajadores, quienes deben tener claro qué nivel de clasifi-cación tiene la información que manejan y que ésta es de propiedad de la organización.
• La gerencia responsable deberá asegurar que se cumplan correctamente
todos los procedimientos de seguridad dentro de sus áreas de responsabi-lidad, para dar conformidad a las políticas establecidas.
• Se deberá comprobar regularmente la conformidad técnica, referente a la implementación de la seguridad en los sistemas de información. Este tipo de comprobación puede requerir asistencia o apoyo externo especializa-do.
79
• Todos los empleados de QUINTEC deben conocer, comprender y cum-
plir la presente política y normativa vigente.
• Todos los empleados de QUINTEC deberán informar cualquier incidente de seguridad de la información inmediatamente conocido el hecho por los medios establecidos para tal efecto.
“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento
asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”
80
DOCUMENTOS RELACIONADOS Código Nombre Documento Relacionado
AUTORIZACIONES
Nombre Fecha
Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca
22Octubre2011
Revisado por
Aprobado por
Publicado por HISTORIAL DE MODIFICACIONES
FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION
Documento: QSGSI-POL-11 Versión: 01 Fecha deVigencia:01/12/2011
Páginas 4
SEC
CIÓ
N
% O
BTE
NID
O
SU
BSEC
CIÓ
N
% ID
EAL
CONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RES
PU
ESTA
% ID
EAL
PREGUNTAS DE RIESGOS Y PREVENCIÓN
RES
PU
ESTA
% ID
EAL
100% 100% 50% 25,00% 5,00%
la política de seguridad de la información
forma parte de un documento de política
general
NO 0%existe un documento en donde se plasme la política de
seguridadNO 0
lo conocen los clientes NO 0
lo conocen los empleados NO 0
lo conoces los proveedores NO 0
el documento esta creado bajos estándares de calidad NO 0
12,50% 3,13%
se revisa en periodos cortos que el
documento este actualizadoSI 6%
esta revisión incluye las oportunidades de evaluación
para mejorar la política y el enfoque en la organizaciónNO 0
se producen cambio significativos con
frecuenciaNO 0% existen procedimientos de cambio para el documento NO 0
es claro quien es el dueño de la política NO 0%conocen los empleados quien es el responsable o dueño
de la políticaNO 0
la dirección debe aprobar la revisión de la
políticaSI 6%
la dirección conoce los posibles cambios que se puedan
hacer a la políticaNO 0
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % Ideal.
NO CUMPLE 88%
CUMPLE 12%
Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
Rótulos de fila % Ideal.
NO CUMPLE 9%
CUMPLE 91%
Total general 100%
0%
GESTION POLITICA DE SEGURIDAD CHK-RES-GPS
este documento debe incluir la definición
de las responsabilidades generales y
especificas para la gestión de la seguridad
de la información
NO
POLÍTICA DE SEGURIDAD
POLÍTICA DE
SEGURIDAD DE
LA INFORMACIÓN
DOCUMENTO DE LA
POLÍTICA DE
SEGURIDAD DE LA
INFORMACIÓN
REVISIÓN DE LA
POLÍTICA DE
SEGURIDAD DE LA
INFORMACIÓN
NO CUMPLE
88%
CUMPLE 12%
Preguntas de Control y Auditoria
NO CUMPLE
9%
CUMPLE 91%
Preguntas de Riesgo y Prevención
SECCIO
N
SUBSE
CCIO
N
CONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RESP
UEST
A
% IDEAL
PREGUNTAS DE RIESGOS Y PREVENCION
RESP
UEST
A
% IDEAL
100 100 20 0,95 0,61
el proceso se aplica a las áreas indicadas NO 0
se actualizan periódicamente los procesos NO 0
el proceso se aplica a las áreas indicadas NO 0
se actualizan periódicamente los procesos NO 0
están identificados los tiempos máximos de parada de los servicios SI se revisan de manera periódica los tiempos asignados a cada incidente NO 0
están identificados los activos relacionados en los procesos críticos del negocioSI
esta actualizado el inventario de los activos o equipos que realizan las tareas criticas del
negocioSI 0,61
están debidamente organizados los incidentes SI 0,61
están debidamente registrados los incidentes SI 0,61
se actualizan periódicamente SI 0,61
las pólizas están al día en pagos SI 0,61
cubren lo necesario para continuar el negocio SI 0,61
las acciones se cumplen NO 0
las acciones se revisan periódicamente SI 0,61
los recursos financieros tienen un porcentaje extra de provisión NO 0
son de fácil aprobación y desembolso SI 0,61
son recursos actualizados NO 0
son manejados por personal idóneo SI 0,61
cuenta con recursos ambientales para una adecuada gestión de la continuidad SI 0,95 estos recursos están actualizados según normas o leyes estándares NO 0
los recursos técnicos para la seguridad de la información están actualizados SI 0,61
son manejados por personal capacitado SI 0,61
la documentación es debidamente archivada NO 0
es llevada en formatos actualizados NO 0
actualiza sus planes establecidos para llevar a cabo la continuidad del servicio NO 0 se revisan los parámetros bajo los que se actualizan estos procesos NO 0
actualiza sus procesos establecidos para llevar a cabo la continuidad del servicio NO 0 se revisan los parámetros bajo los que se actualizan estos procesos NO 0
cuenta con personal capacitado para dicha gestión SI 0,95 es personal disponible siempre que se requiere. NO 0
se realizan periódicamente SI 0,61
se verifica la integridad del mismo SI 0,61
están disponibles cuando se presenta un incidente NO 0
cuenta con sistemas de datos distribuidos SI 0,95 están siempre disponibles NO 0
cuenta con duplicación de sistemas críticos SI 0,95 se realizan pruebas para verificar los tiempos de respuesta de los mismos SI 0,61
están identificados los procesos que pueden causar interrupciones SI 0,95 se tienen medidas para mitigar los mismos SI 0,61
hay una previa evaluación de riesgos para determinar el impacto de las interrupciones.SI 0,95
según los resultados arrojados por la evaluación se toman las medidas correctivas de
manera inmediataSI 0,61
existe un plan estratégico desarrollado en base a los resultados de la evaluación de riesgos
para dar un enfoque global a la continuidad del negocio. NO 0el plan es revisado para evaluar su efectividad
SI 0,61
20 20 20
CONTINUIDAD DEL NEGOCIO Y AVALUACION DE
RIESGOS la dirección avala y aprueba un plan de gestión de continuidad del negocioSI 20
se informa en todo momento a la dirección de los resultados de la gestión de continuidadSI
20
20 5 5
están implementados los procedimientos que permiten recuperar las operaciones NO 0 se cumplen en mas del porciento estos procedimientos implementados NO 0
los lugares alternos de recuperación en que porcentaje son idénticos a los originalesNO 0
esta identificado cuando deben ser usados sabiendo que existe un sistema de backupsNO
0
las pruebas se realizan de forma regular NO 0 son analizados y retroalimentados los resultados obtenidos de estas pruebas NO 0
las pruebas se realizan de manera actualizada NO 0 los resultados de las mismas se almacenan en un lugar indicado con copia segura NO 0
20 1,43
hay condiciones para activar cada plan antes de ejecutarlos SI 2 las condiciones se cumplen a cabalidad SI 1,43
existen procedimientos de emergencia que describen las acciones a realizar tras un incidenteNO 0
estos procedimientos son revisados y actualizados periódicamenteSI
1,43
procedimientos temporales mientras finalizan los correctivosNO 0
estos procedimientos se evalúan periódicamente - se aplican en el tiempo indicado y
oportunoNO
0
están controlados estos activos NO 0
están organizados estos activos SI 1,43
están controlados estos activos SI 1,43
están organizados estos activos SI 1,43
existe un único marco de continuidad del negocio.NO 0
este marco cubre todos los sla o dispositivos que impactan directamente el negocioNO
0
es un marco coherente para determinar las prioridades de mantenimiento. NO 0 este marco es revisado de manera periódica NO 0
es un marco coherente para determinar las pruebas de mantenimiento. NO 0 este marco es revisado de manera periódica NO 0
es una infraestructura adecuada NO 0
es una infraestructura actualizada NO 0
es una infraestructura adecuada NO 0
es una infraestructura actualizada NO 0
20 2,86 2,5
existen pruebas escritas o de escritorios en diferentes escenarios NO 0 NO 0
SI 2,86 estos ambientes son adecuados para dicha actividad NO 0
0 están actualizados estos ambientes de pruebas NO 0
NO 0 estos ambientes son adecuados para dicha actividad NO 0
0 están actualizados estos ambientes de pruebas NO 0
se realizan pruebas completas con proveedores NO 0 la informacion obtenida en estas pruebas se retroalimenta con los afectados NO 0
se realizan pruebas completas con clientes NO 0 la informacion obtenida en estas pruebas se retroalimenta con los afectados NO 0
los planes de continuidad del negocio son probados con regularidad para asegurar que son
eficaces NO 0se avisa a las áreas afectadas de la realización de estas pruebas
NO0
los planes de continuidad del negocio son actualizados de manera periódica. NO 0 estas actualizaciones son revisadas y aprobadas por personal adecuado NO 0
Rótulos de fila % IDEAL
No Cumple 54%
Cumple 46%
Total general 100%
Rótulos de fila % IDEAL
No Cumple 95%
Cumple 5%
Total general 100%
GESTION DE LA CONTINUIDAD DEL NEGOCIO CHK-RES-GCN
SI 0,95
ESTRUCTURA PARA LA PLANIFICACION DE LA
CONTINUIDAD DEL NEGOCIO
cuenta con recursos financieros para una adecuada gestión de la continuidad
NO 0
NO 0
SI 2
SI 2
esta estructura identifica las condiciones para la activación de cada componente.
esta estructura identifica las personas responsables de la ejecución de cada componente.
cuenta con recursos técnicos para una adecuada gestión de la continuidad
cuenta con recursos técnicos para una adecuada gestión de la seguridad de la información
0,95
SI 0,95
NO 0G
E
S
T
I
O
N
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
L
N
E
G
O
C
I
O
A
S
P
E
C
T
O
S
D
E
S
E
G
U
R
I
D
A
D
D
E
L
A
i
n
f
o
r
m
a
c
i
o
n
R
M
A
C
I
O
N
,
D
E
L
A
G
E
S
T
I
O
N
D
E
L
A
C
O
N
T
I
N
U
I
D
A
D
D
E
L
N
E
G
O
C
I
O
NO 0
NO 0
0,95
SI 0,95
SI 0,95
SI 0,95
SI 0,95
SIINCLUSION DE LA SEGURIDAD DE LA
informacionRMACION EN EL PROCESO DE
GESTION DE CONTINUIDAD DEL NEGOCIO
DESARROLLO E IMPLEMENTACION DE PLANES DE
CONTINUIDAD QUE INCLUYEN LA SEGURIDAD DE
LA INFORMACIÓN
PRUEBA, MANTENIMIENTO Y REEVALUACION DE
LOS PLANES DE CONTINUIDAD DEL NEGOCIO
PREGUNTAS DE CONTROL Y AUDITORIA
PREGUNTAS DE RIESGOS Y PREVENCION
esta desarrollado un proceso de gestión de seguridad de la información. para la continuación
del negocio
esta implementado un proceso de gestión de seguridad de la información. para la
continuación del negocio
están identificados los incidentes que puedan llegar a causar interrupciones
tiene contratadas pólizas de seguros que respalden la continuidad del negocio
cuenta con acciones preventivas para mitigar fallas del servicio
existen ambientes de simulación y practicas para la continuidad del servicio
existen ambientes de practicas para la continuidad del servicio
cuenta con una documentación técnica de cómo tratar la continuidad del negocio
cuenta con sistemas de backups
están identificados los activos críticos necesarios para ejecutar los procesos de emergencia
están identificados los recursos críticos necesarios para ejecutar los procesos de emergencia
No Cumple
54%
Cumple 46%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple 95%
Cumple 5%
PREGUNTAS DE RIESGOS Y PREVENCION
SECCIO
N
SU
BSECCIO
N
CONTROLPREGUNTAS DE CONTROL Y
AUDITORIA
RESPU
ESTA
% ID
EAL
PREGUNTAS DE RIESGOS Y PREVENCION
RESPU
ESTA
% ID
EAL
100% 33% 6% 2,78% 0,93%
Se lleva esta documentación en formatos entendibles NO 0
Se lleva esta documentación en formatos
estandarizados NO 0
Se guarda copia de cada informe o documento NO 0
Se lleva esta documentación en formatos entendibles NO 0
Se lleva esta documentación en formatos
estandarizados NO 0
Se guarda copia de cada informe o documento NO 0
6% 0,67% 0,04%
Estas políticas son actualizadas NO 0,00%
Estas políticas son cumplidas por el personal
directamente implicadoNO 0,00%
Estas fuentes dan soporte legal en el momento
oportuno NO 0,00%
Estas fuentes dan soporte comercial en el momento
oportuno NO 0,00%
Se trabaja por mantener una
conciencia sobre las políticas
de proteger los dpi
SI
0,67%
Se cumple a cabalidad la protección de estas políticas
SI
0,04%
Este registro actualizado esta debidamente cuidadoSI 0,04%
Esta controlado el acceso a esta actualización SI 0,04%
Esta protegidas estas pruebas SI 0,04%
Son de fácil acceso cuando se necesiten SI 0,04%
Esta protegidas estas copias SI 0,04%
Son de fácil acceso cuando se necesiten SI 0,04%
Estos controles son implementados por personal
capacitado SI 0,04%
Esta documentada la penalización por faltar esta
norma NO 0,00%
Estos controles son implementados por personal
capacitado
NO0,00%
Esta documentada la penalización por faltar esta
norma
NO0,00%
Estas herramientas están actualizadas NO 0,00%
Son permitidas por los estándares o entes reguladores NO 0,00%
6% 0,55% 0,04%
Esta protección es adecuada SI 0,04%
Se penaliza contra esta falta NO 0,00%
Esta protección es adecuada NO 0,00%
Se penaliza contra esta falta NO 0,00%
Esta protección es adecuada NO 0,00%
Se penaliza contra esta falta NO 0,00%
Están clasificados los registros
según el tipo(contabilidad,
sistemas ,clientes, etc.) SI
0,55% Están organizados y protegidos los registros de cada
área NO
0,00%
Existe un reemplazo de los
medios de almacenamiento y
copia SI 0,55%Este reemplazo es adecuado para las labores que se
realizan en la organización NO 0,00%
Los sistemas de
almacenamiento están
regulados según las normas
regionales SI
0,55% Están bajo la ultima actualización de estas normas
regionales NO
0,00%
Los sistemas de copia están
regulados según las normas
regionales SI
0,55% Están bajo la ultima actualización de estas normas
regionales NO
0,00%
Los sistemas de
almacenamiento están
regulados según las normas
nacionales SI
0,55% Están bajo la ultima actualización de estas normas
nacionales NO
0,00%
Los sistemas de copia están
regulados según las normas
nacionales SI
0,55% Están bajo la ultima actualización de estas normas
nacionales NO
0,00%
Los sistemas de
almacenamiento están
regulados según las normas
internacionales SI
0,55% Están bajo la ultima actualización de estas normas
internacionales NO
0,00%
CUMPLIMIENTO CHK-RES-CUM
Cuentan con herramientas de
auditoria para esta labor
Los registros importantes de
la organización están
protegidos contra perdidaLos registros importantes de
la organización están
protegidos contra destrucciónLos registros importantes de
la organización están
protegidos contra falsificación
Se tiene una prueba de
licencias y demás
Se tiene una copia de las
licencias y demás
Existen controles de licencias
a el máx. de usuarios
permitidos
0,55%
SI 0,55%
0,55%
NO
0,00%
NO 0,00%
0,67%
SI 0,67%
SI 0,67%
SI 0,67%
0,00
Están documentadas las
responsabilidades
contractuales
NO 0,00
Se adquiere software de
fuentes legalesSI 0,67%
Existe una política de
cumplimiento de los derechos
de propiedad intelectual
NO 0,00%
IDEN
TIF
ICACIO
N D
E L
A
LEG
ISLACIO
N A
PLIC
ABLE Están documentados los
controles específicos.NO
CU
MPLIM
IEN
TO
CU
MPLIM
IEN
TO
CO
N L
OS R
EQ
UIS
ITO
S L
EG
ALES
Existen controles para
verificar que únicamente se
instalen software autorizado
con licencia
Se lleva un registro
actualizado del material de
dpi de activos y demás
herramientas
SI
PRO
TECCIO
N D
E L
OS R
EG
ISTRO
S D
E L
A O
RG
AN
IZACIÓ
N
SI
DERECH
OS D
E P
RO
PIE
DAD
IN
TELECTU
AL (
DPI)
SI
Los sistemas de copia están
regulados según las normas
internacionales SI
0,55% Están bajo la ultima actualización de estas normas
internacionales NO
0,00%
6% 6,00% 3,00%
Esta estructura esta actualizadaNO 0
Esta estructura es adecuada para los procesos de la
empresa
NO 0
6% 3,00% 1,00%
Es vigilado el uso de las
instalaciones y procesos
corporativos con el fin de
evitar una acción no
comercial y particular
SI
0,03
Las herramientas de vigilancia son adecuadas
NO 0
Estas alertas llegan en tiempo real NO 0
Se atienden en el menor tiempo posible
NO 0
6% 0,86% 0,08%
El reglamento criptográfico es
de acuerdo al margen
nacional
NO0,00% Se cumple el acuerdo criptográfico
NO 0,00%
Esta delimitado el hardware para el que aplica estas
restricciones NO0,00%
Esta delimitado el software para el que aplica estas
restricciones NO0,00%
Esta delimitado el hardware para el que aplica estas
restricciones NO0,00%
Esta delimitado el software para el que aplica estas
restricciones NO0,00%
Esta delimitado el hardware para el que aplica estas
restricciones NO0,00%
Esta delimitado el software para el que aplica estas
restricciones NO0,00%
Esta delimitado el hardware para el que aplica estas
restricciones NO0,00%
Esta delimitado el software para el que aplica estas
restricciones NO0,00%
Existe una restricción para el
uso de la encriptación
NO0,00%
Esta delimitado el personal para el que aplica estas
restricciones
NO 0,00%
Cuenta usted con asesoría
legal para llevar a cabo
procesos de encriptación
NO 0,00% Esta asesoría esta siempre disponible para sus labores NO
0,00%
33% 17% 5,50% 1,83%
Se realiza una revisión
periódica dentro de todas las
áreas de la organización para
verificar el cumplimiento de
las normas y políticas de
seguridad
NO 0
Que tanto tiempo se interrumpe el funcionamiento de
cada área cuando se revisa si cumplen con las políticas
establecidas
NO 0
Están determinadas acciones
correctivas necesarias para
manejar incidentes
correspondientes a la
criptografía
NO 0
Están actualizadas estas acciones
NO 0
Se revisa la acción correctiva
que se ejecuta
NO 0
Esa revisada o controlada por personal capacitado
NO 0
17% 8,50% 2,83%
Los s.i son revisados
periódicamente para el
cumplimiento de las normas
de seguridad.
NO 0
Se revisan por personal capacitado para esta labor
NO
0
Estos controles son actualizados NO 0
Estos controles son revisados de manera periódica NO 0
33% 17% 2,36% 0,24%
La implementación de
controles de auditoria se
realiza bajo una planificación
previa
SI 2,36%
Se revisa la forma en que se planifica la
implementación de estos controles
SI 0,24%
Existe una restricción a la
exportación de software de
computadores para ejecutar
funciones criptográficas
Existe una restricción a la
importación de hardware de
computadores para ejecutar
funciones criptográficas
Existe una restricción a la
importación de software de
computadores para ejecutar
funciones criptográficas
Los controles de
cumplimiento técnico se
llevan a cabo bajo personas
competentes y autorizadas.
Se cuenta con una estructura
de gestión o control que
proteja datos y privacidad de
la información personal.
CU
MPLIM
IEN
TO
CO
N L
AS P
OLIT
ICAS Y
NO
RM
AS D
E S
EG
URID
AD
VERIF
ICACIO
N D
E
CU
MPLIM
IEN
TO
TECN
ICO
0,00%
NO 0,00%
SI
0,085
0,00%
NO 0,00%
REG
LAM
EN
TACIO
N D
E L
OS C
ON
TRO
LES C
RIP
TO
GRAFIC
OS
NO
CO
NTRO
LES D
E A
UD
ITO
RIA
DE L
OS S
.I
0
PRO
TECCIO
N D
E L
OS D
ATO
S Y
PRIV
ACID
AD
DE L
A
INFO
RM
ACIO
N P
ERSO
NAL
NO 0
NO
Se envían alertas a los
usuarios cuando los sistemas
detectan que se va a realizar
una acción no comercial
Existe una restricción a la
exportación de hardware de
computadores para ejecutar
funciones criptográficas
CU
MPLIM
IEN
TO
CU
MPLIM
IEN
TO
CO
N L
OS R
EQ
UIS
ITO
S L
EG
ALES
CU
MPLIM
IEN
TO
DE L
AS P
OLIT
ICAS Y
LAS N
ORM
AS D
E S
EG
URID
AD
Y
CU
MPLIM
IEN
TO
TECN
ICO
PRO
TECCIO
N D
E L
OS R
EG
ISTRO
S D
E L
A O
RG
AN
IZACIÓ
N
CO
NSID
ERACIO
NES D
E A
UD
ITO
RIA
DE S
ISTEM
AS D
E IN
FO
RM
ACIO
N
PREVEN
CIO
N D
EL U
SO
IN
AD
ECU
AD
O D
E
LO
S S
ERVIC
IOS D
E P
RO
CESAM
IEN
TO
DE L
A
INFO
RM
ACIO
N
NO
Los requisitos de auditoria se
planifican acorde con la
dirección
SI 2,36%
Se retroalimenta las métricas de planificación con la
dirección
SI 0,24%
Las verificaciones las realiza
en modo solo lectura
SI 2,36%
Se controla quien realiza estas verificaciones
SI 0,24%
Se almacena la información de manera adecuada NO 0,00%
Se procesa la información de manera adecuada NO 0,00%
Se almacena la información de manera adecuada NO 0,00%
Se procesa la información de manera adecuada NO 0,00%
Se almacena la información de manera adecuada NO 0,00%
Se procesa la información de manera adecuada NO 0,00%La(s) persona(s) encargadas
de la auditoria son
independientes de las
actividades auditadas NO 0
Son personas especializadas - retroalimentan de
manera fidedigna la información encontrada NO
0,00%
17% 8,50% 2,13%
El acceso es controlado de manera periódica SI 0,00%
El acceso es auditado de manera periódica SI 0,00%
El acceso es controlado de manera periódica
SI 2,13%
El acceso es auditado de manera periódica
SI 2,13%
Rótulos de fila % IDEAL
No Cumple 54%
Cumple 46%
Total general 100%
Rótulos de fila % IDEAL
No Cumple 95%
Cumple 5%
Total general 100%
El acceso a las herramientas
del sistema están protegidas
para evitar mal uso.
El acceso a los datos del
sistema están protegidos para
evitar mal uso
Se documentan todos los
requisitos
Se documentan todos los
procedimientos
Se documentan todas las
responsabilidades
0
PREGUNTAS DE CONTROL Y AUDITORIA
PREGUNTAS DE RIESGOS Y PREVENCION
PRO
TECCIO
N D
E L
AS
HERRAM
IEN
TAS D
E A
UD
ITO
RIA
DE
LO
S S
.I
SI
NO 0
SI 8,50%
8,50%
CO
NTRO
LES D
E A
UD
ITO
RIA
DE L
OS S
.I
NO 0
NO
CU
MPLIM
IEN
TO
CO
NSID
ERACIO
NES D
E A
UD
ITO
RIA
DE S
ISTEM
AS D
E IN
FO
RM
ACIO
N
No Cumple
54%
Cumple 46%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple 95%
Cumple 5%
PREGUNTAS DE RIESGOS Y PREVENCION
SECCION SUBSECCION GESTION PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION
100% 50% 6% 1,25% 0,31%
existe una estructura de gestión para iniciar y
controlar la implementación de la seguridad de la
información dentro de la organización
SI 1,25%existe una asesoría externa especializada en
seguridad de la informaciónNO 0,00%
existe un responsable para aprobar cambios SI 1,25%existen grupos o especialistas externos en
seguridadNO 0,00%
se coordina y revisa la implementación de la
seguridad en la organizaciónNO 0,00% la dirección apoya las iniciativas de seguridad SI 0,31%
la dirección asegura que las metas de la seguridad
de la información estén identificadas y que
satisfacen
NO 0,00% las metas son alcanzables SI 0,31%
las necesidades de la organización están integradas
en los procesos de seguridad de la informaciónNO 0,00% 0,00%
6% 3,13% 0,78%
las actividades de la seguridad de la información
son coordinadas por los representantes de todas las
áreas de la organización
SI 3,13%en la coordinación participan las cabezas de cada
áreaSI 0,78%
SI 3,13%
esta coordinación debe: garantizar que las
actividades de seguridad se efectúan en
cumplimiento de la política de seguridad de
información
SI 0,78%
SI 3,13%
identificar la forma de manejar los
incumplimientos, aprobar metodologías y procesos
como la evaluación
SI 0,78%
SI 3,13%
se promueve la educación, formación y la
concientización de la seguridad de la información
en toda la organización
SI 0,78%
6% 2,08% 0,69%
la asignación de responsabilidades para la seguridad
de la información se debe realizar de acuerdo a la
política de la seguridad de la información
SI 2,08%
se deben definir claramente las responsabilidades
locales para la protección de activos y para realizar
procesos específicos de seguridad
SI 0,69%
el director de seguridad de la información tiene
como responsabilidad el desarrollo e
implementación de la seguridad
NO 0,00%
los individuos con responsabilidades de seguridad,
pueden delegar las labores de seguridad a otros y
realizan el seguimiento respectivo
NO 0,00%
los recursos y la implementación de controles
también están a su cargo o aquí actúan los
directores individuales
SI 2,08%
los activos y los procesos de seguridad asociados a
cada sistema, son áreas responsables de los
individuos a cargo de la seguridad de la información
SI 0,69%
6% 6,25% 6,25%
PROCESOS DE
AUTORIZACIÓN
PARA LOS
SERVICIOS DE
PROCESAMIENTO
DE INFORMACIÓN
existe un proceso de autorización de la dirección
para nuevos servicios de procesamiento de
información
SI 6,25%
los servicios nuevos para el usuario apropiado,
deben ser autorizados por la dirección y el director
responsable de mantener el entorno de seguridad
del sistema
SI 6,25%
6% 1,25% 0,31%
existen requisitos de confidencialidad o acuerdos de
no-divulgaciónSI 1,25% esta definida que información se debe proteger SI 0,31%
conoce las necesidades de la organización para la
protección de la informaciónSI 1,25%
conoce las vulnerabilidades de la información
critica de la informaciónSI 0,31%
los acuerdos de confidencialidad cumplen todas las
leyes y las regulaciones que se aplican en la
jurisdicción correspondiente
SI 1,25%si no cumple con las normas o leyes conoce las
sancionesNO 0,00%
los acuerdos de confidencialidad protegen la
información de la organización e informan a los que
suscriben el acuerdo, sus responsabilidades
SI 1,25%existen procedimiento para la terminación de
acuerdos de confidencialidadNO 0,00%
utiliza y divulga información de forma responsable
y autorizadaSI 1,25% 0,00%
6% 2,08% 1,04%
la organización tiene procedimientos establecidos
que especifiquen cuando contactar a las
autoridades
NO 0,00%
las organizaciones sometidas a ataques
provenientes de internet, existen proveedores
externos para tomar acción sobre estos ataques
SI 1,04%
conoce los organismos de control a los que debe
contactarSI 2,08%
es necesario realizar mantenimiento a estos
contactos para dar soporte a la gestión de
incidentes de seguridad de la información
NO 0,00%
se deben reportar los incidentes que afecten la
seguridad de la informaciónNO 0,00%
6% 0,89% 0,13%
existen listas de contactos apropiados con grupos
de interés especiales, otros foros especializados en
seguridad de la información
SI 0,89%
los acuerdos que se establecen para compartir
información con el objeto de mejorar la son
controlados
NO 0,00%
están permitidas las asociaciones de profesionales
dentro de la organizaciónNO 0,00%
se identifican los riesgos de la creación de grupos
informativosSI 0,13%
tiene el conocimiento sobre las mejores prácticas
de la actualización de la informaciónSI 0,89% actualiza con frecuencia la información del grupo SI 0,13%
garantiza que la comprensión del entorno de
seguridad de la información es actual completaNO 0,00%
la información corresponde a lo que necesita el
grupo de informaciónSI 0,13%
recibe advertencias oportunas de alertas, avisos y
parches relacionados con ataques y vulnerabilidadesNO 0,00% tiene algún procedimiento para mitigar las alertas SI 0,13%
existe asesoría especializada sobre seguridad de la
informaciónNO 0,00%
aplica recomendaciones de la asesoría de la
seguridadSI 0,13%
comparte o intercambia información acerca de
nuevas tecnologías, productos, amenazas o
vulnerabilidades
SI 0,89%
aplica la información de estos foros para el
correcto funcionamiento de la protección de la
información
SI 0,13%
6% 1,04% 0,21%
el enfoque de la organización para la gestión de la
seguridad de la información y su implementaciónSI 1,04%
los individuos encargados de realizar esta revisión
deben tener experiencia, y conocimientos en cada
área involucrada
SI 0,21%
ACUERDOS
SOBRE
CONFIDENCIALID
AD
CONTACTO CON
LAS
AUTORIDADES
COORDINACIÓN
DE LA
SEGURIDAD DE
LA INFORMACIÓN
es necesario utilizar grupos con funciones separadas
ASIGNACIÓN DE
RESPONSABILIDA
DES PARA LA
SEGURIDAD DE
LA INFORMACIÓN
CONTACTO CON
LAS
AUTORIDADES
GESTION ORGANIZACIÓN SEGURIDAD DE LA INFORMACION CHK-RES-GOSI
O
R
G
A
N
I
Z
A
C
I
Ó
N
D
E
S
E
G
U
R
I
D
A
D
D
E
L
A
I
N
F
O
R
M
A
C
I
Ó
N
O
R
G
A
N
I
Z
A
C
I
Ó
N
I
N
T
E
R
N
A
.
COMPROMISO DE
LA DIRECCIÓN
CON LA
SEGURIDAD DE
LA INFORMACIÓN
REVISIÓN
INDEPENDIENTE
DE LA
SEGURIDAD DE
LA INFORMACIÓN
se deberían revisar independientemente a
intervalos planificados o cuando ocurran cambios
significativos
SI 1,04%los resultados de cada una de las revisiones que se
realicen se deben conservarSI 0,21%
se revisa de manera autónoma la implementación
de seguridad de la informaciónSI 1,04%
las técnicas de revisión pueden incluir entrevistas
de la dirección, verificación de registros o revisiónSI 0,21%
la dirección pone en marcha la revisión
independiente de los documentos de política de
seguridad
NO 0,00%
esta revisión independiente es necesaria para
asegurar la eficacia, idoneidad y propiedadNO 0,00%
existe enfoque de la organización para la gestión
de la seguridad de la informaciónNO 0,00% el enfoque esta dado según el corre del negocio SI 0,21%
5
0 17% 5,56% 0,69%
existe la posibilidad de reducir la seguridad de la
información y de los servicios de procesamiento de
información introduciendo productos o servicios de
partes externas
SI 5,56%se controla todo acceso a los servicios de
procesamiento de información por partes externasSI 0,69%
se identifica y aplican los controles para
administrar el acceso de la parte externa a los
servicios de procesamiento de información
SI 5,56%
es necesario identificar los riesgos para la
información y los servicios de procesamiento de
información
SI 0,69%
NO 0,00%identifica los controles apropiados antes de
autorizar el accesoSI 0,69%
NO 0,00%los servicios de procesamiento de información
requieren acceso la parte externaSI 0,69%
NO 0,00%tipo de acceso que requiere: fisiológico, conexión
de red entre las redes de la organizaciónSI 0,69%
NO 0,00%
conoce los controles necesarios para proteger la
información que no debe ser acezada por partes
externas
SI 0,69%
NO 0,00%
el personal de la parte externa involucrado en
manejar la información de la organización debe ser
capacitado
NO 0,00%
NO 0,00%
realizan contratación externa de servicios, sistemas
de tecnología de información, servicios de
recolección de datos
NO 0,00%
NO 0,00%existe limpieza, alimentación y otros servicios de
soporte contratados externamenteNO 0,00%
17% 5,67% 1,13%
todos los requisitos de seguridad identificados se
deben abordan antes de dar acceso a los clientesSI 5,67%
es necesario considerar los siguientes términos
para abordar la seguridad antes de dar accesoSI 1,13%
se abordan los activos o la información de la
organizaciónSI 5,67%
abordan los clientes a cualquiera de los activos de
la organizaciónSI 1,13%
NO 0,00%solicita documentación de experiencia y
confidencialidad de terceras partesSI 1,13%
NO 0,00%
existe protección de activos incluyendo
procedimientos para proteger los activos de la
organización
SI 1,13%
SI 5,67%conoce el derecho de propiedad intelectual(dpi) y
asignación de derechos de copia. SI 1,13%
17% 2,13% 0,30%
exigen que todos los acuerdos con terceras partes
que implican acceso, procesamiento, comunicación
o gestión de la información cuenten con la
seguridad pertinente
SI 2,13%en el acuerdo debe estar documentada la política
de seguridad de la informaciónSI 0,30%
los acuerdos pueden variar considerablemente para
diferentes organizaciones y entre las terceras
partes
SI 2,13%existen controles para asegurar la protección del
activo incluyendo procedimientos para protegerloSI 0,30%
conoce los riesgos y requisitos de seguridad
identificados en los acuerdosSI 2,13%
implementan formación del administrador en
métodos, procedimientos y seguridad de la
información
NO 0,00%
en caso de que la gestión de la seguridad de la
organización sea contratada externamente
identifica los acuerdos a tener en cuenta
SI 2,13%
se debe asegurar la concientización del usuario
sobre responsabilidades y aspectos de seguridad de
la información
SI 0,30%
abarcar la forma en que la tercera parte
garantizará la seguridad adecuada según la
evaluación de riesgos y vulnerabilidades
NO 0,00%existe disposiciones para la transferencia de
personal, cuando es apropiadoNO 0,00%
es necesario considerar en el acuerdo los
procedimientos para el procesamiento continuo en
caso de que la tercera parte
SI 2,13%es clara la estructura de formatos acordados para
la presentación de los informes
no pueda suministrar sus servicios SI 2,13%
las terceras partes pueden desarrollar acuerdos e
imponerlos a la organizaciónNO 0,00%
es claro el proceso específico para la gestión de
cambiosSI 0,30%
Rótulos de fila % IDEAL
No Cumple 20%
Cumple 80%
Total general 100%
Rótulos de fila % IDEAL2
No Cumple 74%
Cumple 26%
Total general 100% 74
PREGUNTAS DE CONTROL Y AUDITORIA
PREGUNTAS DE RIESGOS Y PREVENCIÓN
O
R
G
A
N
I
Z
A
C
I
Ó
N
D
E
S
E
G
U
R
I
D
A
D
D
E
L
A
I
N
F
O
R
M
A
C
I
Ó
N
O
R
G
A
N
I
Z
A
C
I
Ó
N
I
N
T
E
R
N
A
.
SI 0,30%
NO 0,00%
P
A
R
T
E
S
E
X
T
E
R
N
A
S
IDENTIFICACIÓN
DE LOS RIESGOS
RELACIONADOS
CON LAS PARTES
EXTERNAS
si se aplica un alto grado de contratación externa,
las organizaciones pueden enfrentar riesgos
asociados con procesos, gestión y comunicación
REVISIÓN
INDEPENDIENTE
DE LA
SEGURIDAD DE
LA INFORMACIÓN
existen controles de versiones sobre los
documentos de la política de seguridad de la
información
ABORDAJE DE LA
SEGURIDAD
CUANDO SE
TRATA DE LOS
CLIENTESlos acuerdos con las partes externas también
pueden involucrar a otras partes
ABORDAJE DE LA
SEGURIDAD EN
LOS ACUERDOS
CON TERCERAS
PARTES
No Cumple
20%
Cumple 80%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple
74%
Cumple 26%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
100% 50% 17% 4,17% 1,04%
están organizados los activos designados a
la compañíaSI 4,17%
hay alguien encargado de los
activos en la ausencia de los
encargados
NO 0,00%
si llegan activos, se encuentran en el
inventarioSI 4,17% se conoce los datos de cada activo NO 0,00%
si la el encargado del activo no se
encuentra, se tiene un custodio que cuide
el activo
NO 0,00%
hay alguien encargado de los
activos en la ausencia de los
encargados
NO 0,00%
se identifica las reglas sobre el uso
aceptable de los activosSI 4,17%
si llegan activos, se encuentran en
el inventarioSI 1,04%
17% 3,33% 0,83%
están organizados los activos designados a
la compañíaSI 3,33%
hay alguien encargado de los
activos en la ausencia de los
encargados
NO 0,00%
se garantiza que la información de los
activos se clasifica correctamenteSI 3,33%
están organizados los activos
designados a la compañía NO0,00%
se definen las restricciones y
clasificaciones de acceso, teniendo en
cuenta las políticas aplicables sobre el
control de acceso
SI 3,33%se identifica las reglas sobre el uso
aceptable de los activosSI 0,83%
se revisa periódicamente las restricciones
y clasificaciones de acceso, teniendo en
cuenta las políticas aplicables sobre el
control de acceso
SI 3,33% 0,00%
si la el encargado del activo no se
encuentra, se tiene un custodio que cuide
el activo
NO 0,00%
hay alguien encargado de los
activos en la ausencia de los
encargados
NO 0,00%
17% 2,08% 0,35%
se identifica las reglas sobre el uso
aceptable de la informaciónSI 2,08%
están claramente identificadas
todas las reglas sobre como debe
manejarse los activos de la
compañía
NO 0,00%
se identifica las reglas sobre el uso
aceptable de los activosSI 2,08%
se documenta las reglas sobre el uso
aceptable de la información
SI
2,08%
se tiene documentando todas las
reglas sobre como debe manejarse
los activos de la compañía
NO 0,00%
se documenta las reglas sobre el uso
aceptable de los activosSI 2,08%
se implementa las reglas sobre el uso
aceptable de los activosSI 2,08%
se tienen implementadas todas las
reglas sobre como debe manejarse
los activos de la compañía
NO 0,00%
se implementa las reglas sobre el uso
aceptable de la informaciónSI 2,08%
SI 2,08%
se aplican debidamente las políticas
de uso móviles por fuera de la
entidad
NO 0,00%
SI 2,08%se toman medidas pertinentes en
caso de incumplir estas políticasNO 0,00%
el director correspondiente da aporta las
reglas o directrices especificas
NO 0,00%
el jefe agrega las políticas que solo
competen a cada sección de la
organización
NO 0,00%
50% 25% 8,33% 0,93%
se encuentra protegida la
informaciónNO 0,00%
existen directrices de clasificación
de la informaciónSI 0,93%
se encuentra protegida la
informaciónNO 0,00%
están consideradas las necesidades
de la compañía en cuanto a sus
requisitos legales
SI 0,93%
existen directrices de clasificación
de la informaciónNO 0,00%
se encuentra protegida la
informaciónNO 0,00%
están consideradas las necesidades
de la compañía en cuanto a la
importancia de la compañía
SI 0,93%
existen directrices de clasificación
de la informaciónNO 0,00%
se encuentra protegida la
informaciónNO 0,00%
25% 12,50% 3,13%
el proceso de etiquetado
comprende los activos físicamenteSI 3,13%
GESTION DE ACTIVOS CHK-RES-GAC
se desarrolla un conjunto de
procedimientos adecuados para el
etiquetado y el manejo de la información
SI 12,50%
se clasifica la información por la
importancia para la compañíaSI 8,33%
existen políticas para el uso de dispositivos
móviles, especialmente los que se utilizan
por fuera de la compañía
CLASIFICACIÓN
DE LA
INFORMACIÓN
DIRECTRICES DE
LA INFORMACIÓN
se clasifica la información en términos de
su valor
ETIQUETADO Y
MANIPULACIÓN
DE LA
INFORMACIÓN
SI 8,33%
se clasifica la información por sus
requisitos legalesSI 8,33%
PROPIEDAD DE
LOS ACTIVOS
USO ACEPTABLE
DE LOS ACTIVOS
GESTIÓN DE
ACTIVOS
RESPONSABILIDA
D DE ACTIVOS
INVENTARIO DE
ACTIVOS
el proceso de etiquetado
comprende los activos
electrónicamente
SI 3,13%
el proceso de etiquetado
comprende los activos físicamenteSI 3,13%
el proceso de etiquetado
comprende los activos
electrónicamente
SI 3,13%
Rótulos de fila % IDEAL
No Cumple 8%
Cumple 92%
Total general 100%
Rótulos de fila % IDEAL
No Cumple 83%
Cumple 17%
Total general 100%
PREGUNTAS DE CONTROL Y AUDITORIA
PREGUNTAS DE RIESGOS Y PREVENCIÓN
se desarrolla un conjunto de
procedimientos adecuados para el
etiquetado y el manejo de la información
SI 12,50%
se implementa un conjunto de
procedimientos adecuados para el
etiquetado y el manejo de la información
SI 12,50%
CLASIFICACIÓN
DE LA
INFORMACIÓN
ETIQUETADO Y
MANIPULACIÓN
DE LA
INFORMACIÓN
GESTIÓN DE
ACTIVOS
No Cumple
8%
Cumple 92%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple
83%
Cumple 17%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
SECCIÓ
N
SUBSE
CCIÓ
N
CONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RESP
UEST
A
% IDEAL
PREGUNTAS DE RIESGOS Y PREVENCIÓN
RESP
UEST
A
% IDEAL
100% 33% 11,11% 0,93% 0,04%
se definen roles para los empleados de acuerdo con la
política de seguridad de información de la compañíaSI 0,93% se ejecutan los roles SI 0,04%
se definen roles para los contratistas de acuerdo con la
política de seguridad de información de la compañíaSI 0,93% se ejecutan los roles SI 0,04%
se definen roles para los usuarios de terceras partes de
acuerdo con la política de seguridad de información de
la compañía
SI 0,93% se ejecutan los roles SI 0,04%
son documentos estandarizados SI 0,04%
hay un control de acceso a los documentos SI 0,04%
son documentos estandarizados SI 0,04%
hay un control de acceso a los documentos SI 0,04%
son documentos estandarizados SI 0,04%
hay un control de acceso a los documentos SI 0,04%
se verifica que se cumpla las
responsabilidades de cada empleadoSI 0,04%
se toman las medidas pertinentes en caso
de que un empleado no cumpla con la
responsabilidad
SI 0,04%
se verifica que se cumpla las
responsabilidades de cada empleadoSI 0,04%
se toman las medidas pertinentes en caso
de que un empleado no cumpla con la
responsabilidad
SI 0,04%
se verifica que se cumpla las
responsabilidades de cada empleadoSI 0,04%
se toman las medidas pertinentes en caso
de que un empleado no cumpla con la
responsabilidad
SI 0,04%
son documentos estandarizados NO 0,00%
hay un control de acceso a los documentos NO 0,00%
son documentos estandarizados NO 0,00%
hay un control de acceso a los documentos NO 0,00%
son documentos estandarizados NO 0,00%
hay un control de acceso a los documentos NO 0,00%
3,70% 0,62%
se tiene en cuenta la legislación
correspondiente a la privacidadSI 0,62%
se tiene en cuenta la protección de los
datos personalesNO 0,00%
se tiene en cuenta la legislación
correspondiente a la privacidadNO 0,00%
se tiene en cuenta la protección de los
datos personalesNO 0,00%
se tiene en cuenta la legislación
correspondiente a la privacidadNO 0,00%
se tiene en cuenta la protección de los
datos personalesNO 0,00%
3,70% 0,62%
los términos de acuerdo reflejan la
política de seguridad de la compañíaNO 0,00%
los empleados firman un acuerdo de
confidencialidad cuando tienen acceso a
la información de la entidad
SI 0,62%
los términos de acuerdo reflejan la
política de seguridad de la compañíaNO 0,00%
los contratistas firman un acuerdo de
confidencialidad cuando tienen acceso a
la información de la entidad
SI 0,62%
los términos de acuerdo reflejan la
política de seguridad de la compañíaSI 0,62%
los usuarios de terceras partes firman un
acuerdo de confidencialidad cuando
tienen acceso a la información de la
entidad
SI 0,62%
11,11% 1,85% 0,21%
los empleados están informados sobre las
funciones respecto a la seguridad de la
información antes de que se les otorgue
acceso a la misma
SI 0,21%
los empleados están informados sobre las
responsabilidades respecto a la
seguridad de la información antes de que
se les otorgue acceso a la misma
SI 0,21%
los empleados están informados sobre las
funciones respecto a la seguridad de la
información antes de que se les otorgue
acceso a la misma
SI 0,21%
los empleados están informados sobre las
responsabilidades respecto a la
seguridad de la información antes de que
se les otorgue acceso a la misma
SI 0,21%
los empleados están informados sobre las
funciones respecto a la seguridad de la
información antes de que se les otorgue
acceso a la misma
SI 0,21%
los empleados están informados sobre las
responsabilidades respecto a la
seguridad de la información antes de que
se les otorgue acceso a la misma
SI 0,21%
1,85% 0,17%
los empleados están motivados a aplicar
la norma de seguridad según los
procedimientos establecidos por la
los empleados están motivados a aplicar
la norma de seguridad según los
procedimientos establecidos por la
los empleados están motivados a aplicar
la norma de seguridad según los
procedimientos establecidos por la
la dirección exige a los usuarios de terceras partes que
apliquen la seguridad según los procedimientos
establecidos por la compañía
la dirección exige a los empleados que apliquen la
seguridad según los procedimientos establecidos por la
compañía
la dirección exige a los contratistas que apliquen la
seguridad según las políticas establecidos por la
compañía
la dirección exige a los contratistas que apliquen la
seguridad según los procedimientos establecidos por la
compañía
la dirección exige a los usuarios de terceras partes que
apliquen la seguridad según las políticas establecidos
por la compañía
1,85% SI
los empleados estuvieron de acuerdo y firman los
términos y condiciones de su contrato laboral
los contratista estuvieron de acuerdo y firman los términos
y condiciones de su contrato laboral
los usuarios de terceras partes estuvieron de acuerdo y
firman los términos y condiciones de su contrato laboralSI 3,70%
la dirección exige a los empleados que apliquen la
seguridad según las políticas establecidos por la
compañía
se documentan responsabilidades para los usuarios de
terceras partes de acuerdo con la política de seguridad
de información de la compañía
se realizan verificaciones de los antecedentes a los
candidatos a ser empleados de la compañía
NO 0,00%
se realizan verificaciones de los antecedentes a los
candidatos a ser contratistas de la compañía
se realizan verificaciones de los antecedentes a los
candidatos a ser usuarios de terceras partes de la
compañía
3,70%
SI 3,70%
se documentan los roles para los empleados de acuerdo
con la política de seguridad de información de la
compañía
se documentan los roles para los contratistas de acuerdo
con la política de seguridad de información de la
compañía
se documentan los roles para los usuarios de terceras
partes de acuerdo con la política de seguridad de
información de la compañía
se definen responsabilidades para los empleados de
acuerdo con la política de seguridad de información de
la compañía
se definen responsabilidades para los contratistas de
acuerdo con la política de seguridad de información de
la compañía
SI 0,93%
SI 0,93%
se definen responsabilidades para los usuarios de
terceras partes de acuerdo con la política de seguridad
de información de la compañía
se documentan responsabilidades para los empleados de
acuerdo con la política de seguridad de información de
la compañía
se documentan responsabilidades para los contratistas de
acuerdo con la política de seguridad de información de
la compañía
SI 1,85%
SI
S
E
G
U
R
I
D
A
D
D
E
L
O
S
R
E
C
U
R
S
O
S
H
U
M
A
N
O
S
A
N
T
E
S
D
E
L
A
C
O
N
T
R
A
T
A
C
I
Ó
N
L
A
B
O
R
A
L
ROLES Y
RESPONSABILIDA
DES
TÉRMINOS Y
CONDICIONES
LABORALES
SI 0,93%
SI 0,93%
SI 0,93%
SI 0,93%
SELECCIÓN
SI 3,70%
SI 0,93%
SI 0,93%
SI
D
U
R
A
N
T
E
L
A
V
I
G
E
N
C
I
A
D
E
L
C
O
N
T
R
A
T
O
L
A
B
O
R
A
L
RESPONSABILIDA
DES DE LA
DIRECCIÓN
SI 3,70%
SI 3,70%
SI 0,21%
NO 0,00%
SI 1,85%
NO 0,00%
SI 0,21%
0,21%
SI 1,85%
GESTION SEGURIDAD DE RRHH CHK-RES-GRRHH
las actividades de concientización son
pertinentes a su función desempeñadaNO 0,00%
las actividades de formación sobre
seguridad son pertinentes a su función
desempeñada
NO 0,00%
las actividades de concientización son
pertinentes a su función desempeñadaNO 0,00%
las actividades de formación sobre
seguridad son pertinentes a su función
desempeñada
NO 0,00%
las actividades de concientización son
pertinentes a su función desempeñadaNO 0,00%
las actividades de formación sobre
seguridad son pertinentes a su función
desempeñada
NO 0,00%
las actividades de concientización son
pertinentes a su función desempeñadaNO 0,00%
las actividades de formación sobre
seguridad son pertinentes a su función
desempeñada
NO 0,00%
las actividades de concientización son
pertinentes a su función desempeñadaNO 0,00%
las actividades de formación sobre
seguridad son pertinentes a su función
desempeñada
NO 0,00%
hay un proceso disciplinario para los empleados que
hayan cometido alguna violación de la seguridadNO 0,00%
se verifica antes que se haya presentado
la violación antes de ejecutar el proceso
disciplinario
NO 0,00%
11,11% 0,06 5,56%
se definen claramente las responsabilidades para llevar
a cabo la terminación o cambio de la contratación
laboral
SI 0,06%
se asigna claramente las responsabilidades para llevar a
cabo la terminación o cambio de la contratación laboralSI 0,06%
se formaliza el proceso de terminación
para incluir la devolución del software
previamente publicado
NO
se formaliza el proceso de terminación
para incluir la devolución de los
documentos corporativos?
NO
se formaliza el proceso de terminación
para incluir la devolución los equiposNO
se formaliza el proceso de terminación
para incluir la devolución del software
previamente publicado
NO
se formaliza el proceso de terminación
para incluir la devolución de los
documentos corporativos
NO
se formaliza el proceso de terminación
para incluir la devolución los equiposNO
se formaliza el proceso de terminación
para incluir la devolución del software
previamente publicado
NO
se formaliza el proceso de terminación
para incluir la devolución de los
documentos corporativos
NO
se formaliza el proceso de terminación
para incluir la devolución los equiposNO
los derechos de acceso de los empleados a la
información se retiran al final su contratación laboral,
contrato o acuerdo
NO 0,00% NO
los derechos de acceso de los empleados a los servicios
de procesamiento de información se retiran al final su
contratación laboral, contrato o acuerdo
SI 1,85% NO
los derechos de acceso de los contratistas a la
información se retiran al final su contratación laboral,
contrato o acuerdo
SI 1,85% NO
los derechos de acceso de los contratistas a los servicios
de procesamiento de información se retiran al final su
contratación laboral, contrato o acuerdo
SI 1,85% NO
los derechos de acceso de los usuarios de terceras partes
a la información se retiran al final su contratación
laboral, contrato o acuerdo
SI 1,85% NO
los derechos de acceso de los usuarios de terceras partes
a los servicios de procesamiento de información se
retiran al final su contratación laboral, contrato o
acuerdo
SI 1,85% NO 0,62%
Rótulos de fila % IDEAL
No Cumple 42%
Cumple 58%
Total general 100%
Rótulos de fila % IDEAL2
No Cumple 23%
Cumple 6%
Total general 28%
si la decisión es por parte del empleado
los derechos de los empleados se retiran
antes de la finalización o cambio del
contrato laboral
si la decisión es por parte del contratista
los derechos de los empleados se retiran
antes de la finalización o cambio del
contrato laboral
si la decisión es por parte de los usuarios
de terceras partes los derechos de los
empleados se retiran antes de la
finalización o cambio del contrato laboral
todos los empleados de la organización, cuando sea
pertinente recibieron adecuada en concientización y
actualizaciones regulares en los procedimientos respecto
a sus funciones laborales
todos los empleados deben devolver todos los activos
pertenecientes a la organización que estén a cargo para
poder finalizar su contratación laboral, contrato o
acuerdo
todos los contratistas deben devolver todos los activos
pertenecientes a la organización que estén a cargo para
poder finalizar su contratación laboral, contrato o
acuerdo?
todos los usuarios de terceras partes deben devolver
todos los activos pertenecientes a la organización que
estén a cargo para poder finalizar su contratación
laboral, contrato o acuerdo
los cambios en la responsabilidad o en el
contrato laboral son gestionados como
terminación de responsabilidad o contrato
laboral
todos los empleados de la organización, cuando sea
pertinente recibieron adecuada en concientización y
actualizaciones regulares en los procedimientos respecto
a sus funciones laborales
todos los empleados de la organización, cuando sea
pertinente recibieron adecuada en concientización y
actualizaciones regulares en las políticas respecto a sus
funciones laborales
todos los empleados de la organización, cuando sea
pertinente recibieron adecuada en concientización y
actualizaciones regulares en los procedimientos respecto
a sus funciones laborales
todos los empleados de la organización, cuando sea
pertinente recibieron adecuada en concientización y
actualizaciones regulares en las políticas respecto a sus
funciones laborales
NO 0,00%
NO
S
E
G
U
R
I
D
A
D
D
E
L
O
S
R
E
C
U
R
S
O
S
H
U
M
A
N
O
S
PROCESO
DISCIPLINARIO
5,56%
NO 0,00%
D
U
R
A
N
T
E
L
A
V
I
G
E
N
C
I
A
D
E
L
C
O
N
T
R
A
T
O
L
A
B
O
R
A
L
SI 1,85%
PREGUNTAS DE CONTROL Y AUDITORIA
PREGUNTAS DE RIESGOS Y PREVENCIÓN
5,56%
5,56%
SI 3,70%
5,56%
0,00%
DEVOLUCIÓN DE
ACTIVOS
T
E
R
M
I
N
A
C
I
Ó
N
O
C
A
M
B
I
O
D
E
L
A
C
O
N
T
R
A
T
A
C
I
Ó
N
L
A
B
O
R
A
L
RESPONSABILIDA
DES EN LA
TERMINACIÓN
RETIRO DE LOS
DERECHOS DE
ACCESO
0,00%
NO 0,00%
NO 0,00%
0,00%
0,00%
SI 3,70%
0,00%
NO
No Cumple 42% Cumple
58%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple 80%
Cumple 20%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
SECCIÓ
N
SU
BSECCIÓ
NCONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RESPU
ESTA
% ID
EAL
PREGUNTAS DE RIESGOS Y PREVENCIÓN
RESPU
ESTA
% ID
EAL
100% 50% 8,33% 1,19% 0,17%
PERÍMETRO DE
SEGURIDAD FÍSICA
la estructura locativa cuenta con algún nivel de seguridad
para impedir acceso a personal no autorizadoSI 1,19%
tienen alarmas en puertas y ventajas en caso de intento de rompimiento de los
mismosSI 0,17%
CONTROLES FÍSICOS DE
ENTRADA
tienen algún medio de control (tarjetas inteligentes,
ingreso con clave o tras medios) de ingreso al centro de
datos
SI 1,19%se tiene registro del personal que ingresa al centro de datos (empleado,
proveedor, contratista, cliente, etc.).SI 0,17%
SEGURIDAD DE
OFICINAS, DESPACHOS E
INSTALACIONES
todas las personas (visitantes, clientes, proveedores,
contratistas), tienen conocimiento de la ubicación física
del centro de datos
SI 1,19%el personal que entra al centro de datos conoce los controles por los tiene que
pasar antes de llegar al centro de datosSI 0,17%
tienen un procedimiento que indique que hacer en casos
de emergencia o desastreSI 1,19% los directivos tienen conocimiento de dicha política NO 0,00%
tienen una política divulgada de procedimientos en caso
de emergencia o desastreSI 1,19%
los responsables tienen claridad del procedimiento en caso de emergencia o
desastreSI 0,17%
TRABAJO EN ÁREAS
SEGURAS
supervisan las labores específicas del personal
(contratista, proveedor y personal no autorizado) que
ingresa al centro de datos
SI 1,19%
tienen una política donde restrinjan a el personal que desarrollan actividades
especificas (contratista, proveedor y persona no autoriza) el acceso de
material fotográfico, grabación, video, audio, dispositivos móviles otro
elemento que pueda poner en peligro el centro de datos al personal
SI 0,17%
ÁREAS DE ACCESO
PUBLICOla recepción esta alejada del centro de datos SI 1,19% la correspondencia que llega es registrado e inspeccionado SI 0,17%
5
0
%
7,14% 1,02% 0,15%
PROTECCIÓN DE
EQUIPOS
monitorean los dispositivos de ventilación, humedad y
temperatura del centro de datosSI 1,02%
hay una persona responsable de lleva el registro constante de
mantenimientos de dispositivos de ventilación, humanidad y temperaturaSI 0,15%
INSTALACIONES DE
SUMINISTROS
manejan ups ó planta eléctrica que permita sustituir el
fluido eléctrico en caso de caída del servicio que presta
el proveedor
SI 1,02% se hace monitoreo y seguimiento del estado de las ups ó planta eléctrica SI 0,15%
SEGURIDAD DEL
CABLEADO
el cableado de datos esta separado del cableado
eléctricoSI 1,02% tienen plano del cableado de datos y eléctrico SI 0,15%
MANTENIMIENTO DE LOS
EQUIPOS
se tiene una bitácora actualizada de los mantenimientos
de los servidoresSI 1,02% se tiene registro de las fallas de los mantenimientos SI 0,15%
SEGURIDAD DE LOS
EQUIPOS FUERA DE LAS
INSTALACIONES
se tiene un procedimiento acerca de la salida de equipos
fuera de las instalaciones de quintecSI 1,02% el seguro contratado cubre los equipos que están fuera de la compañía. SI 0,15%
REUTILIZACIÓN O
RETIRADA SEGURA DE
EQUIPOS
tienen una política para reutilización o reasignación de
equiposNO 0,00% realizan backups antes de reutilizar un equipos en forma segura los equipos SI 0,15%
RETIRADA DE MATERIALES
PROPIEDAD DE LA
EMPRESA
todo personal esta autorizado a retirar material o
equipos propiedad de la empresaNO 0,00% se hace registro de todos los elementos que entran y salen de la empresa SI 0,15%
Etiquetas de fila % IDEAL
No Cumple 87%
Cumple 13%
Total general 100%
Etiquetas de fila % IDEAL
No Cumple 98%
Cumple 2%
Total general 100%
GESTION DE SEGURIDAD FISICA Y EL ENTORNO CHK-RES-SFE
PREGUNTAS DE RIESGOS Y PREVENCIÓN
S
E
G
U
R
I
D
A
D
F
Í
S
I
C
A
Y
D
E
L
E
N
T
O
R
N
O
Á
R
E
A
S
S
E
G
U
R
A
S
PROTECCIÓN CONTRA
LAS AMENAZAS
EXTERNAS Y DE ORIGEN
AMBIENTAL
S
E
G
U
R
I
D
A
D
D
E
L
O
S
E
Q
U
I
P
O
S
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple
87%
Cumple
13%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple
98%
Cumple 2%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
SEC
CIÓ
N TIENEN CONTROL
CONSTANTE DEL
SOFTWARE DE
APLICACIÓN
TIENEN PROCEDIMIENTOS DE BACKUPS
GESTIÓN DE
COMUNICACIONES
OPERACIONES
MANEJAN UN
DIRECTORIO DE
CONTACTOS DE
SOPORTE EN
CASO DE
EMERGENCIA Ò
DESASTRE
RESPONSABILIDA
DES Y
PROCEDIMIENTOS
DE OPERACIÓN
PREGUNTAS DE
RIESGOS Y
PREVENCIÓN
DOCUMENTACIÓ
N DE LOS
PROCEDIMIENTOS
DE OPERACIÓN
% ID
EA
L
DOCUMENTACIÓN DE LOS
PROCEDIMIENTOS DE OPERACIÓN
responsabilidad de
tareasSI 0,36%
manejan un directorio
de contactos de
soporte en caso de
emergencia ò desastre
SI 0,04%
tienen procedimientos
de seguridad para la
protección de
información
NO 0,00%
aplica los
procedimientos de
seguridad para la
protección de
información
NO 0,00%
tienen procedimientos
de seguridad para la
protección de
información
SI 0,36%
aplica los
procedimientos de
seguridad para la
protección de
información
SI 0,04%
SI 0,36%
los usuarios están
perfilados en ingreso
al sistema, para reducir
error
SI 0,04%
SI 0,36%
tienen niveles de
seguridad para la
protección de
información
SI 0,04%
identifican claramente
el grado de
separación del centro
de datos y oficinas
operativas
SI 0,36%
los datos sensibles se
copian en el entorno
de prueba
SI 0,04%
tienen procedimientos
de seguridad para la
protección de
información
SI 0,36%
aplica los
procedimientos de
seguridad para la
protección de
información
SI 0,04%
tiene políticas de
seguridad
implementadas para
la protección de
información
SI 0,36%
documentan las labores
de pruebas de clientes
internos y externos
SI 0,04%
PRESTACION DE SERVICIOS
tienen niveles de
seguridad para la
protección de
información
SI 1,11%
garantizar el servicio
del tercero para
eventos como desastres
o fallas significativas
SI 0,28%
SI 1,11%
se hace auditoria de
manera regulada a
servicios
SI 0,28%
SI 1,11%
se hace auditoria de
manera regulada a
reportes.
SI 0,28%
GESTIÓN DEL CAMBIO EN LOS
SERVICIOS PRESTADOS POR
TERCEROS
los terceros están
comprometidos a
mejorar en los
servicios actuales
ofrecidos por ellos
NO 0,00%
documentan la creación
de nuevos controles
para evitar riesgo de
incidentes
NO 0,00%
hace seguimiento de
los recursos para
asegurar el
desempeño del futuro
SI 1,25%
tiene controles de
indagación para
identificar problemas a
tiempo
SI 0,31%
tiene conocimiento de
los recursos para
asegurar el
desempeño futuro
SI 1,25%
hacen adquisición de
los recursos necesarios,
en tiempo requerido
SI 0,31%
garantizan la
actualización en las
aplicaciones
SI 1,25%
controles contra el
código descargado en
el cliente
SI 0,31%
garantizan la
instalación de nuevas
versiones en las
aplicaciones
SI 1,25%
tiene registro de
instalaciones de los
sistemas que no fallan
SI 0,31%
CONTROL CONTRA EL CÓDIGO
MALICIOSO
divulgan la políticas
de control que
prohíba el uso de
software malicioso
SI 2,50%
tienen personal
encargado de hacer
revisión de los reportes
de control
SI 1,25%
GESTION DE COMUNICACIONES Y OPERACIONES CHK-RES-GCOP
GESTIÓ
N D
E C
OM
UN
ICA
CIO
NES O
PERA
CIO
NES
RESPONSABILIDA
DES Y
PROCEDIMIENTOS
DE OPERACIÓN
GESTIÓN DE CAMBIOS
LOS USUARIOS ESTÁN PERFILADOS EN
INGRESO AL SISTEMA, PARA REDUCIR
ERROR
SEPARACIÓN DE LOS RECURSOS DE
DESARROLLO PRUEBA Y OPERACIÓN
GESTIÓN DE LA
PROVISIÓN DE
SERVICIOS DE
TERCEROS
HACE SEGUIMIENTO DE LOS
RECURSOS PARA ASEGURAR EL
DESEMPEÑO DEL FUTURO
PLANIFICACIÓN Y
ACEPTACIÓN DEL
SISTEMA
GESTIÓN DE CAPACIDADES
ACEPTACIÓN DEL SISTEMA
TIENEN POLÍTICAS
DE RESPALDO DE
BACKUPS
tienen responsables
de procedimientos de
la gestión que
garantice el control,
satisfactorio de los
cambios en los
equipos de cómputo
los terceros están
comprometidos por
medio de un acuerdo
jurídico inicial a
resolver y manejar
todos los problemas
identificados que se
presenten y afecten la
operación
CONTROLES CONTRA EL CÓDIGO
DESCARGADO EN EL CLIENTE
tienen registro de
restablecimiento de
backups
SI 2,50%
tiene algún
procedimiento de
bloqueo de búsqueda
de códigos móviles
dentro del centro de
datos
SI 1,25%
tienen políticas de
respaldo de backupsSI 3,33%
aplican las políticas de
respaldo de backups
reguladamente
SI 1,11%
tienen política de
acceso remotoSI 3,33%
tienen claramente
identificados el
personal autorizado
para acezar
remotamente a la red
SI 1,11%
tienen un
procedimiento de
respaldo de backups
SI 3,33%
se tienen el
almacenamiento o
custodia de los medios
de respaldo en un sitio
alejado que impidan
daño de los mismos en
caso de catástrofe
SI 1,11%
tienen política de
acceso remotoSI 1,67%
autentican a los
usuarios a los servicios
de red
SI 0,56%
manipulación de los
soportesSI 1,67%
tienen registro de
acciones de seguridad
pertinentes a acceso
remoto
SI 0,56%
SEGURIDAD DE LOS SERVICIOS DE RED
autentican a los
usuarios a los servicios
de red
SI 1,67%
tienen parámetros
técnicos para
conexiones de
servicios de red
SI 0,56%
tienen políticas para
la protección de
documentos en medios
magnéticos, contra
modificación
NO 0,00%
los procedimientos
para la protección de
documentos medios
magnéticos, contra
modificación.
NO 0,00%
tiene políticas para la
protección de
información contra
eliminación
SI 0,50%
todos los medios son
almacenados y
vigilados con su
respectivo registro y
control
NO 0,00%
TIENEN ROTULACIÓN CLARA DE LOS
MEDIOS DE RESPALDO PARA LA
CAPTACIÓN DE LA PERSONA
RESPONSABLE DEL PROCESO
tienen un
procedimiento para
establecer los casos
que pueden requerir
eliminación de
información
SI 0,50%
registran de manera
formal y segura la
eliminación de los
medios
SI 0,10%
PROCEDIMIENTOS DE MANIPULACIÓN
DE LA INFORMACIÓN
tienen rotulación clara
de los medios de
respaldo para la
captación de la
persona responsable
del proceso
SI 0,50%
tienen restricciones de
acceso para impedir
acceso a personal no
autorizado en sitios
sensibles de
información
SI 0,10%
SEGURIDAD DE LA DOCUMENTACIÓN
DEL SISTEMA
hay un responsable
de acceso de la
documentación del
sistema
NO 0,00%
la información que se
publica a la red tiene
procedimientos de
seguridad antes de ser
publicadas
NO 0,00%
tienen políticas de
control que lleven a
cabo la encriptación
de información para
proteger el contenido
SI 0,25%
el acceso a la
información puede
ocurrir en varios medio
de comunicación como
lo son teléfonos, correo
electrónico, fax,
copiadoras
SI 3,13%
tienen políticas de
control que lleven a
cabo la encriptación
de información para
proteger la
integración de la
información
SI 0,25%
tienen registro del
seguimiento de
políticas
SI 3,13%
GESTIÓ
N D
E C
OM
UN
ICA
CIO
NES O
PERA
CIO
NES
TIENEN POLÍTICAS
DE RESPALDO DE
BACKUPS
COPIAS DE
SEGURIDAD
COPIA DE SEGURIDAD DE LA
INFORMACIÓN
GESTIÓN DE LA
SEGURIDAD DE
LAS REDES
CONTROLES DE RED
MANIPULACIÓN
DE LOS
SOPORTES
TODOS LOS MEDIOS SON
ALMACENADOS Y VIGILADOS CON SU
RESPECTIVO REGISTRO Y CONTROL
INTERCAMBIO DE
INFORMACIÓN
POLÍTICAS Y PROCEDIMIENTOS DE
INTERCAMBIO DE LA INFORMACIÓN
tienen políticas de
control que lleven a
cabo la encriptación
de información para
proteger la
confidencialidad.
SI 0,25%acuerdos de
intercambioSI 3,13%
ACUERDOS DE INTERCAMBIO
tienen una política
para la protección de
los datos, con
respecto intercambio
de información
SI 0,25%
tienen registros
documentados para el
trazado y
empaquetamiento de
información
SI 3,13%
los terceros de
mensajería tienen la
capacidad para
identificar el tipo de
información que
trasladan
NO 0,00%
la empresa de
mensajería identifica
con claridad el tipo de
mercancía que lleva
NO 0,00%
se tiene registro de
los elementos que son
transitados por el
proveedor de
mensajería
SI 0,25%
se tiene registro de los
elementos que son
transitados por el
proveedor de
mensajería
SI 3,13%
MENSAJERÍA ELECTRÓNICA
tienen protegidos los
datos contra acceso
no autorizado
SI 0,25%
cuentan con niveles
solidos de
autenticación
SI 3,13%
SISTEMAS DE INFORMACIÓN
EMPRESARIALES
tienen documentado
las vulnerabilidades,
en los sistemas
administrativos como
información contable
SI 0,25%
tienen manuales de uso
de los sistemas
administrativos
SI 3,13%
COMERCIO ELECTRÓNICO
hay política de
confidencialidad a
personal interno y
externo (entiéndase
por externo
proveedores, clientes
y contratistas)
SI 1,10%
regulan el control de
información de
transferencias
económicas de los
clientes
SI 0,37%
TRANSACCIONES EN LÍNEA
las credenciales han
sido verificadas para
el procesos de
transacción en línea
NO 0,00%
se tienen los
respectivos certificados
de seguridad para
llevar a cabo las
transacciones en línea
de forma segura
NO 0,00%
INFORMACIÓN PÚBLICAMENTE
DISPONIBLE
la información
disponibles en la web
es aprobada por la
gerencia de la
compañía sin tener
riesgos de
vulnerabilidad
NO 0,00%
la información
disponible no pondrá
en peligro la
integridad de los
clientes y de la entidad
misma
NO 0,00%
tienen registros
completo de eventos e
incidentes de control
al hardware.
SI 0,19%
tienen conocimiento de
la información que
operan los usuarios
SI 0,0002
tienen registros
completo de eventos e
incidentes de control
al software, que
afecten la operación
NO 0,00%
hacen capacitación, de
las aplicaciones
habilitadas para
utilizar en la compañía
NO 0,00%
tienen registros
completo de eventos e
incidentes de control a
las telecomunicaciones
que afecten la
operación
SI 0,19%
tienen registro de las
actualizaciones de los
procedimientos
SI 0,02%
SUPERVISIÓN DEL USO DEL SISTEMAS
tienen registro de
intentos de acceso no
autorizado al sistema
0,00%
hacen con regularidad
control al seguimiento
de registros.
tienen control en el
riesgo de la
capacidad sobre
escritura
0,00%
GESTIÓ
N D
E C
OM
UN
ICA
CIO
NES O
PERA
CIO
NES
INTERCAMBIO DE
INFORMACIÓN
POLÍTICAS Y PROCEDIMIENTOS DE
INTERCAMBIO DE LA INFORMACIÓN
SOPORTES FÍSICOS EN TRANSITO
PROTECCIÓN DE LA INFORMACIÓN DE
LOS REGISTROS
SERVICIOS DE
COMERCIO
ELECTRÓNICO
SUPERVISIÓN
REGISTROS DE AUDITORIA
0,00%NO NO
tienen control en el
riesgo de la
capacidad sobre
saturación
SI 0,19%
almacenan la evidencia
de incidencias que
pueden afectar de
manera crítica al
sistema como parte de
la auditoria
SI 0,02%
REGISTRO DE ADMINISTRACIÓN Y
OPERACIÓN
tienen políticas que
permitan informar
sobre los eventos de
los sistemas
SI 0,19%
documentan la hora
del incidente con firma
del responsable
SI 0,02%
REGISTRO DE FALLOS
revisan
constantemente las
medidas correctivas
para garantizar que
no vuelva a ocurrir
dicho evento.
SI 0,19%
hacen revisión de los
registro para
garantizar que estos
hayan quedado
solucionados en su
totalidad
SI 0,02%
SINCRONIZACIÓN DEL RELOJ
sincronizan reloj de
servidores y equipos
de escritorios
SI 0,19%tienen bitácora de
seguimiento revisiónSI 0,02%
Etiquetas de fila % IDEAL
No Cumple 64%
Cumple 36%
Total general 100%
Etiquetas de fila % IDEAL
No Cumple 68%
Cumple 32%
Total general 100%
GESTIÓ
N D
E C
OM
UN
ICA
CIO
NES O
PERA
CIO
NES
PROTECCIÓN DE LA INFORMACIÓN DE
LOS REGISTROS
GESTIÓN DE COMUNICACIONES OPERACIONES
PREGUNTAS DE RIESGOS Y PREVENCIÓN
SUPERVISIÓN
No Cumple
64%
Cumple 36%
GESTIÓN DE COMUNICACIONES OPERACIONES
No Cumple
68%
Cumple 32%
PREGUNTAS DE RIESGOS Y PREVENCIÓN
SECCIO
NSUBSECCION CONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RESPU
ESTA
% ID
EAL
PREGUNTAS DE RIESGOS Y PREVENCION
RESPU
ESTA
% ID
EAL
100% 14,29% 14,29% 2,38% 0,22%
Conoce Ud. toda la documentación respectiva NO 0,00%
La política se aplica correctamente SI 0,22%
Están activos estos accesos SI 0,22%
Se le efectúa mantenimiento periódicamente SI 0,22%
Existen políticas para distribuir y autorizar la información de los
niveles de seguridad y clasificación de la informaciónSI 2,38% En la empresa se aplica esta política SI 0,22%
Es aplicado dentro de la empresa SI 0,22%
Se comprueba que estén funcionando conforme a la seguridad de la empresa SI 0,22%
Se aplica dentro de la empresa SI 0,22%
Se realiza auditoria a la distribución NO 0,00%
Se realiza mensual o semestralmente NO 0,00%
Se corrigen los errores que arroja la prueba NO 0,00%
14,29% 3,57% 0,60% 0,06%
Se realizan pruebas para establecer la efectividad del control NO 0,00%
Se documenta este proceso NO 0,00%
Se asocia el ID al usuario NO 0,00%
Se hace verificación de correspondencia de ID con Nombre de Usuario NO 0,00%
Hay niveles de acceso y perfiles de usuario SI 0,58% El administrador de sistema verifica que estén adecuadamente asignados NO 0,00%
Conocen la documentación escrita de derechos de usuario NO 0,00% En caso de no acatar los derechos hay alguna sanción respectiva NO 0,00%
Los usuarios inactivos son purgados del sistema NO 0,00%
Se tiene documentación respectiva de esa verificación NO 0,00%
El compromiso esta debidamente archivado NO 0,00%
En caso de perdida hay backup digital del mismo NO 0,00%
3,57% 1,19% 0,20%
Son aplicadas dentro de la empresa SI 0,20%
Se ejerce el control mensual o semestralmente NO 0,00%
Se tiene definida la métrica de privilegios según función del usuario NO 0,00%
Se tiene un encargado de control de esto NO 0,00%
La conservación es segura NO 0,00%
Se tiene a un responsable de esto NO 0,00%
3,57% 0,89% 0,11%
Se aplica en la empresa NO 0,00%
La asignación es documentada de forma escrita NO 0,00%
Queda algún record digital de la asignación NO 0,00%
El usuario obtiene algún documento donde quede constancia del acuerdo NO 0,00%
Tienen copia del documento creado NO 0,00%
Hay algún acuerdo de cambio de contraseñas periódicamente por
parte del usuarioSI 0,89% Hay un tiempo máximo de cambio de contraseña (mensual, semestral) NO 0,00%
El almacenamiento es de forma digital o escrita SI 0,11%
Donde se almacena la información de las contraseñas esta restringido SI 0,11%
3,57% 1,19% 0,20%
Se aplica el proceso NO 0,00%
Se corrigen los errores encontrados durante el proceso NO 0,00%
Este proceso queda documentado de manera escrita SI 0,20%
En dada situación de perdida del documento se guarda alguna copia digital SI 0,20%
Este registro es administrado por una persona responsable SI 0,20%
Queda constancia escrita de los cambios NO 0,00%
14,29% 4,76% 2,38% 0,48%
Se tienen sanciones en caso de no incumplir lo acordado NO 0,00%
Queda constancia en un documento escrito NO 0,00%
Tienen copia de respaldo digital del mismo NO 0,00%
Tiene aplicación la política SI 0,47%
Los usuarios tienen la obligación de crear contraseñas alfanuméricas SI 0,47%
4,76% 1,19% 0,17%
Se tiene control de los equipos periódicamente (Semanal, Mensual), Cuentan
con algún antivirus NO 0,00%
Están protegidos por un firewall SI 0,17%
Las sesiones vienen con mecanismo de bloqueo automático por
inactividadSI 1,19% Se activa la sesión del equipo por medio de contraseña SI 0,17%
Se genera un log de eventos enviado al administrador del sistema SI 0,17%
Cuando hay cierre de los equipos se controla la manera de reactivación SI 0,17%
La contraseña cuenta con la política de seguridad establecida (alfanumérica) SI 0,17%
En caso de perdida de clave se cuenta con claves alternativas SI 0,17%
4,76% 2,38% 0,60%
Se aplican sanciones al no cumplir con el acuerdo NO 0,00%
La restricción esta sustentada en un documento escrito NO 0,00%
Se guarda copia del mismo NO 0,00%
CONTROL DE ACCESO CHK-RES-CTRLACC
C
O
N
T
R
O
L
D
E
A
C
C
E
S
O
Requisitos de negocio
para el control de
acceso
0,00%
Gestión del acceso de
usuarios
Registro de Usuario
2,38%
Existe distribución de las funciones de control de acceso (solicitud,
autorización y administración)SI 2,38%
2,38%
Tienen accesos lógicos y físicos SI 2,38%
Política de Control
de Acceso
Tienen establecidos la documentación y revisión de la política de
control de acceso basándose en los requerimientos de la empresa.SI
Tienen definidos los perfiles de usuario, normas y derechos de los
mismosSI
Se efectúa una revisión periódica de controles de acceso NO
Hay compromiso escrito de rol de usuario NO 0,00%
Existe ID de usuario SI 0,58%
Existe un procedimiento formal para registrar y cancelar usuarios
para dar y denegar el acceso a los sistemas y servicios de
información
NO 0,00%
Se hace verificación de perfiles de usuario y usuarios activos e
inactivos en el sistemaSI 0,58%
Hay algún acuerdo de confidencialidad de contraseña y
responsabilidad por parte del usuarioNO 0,00%
1,19%
Gestión de
contraseñas para
usuarios
Conoce Ud. algún proceso formal de asignación de contraseñas SI 0,89%
1,19%
Se asignan privilegios según función del usuario SI 1,19%Gestión de
privilegios
Hay restricciones y control de la asignación y el uso de privilegios SI
Hay conservación de procesos de autorización y asignación de
privilegiosSI
NO 0,00%
Hay una revisión y reasignación de derecho de acceso a usuarios
que cambian de cargo dentro de la empresaSI 1,17%
El almacenamiento de contraseñas es seguro SI 0,89%
Revisión de los
derechos de acceso
de los usuarios
Existe algún proceso de revisión periódica de los derechos de
acceso de los usuarios
Hay alguna política de creación de contraseñas (Longitud,
Caracteres Especiales, Alfanumérica)SI 2,38%
Se aplica la clausula de confidencialidad de la contraseña NO 0,00%
Sabe Ud. de algún registro de cambios de derechos de acceso NO 0,00%
1,19%
Política de escritorio
despejado y de
pantalla despejada
Hay restricción de manejo y exposición de información sensible de
la empresaSI 2,38%
1,19%
Hay registros de cierre de computadores y servidores SI 1,19%
Equipo de usuario
desatendido
Los equipos de usuario desatendido cuentan con seguridad
apropiadaSI
Existe control de activación de equipos por medio de contraseña SI
Responsabilidades del
usuario
Uso de contraseñas
Conoce Ud. algún manejo restringido de tecnologías de
reproducciónNO 0,00% Es aplicado el método que conoce NO 0,00%
14,29% 2,04% 0,68% 0,11%
Es aplicada dentro de la empresa SI 0,11%
Se cuenta con un administrador encargado de velar por el cumplimiento de la
mismaSI 0,11%
Son aplicados en la empresa SI 0,11%
Se cuenta con autorización por medio de contraseña SI 0,11%
Son aplicados en la empresa SI 0,11%
Las redes inalámbricas están protegidas por algún método de seguridad (MAC,
WAP,WEP)SI 0,11%
2,04% 1,02% 0,26%
Se aplica SI 0,26%
Las contraseñas cumplen la política de seguridad (alfanuméricas), Queda un log
de acceso por usuarioSI 0,26%
Se aplica SI 0,26%
En dado de fallo en el sistema de autenticación cuentan con otro SI 0,26%
2,04% 1,02% 0,34%
Se lleva un registro digital de cada uno de los equipos que se tienen SI 0,34%
En caso de tener un equipo no autorizado se tiene un método de seguridad para
evitar el accesoSI 0,34%
Hay autenticación de conexiones de los equipos SI 1,02% La autenticación se efectúa de manera física SI 0,34%
2,04% 2,04% 0,68%
Se aplica SI 0,68%
El acceso solo es efectuado por el administrador del sistema SI 0,68%
Se puede acceder de forma remota SI 0,68%
2,04% 2,04% 1,02%
Existe un sistema esquematizado de las redes SI 1,02%
Se identifican claramente los grupos creados SI 1,02%
2,04% 1,02% 0,20%
Se aplica SI 0,20%
Si se excede el numero de usuarios permitidos se deniega la conexión al ultimo
equipo NO 0,00%
Se lleva un log de eventos del numero de conexiones por red SI 0,20%
Se aplica SI 0,20%
El control es ejercido por un administrador de sistema SI 0,20%
2,04% 1,02% 0,20%
Los proxy cuentan con sistemas de seguridad para evitar ataques informáticos SI 0,20%
Se protege el acceso a estos por contraseña SI 0,20%
Se utilizan dentro de las reglas de DHCP SI 0,20%
Conoce las direcciones de los mismos SI 0,20%
Se aplican por medio de hardware SI 0,20%
14,29% 2,38% 0,60% 0,07%
Se aplica SI 0,07%
Queda registro del procedimiento SI 0,07%
El proceso presenta excepciones para los usuarios SI 0,07%
Esta garantía es supervisada por el administrador del sistema SI 0,07%
En caso de haber acceso no autorizado es informado de manera inmediata por
el sistema al administradorSI 0,07%
Este registro es enviado al administrador SI 0,07%
El envío es seguro SI 0,07%
Si se excede el numero de intentos el bloqueo es comunicado al administrador
del sistema SI 0,07%
El administrador es el único que levanta el bloqueo SI 0,07%
2,38% 0,48% 0,05%
Cuentan con ID de usuario SI 0,48%Se lleva registro de los ID de manera digital . En caso de perdida del ID es
restablecido por el administrador SI 0,05%
Se utiliza este sistema SI 0,05%
Se actualiza el método periódicamente (mensual, semestral) SI 0,05%
Se utiliza este sistema SI 0,05%
Se actualiza el método periódicamente (mensual, semestral) SI 0,05%
Las contraseñas cumplen con la norma de seguridad (Alfanumérica) SI 0,05%
Las contraseñas usadas tienen caducidad SI 0,05%
Se utiliza este sistema SI 0,05%
Se actualiza el método periódicamente (mensual, semestral) SI 0,05%
Se realiza mantenimiento periódico al sistema (mensual, semestral) SI 0,05%
2,38% 0,79% 0,20%
El sistema tiene ID de contraseña SI 0,79% El ID suministrado es guardado en un record digital SI 0,20%
Se tiene un limite para cambio de contraseñas (máximo 3 cambios al mes) SI 0,20%
El cambio de contraseñas es autorizado por el administrador del sistema SI 0,20%
Se efectúan cambios de contraseña periódicos SI 0,79%La periodicidad del cambio de contraseñas en general se efectúa (semestral,
anual)SI 0,20%
2,38% 0,79% 0,13%
Existen restricciones y controles en el uso de programas que
puedan anular los controles del sistemaSI 0,79%
Si se intenta el uso de estos programas el sistema realiza un reporte al
administrador del sistemaSI 0,13%
Se aplican SI 0,13%
Se tienen registros de las aplicaciones permitidas dentro de la empresa SI 0,13%
El sistema reporta al administrador cuando hay programas no permitidos SI 0,13%
Existe seguridad dentro de las redes ad hoc SI 0,13%
Se cifra la información que se comparte SI 0,13%
2,38% 2,38% 2,38%
C
O
N
T
R
O
L
D
E
A
C
C
E
S
O
Control de acceso al
sistema operativo
0,60%
0,60%
0,60%
Control de acceso a la
red
Política de uso de
los servicios de red
Existe una política de uso de las redes y los servicios de red
Política de escritorio
despejado y de
pantalla despejada
Responsabilidades del
usuario
Hay procesos de protección de acceso a conexiones de red SI 0,68%
Autenticación de
usuarios para
conexiones externas
Cuentan con autenticación de usuarios remotos
SI 0,68%
Sabe Ud. de los procedimientos de autorización de uso de red NO 0,00%
Protección de los
puertos de
configuración y
diagnostico remoto
Existe control de acceso lógico y físico a los puertos de
configuración y de diagnosticoSI 2,04%
Identificación de los
equipos en las redes
Cuentan con identificación de los equipos que están conectados en
la redSI 1,02%
SI 1,02%
Existen algunos de estos sistemas de autenticación (Token de
Hardware, ID de software, Desafío/Respuesta, Protocolos)SI 1,02%
1,02%
Existe alguna política de control de acceso SI 1,02%
Control de conexión
a las redes
Conoce alguna restricción de la capacidad de los usuarios para la
conexión a la redSI
Separación en las
redes
Cuentan con separación de grupos de servicios de información,
usuarios y sistemas de informaciónSI 2,04%
Procedimientos de
registro de inicio
seguro
El usuario tiene algún procedimiento de inicio seguro NO
1,02%
Cuentan con gateways de seguridad SI 1,02%
Control de
enrutamiento en la
red
Hay aplicación de proxy SI
Existe algún limite de cantidad de intentos permitidos de registro
de inicioSI
0,00%
Se garantiza que solo podrán tener acceso al sistema operativo los
usuarios autorizadosSI
Hay validación de información de registro de inicio SI
Sistema de gestión
de contraseñas
Se permite a los usuarios selección y cambio de contraseñas SI 0,79%
0,48%
Existe autenticación biométrica NO 0,00%
0,48%
Cuentan con medios criptográficos SI 0,48%Identificación y
autenticación de
usuarios
Existen tarjetas inteligentes o tokens SI
Utilizan contraseña SI
Existe la autorización de uso de ad hoc SI 0,79%
Uso de utilidades del
sistema
Hay Procedimientos de identificación, autenticación y autorización
para las utilidades del sistemaSI 0,79%
Tiempo de
inactividad de la
sesión
Se emplea la suspensión de sesión por inactividad SI 2,38% Se activa la sesión del equipo por medio de contraseña NO 2,38%
2,38% 2,38% 1,19%
El administrador del sistema determina los tiempos de acceso de los equipos SI 1,19%
Las sesiones no autorizadas pueden tener conexión SI 1,19%
14,29% 7,15% 2,38% 0,34%
El administrador del sistema implementa permisos lógicos SI 0,34%
Están protegidos estos permisos SI 0,34%
Hay fuga de datos SI 0,34%
Se utilizan dentro de la operación SI 0,34%
En caso de fallo se bloquea el sistema SI 0,34%
Los derechos de acceso son controlados por el administrador SI 0,34%
Los cambios efectuados son registrados y enviados al administrador del sistema SI 0,34%
7,15% 7,15% 3,58%
Se utiliza dentro de la empresa SI 3,58%
En caso de caída tienen contingencia SI 3,58%
14,29% 7,15% 7,15% 2,38%
Se aplica SI 2,38%
Hay restricción en el uso dentro de la empresa de los medios móviles SI 2,38%
Hay restricción en el uso de dispositivos de almacenamiento masivo SI 2,38%
7,15% 1,43% 0,13%
Hay implementación de políticas, planes operativos y
procedimientos para el trabajo remotoNO 0,00%
El trabajo remoto tiene un reporte diario de actividades realizadas por el
usuarioNO 0,00%
El administrador del sistema utiliza sistemas de autenticación para el trabajo
remoto NO 0,00%
Si hay un acceso no autorizado es reportado al administrador del sistema SI 0,13%
Las claves de acceso a redes inalámbricas son conocidas por los usuarios SI 0,13%
Las redes están protegidas por sistemas de seguridad de autenticación SI 0,13%
Se utiliza restricción de acceso físico (Mac) SI 0,13%
Están debidamente licenciados SI 0,13%
Se efectúan pruebas de efectividad del firewall SI 0,13%
Es revisado en detalle cada una de las actividades remotas SI 0,13%
Se lleva documentación de los resultados de auditoria SI 0,13%
Se corrigen los errores que son arrojados durante la auditoria SI 0,13%
Rótulos de fila % IDEAL
No Cumple 28,79%
Cumple 71,21%
Total general 100%
Rótulos de fila % IDEAL
No Cumple 61,56%
Cumple 38,44%
Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION
C
O
N
T
R
O
L
D
E
A
C
C
E
S
O
Control de acceso al
sistema operativo
PREGUNTAS DE CONTROL Y AUDITORIA
2,38%
Control de acceso a
las aplicaciones y a la
información
Restricción del
acceso a la
información
Limitación de
tiempo de conexiónHay restricción en el tiempo de conexión para mejor seguridad SI
Hay control de derechos de acceso NO 0,00%
Se restringe el acceso a la información y funciones del sistema SI 2,38%
Existen menús para control de acceso NO 0,00%
Existe una política de seguridad para protección contra riesgos de
uso indebido de dispositivos de computación y comunicación
móviles
NO 0,00%
7,15%
Computación móvil y
trabajo remoto
Computación y
comunicaciones
móviles
Aislamiento de
sistemas sensiblesCuentan con un entorno informático dedicado SI
1,43%
Ejercen alguna auditoria y monitoreo de seguridad NO 0,00%
1,43%
Conocen las restricciones en la configuración de redes inalámbricas SI 1,43%Trabajo remoto
Hay control de acceso no autorizado a trabajo remoto SI
Tienen algún tipo de protección antivirus y firewalls SI
No Cumple 28,79%
Cumple 71,21%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple 61,56%
Cumple 38,44%
PREGUNTAS DE RIESGOS Y PREVENCION
SECCIO
NSUBSECCION CONTROL PREGUNTAS DE CONTROL Y AUDITORIA
RESPU
ESTA
% ID
EAL
PREGUNTAS DE RIESGOS Y PREVENCION
RESPU
ESTA
% ID
EAL
100% 16,67% 16,67% 4,17% 1,04%
Conocen los análisis de requisitos de seguridad SI 4,17% Son aplicados dentro de la empresa SI 1,04%
Hay procesos de adquisición y prueba NO 0,00% La pruebas fallidas son corregidas NO 0,00%
Los requisitos de seguridad y control están involucrados
con el valor de los activos del negocioSI 4,17%
La seguridad de los activos esta garantizada con el cumplimiento de
lo requeridoSI 1,04%
Hay una evaluación de riesgos desde el comienzo del
desarrollo del sistemaNO 0,00%
Se efectúan los correctivos respectivos para la minimización de
riesgosNO 0,00%
16,67% 4,17% 1,04% 0,15%
Se lleva un registro de las entradas NO 0,00%
El registro se guarda en un lugar seguro NO 0,00%
Si el registro se corrompe, se tiene una copia de seguridad del mismo NO 0,00%
Hay verificación de fronteras o campos limitantes para los
rangos de entradaNO 0,00% Si la verificación es fallida se realiza corrección de la misma NO 0,00%
Hay backup de la información NO 0,00%
Se valida la información para discriminar la información corrupta NO 0,00%
Conoce algún tipo de procedimiento de respuesta ante
errores de validaciónNO 0,00% El administrador de sistema se encarga de brindar respuesta NO 0,00%
4,17% 0,70% 0,10%
Se efectúan verificaciones de validación en las
aplicacionesNO 0,00%
Si no se pasa el proceso de validación en las aplicaciones, estas son
eliminadas del sistemaNO 0,00%
Utilizan funciones tales como (Agregar, modificar y borrar) NO 0,00% Se aplican restricciones de uso de privilegios para los usuarios NO 0,00%
Si el programa se ejecuta de forma errónea envía un mensaje al
administrador del sistema NO 0,00%
Se corrigen las ejecuciones erróneas para evitar corrupción de datos NO 0,00%
Hay protección contra ataques empleando desbordamiento
/ exceso en el búferNO 0,00% El sistema tiene un método de reinicio después del desbordamiento NO 0,00%
Hay protección contra ataques empleando desbordamiento
/ exceso en el búferNO 0,00%
Si no es correcto y apropiado se realiza una restricción de acceso a
datosNO 0,00%
Hay control programa a programa NO 0,00%Si se encuentra un programa no autorizado se termina la ejecución
del mismoNO 0,00%
4,17% 2,09% 0,52%
Si no cumple con lo requerido el sistema previene el envío del mismo NO 0,00%
Se realiza filtrado de mensajes NO 0,00%
Si es un mensaje potencialmente peligroso es eliminado del sistema NO 0,00%
Se tienen algoritmos de verificación establecidos NO 0,00%
4,17% 1,04% 0,17%
Si los datos no son razonables se restringe la salida de los mismos NO 0,00%
Se le informa al usuario por la irracionalidad en los datos SI 0,17%
Conoce Ud. si hay cuentas de control de conciliación para
asegurar el procesamiento de todos los datosNO 0,00%
Las cuentas de control son verificadas por el administrador del
sistemaNO 0,00%
Se hacen pruebas de validación de salida NO 0,00% Si el mensaje no supera las pruebas se rechaza la salida del mismo NO 0,00%
El registro se envía al administrador del sistema NO 0,00%
Se guarda copia de los registros SI 0,17%
16,67% 8,34% 2,08% 0,26%
Se aplica la política NO 0,00%
Se realizan pruebas de vulnerabilidad NO 0,00%
Si el algoritmo no pasa la evaluación es corregido para minimizar el
riesgo NO 0,00%
Se utilizan algoritmos alternativos NO 0,00%
Esta documentación se encuentra en un lugar seguro NO 0,00%
Hay copia de seguridad digital de los documentos SI 0,26%
Se sancionan a los usuarios que incumplan con lo requerido NO 0,00%
Se tiene control en dado caso de un ataque de virus informático SI 0,26%
8,34% 1,39% 0,13%
La gestión de claves es debidamente documentada NO 0,00%
Se guardan copias de seguridad de la gestión realizada NO 0,00%
Se aplican dentro de la empresa NO 0,00%
Se verifican que no tenga errores en el proceso de generación de
clavesNO 0,00%
El equipo donde se almacenan esta protegido por medios físicos NO 0,00%
Se tiene un equipo de respaldo en caso de falla del primario NO 0,00%
Se hace tratamiento de claves perdidas NO 0,00%Las claves que son remplazadas son inutilizadas para acceso al
sistemaNO 0,00%
El archivo esta protegido por contraseña NO 0,00%
Se hace validación de datos de entrada a las aplicaciones NO 0,00%
Se hace revisión del contenido de los campos clave NO 0,00%
A
D
Q
U
I
S
I
C
I
O
N
,
D
E
S
A
R
R
O
L
L
O
Y
M
A
N
T
E
N
I
M
I
E
N
T
O
D
E
L
O
S
S
I
S
T
E
M
A
S
D
E
I
N
F
O
R
M
A
C
I
O
N
Requis
itos
de
seguri
dad d
e los
sist
em
as
de
info
rmació
n
Análisis y
especificación de los
requisitos de
seguridad
Pro
cesa
mie
nto
corr
ecto
en las
aplicacio
nes
Validación de los
datos de entrada
Hay una evaluación de riesgos de seguridad en la
integridad del mensajeNO 0,00%
Validación de los
datos de salida
Hay verificación de verosimilitud para los datos de salida NO 0,00%
Control de
procesamiento
interno
Se ejerce algún control de programas para ejecución de
forma errónea0,00%
Integridad del
mensaje
Se hace verificación de requisitos mínimos para garantizar
la autenticidad y protección de integridad de los mensajesNO 0,00%
Se hace una evaluación de fortaleza y calidad del
algoritmo de encriptación requeridoNO 0,00%
Poseen documentación de los responsables de la
implementación y gestión de clavesNO 0,00%
Existe algún registro de actividades de validación NO 0,00%
Hay una política de uso de controles criptográficos para la
protección de la informaciónNO 0,00%
0,00%
Poseen un archivo de claves con copia de seguridad 0,00%
Hay control sobre la confidencialidad de uso de
encriptaciónNO 0,00%
Gestión de claves
Existe una gestión de claves y responsables de las mismas 0,00%
Conoce diferentes sistemas criptográficos y aplicaciones
para generación de claves 0,00%
El almacenamiento de contraseñas es seguro
Contr
ole
s cri
pto
grá
ficos
Política sobre el uso
de controles
criptográficos
ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION CHK-RES-AMD
NO
NO
NO
NO
NO
Se verifica que la copia de seguridad este al día con el original NO 0,00%
Las claves tienen un tiempo de caducidad definido NO 0,00%
Cada cuanto caducan las claves (Mensual, Trimestral, Semestral) NO 0,00%
16,67% 5,56% 0,93% 0,08%
La instalación de software se encuentra protegida por claves
administrativas SI 0,08%
Se tiene un registro del software instalado en cada maquina SI 0,08%
Se cuenta con copia de seguridad de los registros NO 0,00%
Se realiza una evaluación de riesgos al efectuar las actualizaciones
respectivas SI 0,08%
Se evalúa la facilidad de manejo para el usuario después de
efectuadasSI 0,08%
Los controles de códigos ejecutables son autorizados por el
administradorSI 0,94%
Se previene la ejecución por medio de permisos administrativos del
sistemaSI 0,09%
Las aplicaciones solo pueden ser instaladas si han tenido
un resultado exitoso en la ejecución de las mismasSI 0,94%
Se consulta con los usuarios que interactúan con el sistema la
facilidad de uso de las mismasSI 0,08%
Se guarda la documentación en un sitio seguro SI 0,08%
Hay copia de seguridad de la documentación NO 0,00%
Los registros son verificados por el administrador del sistema NO 0,00%
Se realiza restauración en caso de no ser exitosa NO 0,00%
5,56% 1,85% 0,46%
Los datos de prueba contienen información personal NO 0,00%
Se evita el uso de información reconocible para usuarios no deseados 0 0,00%
Se efectúa una autorización en caso de copia de datos NO 0,00% La copia de datos es protegida por contraseña NO 0,00%
La información operativa es borrada una vez termina la
pruebaNO 0,00% Se verifica que no quedan copias de seguridad de los datos utilizados NO 0,00%
5,56% 1,85% 0,26%
Se restringe el acceso por medio de contraseña SI 0,26%
El almacenamiento del código es central controlado NO 0,00%
El listado de programas esta en un entorno seguro SI 0,26%
Se implementan privilegios de acceso SI 0,26%
Hay una autorización previa de manejo de código fuente para su
actualización NO 0,00%
Se guarda copia de seguridad del registro NO 0,00%
Esta protegido por contraseña SI 0,26%
16,67% 3,33% 1,11% 0,16%
Se realiza documentación de la implementación de cambios NO 0,00%
Se sigue el proceso normal de cambios (documentación,
especificación, prueba, control de calidad e implementación
gestionada)
NO 0,00%
El administrador de sistema es el encargado de dar la autorización NO 0,00%
Se evalúa la capacidad del personal para realizar cambios NO 0,00%
Se documenta la aprobación NO 0,00%
Se realiza copia del documento NO 0,00%
Se archiva en un lugar seguro SI 0,16%
3,33% 1,11% 0,22%
Se realizan pruebas y revisiones de las aplicaciones para evitar
impactos negativos en la empresa NO 0,00%
Se verifica que se mantenga el estándar de seguridad de la
información después de los cambiosSI 0,22%
La documentación es guardada en un sitio seguro SI 0,22%
Se tiene copia de seguridad de la documentación NO 0,00%
Se efectúa una revisión con una periodicidad definida NO 0,00% Las revisiones se realizan cada (Mes, Trimestre, Semestre, Año) NO 0,00%
3,33% 1,67% 0,42%
Se evalúan los riesgos de cambios efectuados al software NO 0,00%
Se cuenta con el consentimiento del tercero NO 0,00%
Se mantiene una copia anterior a los cambios o actualizaciones NO 0,00%
Se evalúa la funcionalidad con el usuario NO 0,00%
3,33% 1,11% 0,22%
Se realiza revisión del comportamiento de las comunicaciones y sus
sistemas de modulación y enmascaramiento NO 0,00%
Se utilizan sistemas de canales encubiertos NO 0,00%
Se realiza un monitoreo permanente de la información NO 0,00% Se utiliza software certificado NO 0,00%
Si se encuentra que un proceso consume los recursos del sistema de
forma inapropiada es finalizado por el sistema SI 0,22%
Se lleva un registro de resultados del monitoreo NO 0,00%
3,33% 1,11% 0,19%
A
D
Q
U
I
S
I
C
I
O
N
,
D
E
S
A
R
R
O
L
L
O
Y
M
A
N
T
E
N
I
M
I
E
N
T
O
D
E
L
O
S
S
I
S
T
E
M
A
S
D
E
I
N
F
O
R
M
A
C
I
O
N
Poseen un archivo de claves con copia de seguridad 0,00%
Sabe Ud. si el sistema de gestión de claves se basa en la
serie de normas, procedimientos y métodos seguros.0,00%
Seguri
dad d
e los
arc
hiv
os
de s
iste
ma
El control del
software operativo
Tienen controles para instalación de software en los
sistemas operativos
Gestión de claves
Contr
ole
s cri
pto
grá
ficos
Se efectúa algún registro de auditoria de software NO 0,00%
Protección de los
datos de prueba del
sistema
Hay algún proceso de control, selección y protección de
datos de prueba0,00%NO
SI 0,94%
Hay algún control de actualizaciones de software,
aplicaciones y librerías para evitar mal funcionamientoSI 0,94%
Hay documentación del sistema SI 0,94%
0,00%
Seguri
dad e
n los
pro
ceso
s de d
esa
rrollo y
soport
e
Procedimientos de
control de cambios
Existe algún control de implementación de cambios y
procedimientos formalesNO 0,00%
Se garantiza que los cambios efectuados son hechos por
gente autorizadaNO
Control de acceso al
código fuente de los
programas
Hay restricción de acceso al código fuente de los
programasSI 2,00%
El personal de soporte tiene acceso restringido para la
gestión de código fuenteSI 2,00%
Hay un registro para auditoria de acceso al código fuente NO
0,00%
Hay una aprobación formal y detallada de los cambios NO 0,00%
Revisión técnica de
las aplicaciones
después de los
cambios en el
sistema operativo
Se efectúa una revisión de procedimientos de integridad y
control de aplicacionesNO 0,00%
Se hace una notificación escrita de la revisión técnica SI 1,11%
Restricciones en los
cambios a los
paquetes de
software
Hay algún limite de cambios a los paquetes de software NO 0,00%
Se hace una estandarización de cambios y actualizaciones NO 0,00%
Fuga de información
Hay control de medios y comunicaciones de salida para
evitar fuga de información NO 0,00%
Hay monitoreo de recursos del sistema SI 1,11%
NO
NO
Se hacen pruebas para evaluación de riesgos y códigos maliciosos NO 0,00%
Se realizan pruebas antes de la implementación del software por
tercerosSI 0,19%
Se tiene documentación de esos acuerdos SI 0,19%
Se legalizan ante una entidad autorizada NO 0,00%
Hay copia de seguridad de la documentación NO 0,00%
Existen derechos de acceso de auditoria NO 0,00% Cuentan con certificación de calidad del desarrollo de software NO 0,00%
16,67% 16,67% 3,33% 0,33%
Se encuentra en un sitio seguro NO 0,00%
Poseen copia de seguridad de la documentación NO 0,00%
Se efectúan pruebas de efectividad de los planes de contingencia SI 0,33%
Los usuarios conocen los planes de contingencia NO 0,00%
Se encuentra en un sitio seguro NO 0,00%
Poseen copia de seguridad de la documentación NO 0,00%
Se realizan Pruebas de ataques y monitoreo SI 0,33%
Se realiza mantenimiento periódico sobre los firewalls (mensual,
semestral, anual)NO 0,00%
El registro de pruebas se analiza para realizar correctivos sobre las
falencias técnicas NO 0,00%
Se guarda copia de seguridad del registro NO 0,00%
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL
No Cumple 72,97%
Cumple 27,03%
Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION
Rótulos de fila % IDEAL
No Cumple 93,54%
Cumple 6,46%
Total general 100%
A
D
Q
U
I
S
I
C
I
O
N
,
D
E
S
A
R
R
O
L
L
O
Y
M
A
N
T
E
N
I
M
I
E
N
T
O
D
E
L
O
S
S
I
S
T
E
M
A
S
D
E
I
N
F
O
R
M
A
C
I
O
N
Seguri
dad e
n los
pro
ceso
s de d
esa
rrollo y
soport
e
Desarrollo de
software contratado
externamente
Realizan supervisión y monitorización del desarrollo de
software por tercerosNO 0,00%
Se hacen acuerdos de licencias, propiedad de códigos
fuente y derechos de autorSI 1,11%
3,33%
Se hace algún registro de pruebas NO 0,00%
0,00%
Existen planes de contingencia SI 3,33%
Tienen documentación de los responsables de la gestión NO 0,00%
Gest
ión d
e la v
uln
era
bilid
ad t
écnic
a
Control de las
vulnerabilidades
técnicas
Se tiene documentación de vulnerabilidades técnicas NO
Hay control de acceso o firewalls SI
No Cumple 72,97%
Cumple 27,03%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple 93,54%
Cumple 6,46%
PREGUNTAS DE RIESGOS Y PREVENCION
GESTIO
N .
SEC
CIO
N
SU
B-S
EC
CIO
N
PREGUNTAS DE AUDITORIA
RESPU
ESTA
PO
RC
EN
TAJE
PREGUNTAS DE RIESGO
RESPU
ESTA
PO
RC
EN
TAJE
100% 50% 25% 1,92% 0,13%
conoce la forma en que se reportan los incidentes SI 1,92% se reportan en el menor tiempo posible los incidentes SI 0,13%
identifica claramente un incidente de t.i SI 1,92% conoce el riesgo que implica no identificar claramente un incidente t.i SI 0,13%
conoce los canales para reportar un incidente SI 1,92% están siempre disponibles los canales para reportar incidentes SI 0,13%
sabe a quien reportar un incidente SI 1,92% esta siempre disponible el personal que controla los incidentes SI 0,13%
sus clientes internos saben como reportar un incidente SI 1,92% se atienden estos reportes según una categoría de prioridad SI 0,13%
que porcentaje de sus clientes externos considera usted que
conocen como reportar incidentesSI 1,92%
cuenta con la infraestructura adecuada para la concurrencia de reporte de incidentes de sus
clientesSI 0,13%
les notifica siempre que cambian los canales o medios para reportar incidentes. SI 0,13%
capacita a todos sus clientes sobre la forma en que se reportan incidentes SI 0,13%
conoce el tiempo máximo para reportar un incidente SI 1,92% reporta el incidente al área adecuada a tiempo SI 0,13%
conoce el tiempo mínimo de atención a un incidente SI 1,92% el área encargada atiende en el tiempo mínimo los incidentes reportados SI 0,13%
conoce las instancias de escalada de los incidentes SI 1,92% se escalan a tiempo los incidentes SI 0,13%
toda la organización conoce el canal de reporte de incidentes SI 1,92% esta siempre disponibles los canales para reportar incidentes SI 0,13%
existe un formato para reporte de incidentes SI 1,92% es un formato actualizado - se usa debidamente el formato SI 0,13%
es un repositorio actualizado SI 0,13%
es un repositorio disponible y seguro siempre SI 0,13%
25% 4,17% 0,52%
trabaja para mejorar las debilidades SI 0,52%
prioriza las debilidades que debe mejorar SI 0,52%
sabe como reportar una debilidad SI 4,17% es atendida el reporte de una debilidad SI 0,52%
sabe a quien reportar una debilidad SI 4,17% el personal al que se le reportan las debilidades esta capacitado SI 0,52%
al terminar el seguimiento se reporta el resultado del mismo SI 0,52%
se toman las medidas pertinentes para la mejora de la debilidad SI 0,52%
sabe quien debe reportar las debilidades SI 4,17% se reportan a tiempo las debilidades SI 0,52%
existe un formato para reporte de las debilidades NO 0,00% es un formato actualizado SI 0,52%
50% 17% 0,60% 0,01%
están siempre disponibles SI 0,01%
cuenta con la cantidad necesaria de responsables para la gestión t.i SI 0,01%
son procedimientos actualizados SI 0,01%
son procedimientos que conoce todo el personal relacionado con el área t.i SI 0,01%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
son procedimientos actualizados NO 0,00%
son procedimientos realizados por personal adecuado NO 0,00%
17% 1,42% 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
existe un procedimiento para documentar acciones de emergencias
existe un responsable para documentar acciones de emergencias
existe un procedimiento para confirmar con un retraso mínimo la
integridad de los s.i
existe un responsable para confirmar con un retraso mínimo la
integridad de los s.i
existe un procedimiento para cuantificar el volumen de los
incidentes
existe un procedimiento para monitorear el volumen de los
incidentes
existe un responsable para la contención del incidente
existe un procedimiento para evitar la recurrencia
existe un responsable para evitar la recurrencia
existe un procedimiento para comunicarse con los afectados por el
incidente
existe un responsable para comunicarse con los afectados por el
incidente
existe un procedimiento para controlar el personal de acceso a
los sistemas
existe un procedimiento para controlar el personal de acceso a los
datos activos
existe un responsable para controlar el personal de acceso a los
sistemas
existe un responsable para controlar el personal de acceso a los
datos activos
G
E
S
T
I
O
N
D
E
I
N
C
I
D
E
N
T
E
S
Y
L
A
S
M
E
J
O
R
A
S
E
N
L
A
S
E
G
U
R
I
D
A
D
D
E
L
A
I
N
F
O
R
M
A
C
I
O
N
REPO
RTES S
OBRE L
OS E
VEN
TO
S Y
DEBIL
IDAD
ES D
E L
A S
EG
URID
AD
DE L
A IN
FO
RM
AC
ION
REPO
RTES S
OBRE L
OS E
VEN
TO
SREPO
RTES S
OBRE L
AS
DEBIL
IDAD
ES
GESTIO
N D
E L
OS IN
CID
EN
TES Y
LAS M
EJO
RAS E
N L
A S
EG
URID
AD
DE L
A IN
FO
RM
AC
ION
están informados de los medios para reportar incidentes
existe un sistema de almacenamiento de reportes (cmdb)
conoce la debilidad de un sistema t.i
sabe que seguimiento se le da a una debilidad
existen responsables de la gestión de s.i
existe un procedimiento para fallas en el s.i o perdida del servicio
existe un procedimiento para códigos maliciosos
existe un responsable para códigos maliciosos
existe un procedimiento y responsable para negación del servicio
existe un procedimiento para errores producidos por datos del
negocio incompletos o inexactos
existe un responsable para errores producidos por datos del
negocio incompletos o inexactos
existe un procedimiento para violaciones de la integridad
existe un procedimiento para violaciones de la confidencialidad
existe un responsable para violaciones de la integridad
existe un responsable para violaciones de la confidencialidad
existe un procedimiento para uso inadecuado de los s.i
existe un responsable para uso inadecuado de los s.i
existe un procedimiento y responsable para análisis y la
identificación de la causa del incidente
existe un procedimiento para la contención del incidente
NO 0,00%
SI 4,17%
SI 1,92%
SI 1,92%
SI 0,60%
NO 0,00%
REPO
NSABIL
IDAD
ES Y
PRO
CED
IMIE
NTO
S
SI 0,60%
NO 0,00%
NO 0,00%
NO 0,00%
SI 0,60%
SI 0,60%
NO 0,00%
NO 0,00%
NO 0,00%
NO 0,00%
SI 0,60%
SI 0,60%
NO 0,00%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 0,60%
SI 1,42%
GESTION DE INCIDENTES Y MEJORAS CHK-RES-GIM
APREN
DIZ
AJE D
EBID
O A
LO
S IN
CID
EN
TES E
N L
A S
EG
URID
AD
DE L
A IN
FO
RM
AC
ION
SI 1,42%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
son procedimientos actualizados SI 0,06%
son procedimientos realizados por personal adecuado SI 0,06%
17% 4,25% 0,53%
es evidencia fidedigna NO 0,00%
se cumplen las medidas disciplinarias indicadas NO 0,00%
es evidencia fidedigna NO 0,00%
se cumplen las medidas disciplinarias indicadas NO 0,00%
es evidencia fidedigna NO 0,00%
se cumplen las medidas disciplinarias indicadas NO 0,00%
es evidencia fidedigna NO 0,00%
se cumplen las medidas disciplinarias indicadas NO 0,00%
PREGUNTAS DE CONTROL Y AUDITORIA
Rótulos de fila % IDEAL
No Cumple 30%
Cumple 70%
Total general 100%
PREGUNTAS DE RIESGOS Y PREVENCION (Todas)
Rótulos de fila % IDEAL
No Cumple 92%
Cumple 8%
Total general 100%
existe un responsable para recolectar información para la toma de
medidas disciplinarias
existe un procedimiento para monitorear el costo de los incidentes
existe un responsable para cuantificar el costo de los incidentes
existe un responsable para monitorear el costo de los incidentes
existe un procedimiento para cuantificar el tipo de los incidentes
existe un procedimiento para monitorear el tipo de los incidentes
existe un responsable para cuantificar el tipo de los incidentes
existe un responsable para monitorear el tipo de los incidentes
existe un procedimiento para recolectar información para la toma
de medidas disciplinarias
existe un procedimiento para recolectar evidencia para la toma de
medidas disciplinarias
existe un procedimiento para monitorear el volumen de los
incidentes
existe un responsable para cuantificar el volumen de los incidentes
existe un responsable para monitorear el volumen de los incidentes
existe un procedimiento para cuantificar el costo de los incidentes
G
E
S
T
I
O
N
D
E
I
N
C
I
D
E
N
T
E
S
Y
L
A
S
M
E
J
O
R
A
S
E
N
L
A
S
E
G
U
R
I
D
A
D
D
E
L
A
I
N
F
O
R
M
A
C
I
O
N
GESTIO
N D
E L
OS IN
CID
EN
TES Y
LAS M
EJO
RAS E
N L
A S
EG
URID
AD
DE L
A IN
FO
RM
AC
ION
SI 1,42%
SI 1,42%
SI 1,42%
SI 1,42%
SI 1,42%
SI 1,42%
NO 0,00%
NO 0,00%
REC
OLEC
CIO
N D
E E
VID
EN
CIA
NO 0,00%
existe un responsable para recolectar evidencia para la toma de
medidas disciplinariasNO 0,00%
SI 1,42%
APREN
DIZ
AJE D
EBID
O A
LO
S IN
CID
EN
TES E
N L
A S
EG
URID
AD
DE L
A IN
FO
RM
AC
ION
SI 1,42%
SI 1,42%
SI 1,42%
SI 1,42%
No Cumple
30%
Cumple 70%
PREGUNTAS DE CONTROL Y AUDITORIA
No Cumple
92%
Cumple 8%
PREGUNTAS DE RIESGOS Y PREVENCION