1. Cómo definir controles en
el SGSI.
|
|
Define Control: Las políticas, los procedimientos, las
prácticas y las estructuras organizativas concebidas para mantener los riesgos
de seguridad de la información por debajo del nivel de riesgo asumido. Control
es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida
que modifica el riesgo.
En el presente documento SE propone
una forma de definición de controles y una lista de chequeo para validar
cumplimiento de los mismos, esto a partir de los dominios de la norma ISO 27001
y los controles requeridos en la norma ISO 27002. En primera instancia se
define la escala de valores; a continuación se describen los controles
requeridos por las normas; seguidamente se identifica correlación de controles entre los distinto numerales de la
norma ISO 27001 y se identifica la relación de los controles con los riesgos
identificados para el área responsables de la gestión de los servicios TIC y
finalmente se presenta una lista de chequeó que permitirá validar el grado de
madurez del SGSI e identificar indicadores requeridos en la gestión de SGSI del
área de servicios TIC.
1.1. Ámbito.
El presente es definido para el
proceso de gestión de los servicios de TIC, basado en las normas ISO 27001 y
27002.
1.2. Escala de valores
La escala de valoración a usar
está descrita en la tabla Escala para la valoración de controles:
Tabla 1
Escala para la valoración de controles
|
Escalas para Calificación Controles ISO 27001
|
|||
|
Calificación
|
Descripción
|
||
|
N/A
|
No Aplica
|
El control indicado no aplica al proceso o CI
analizado.
|
|
|
0
|
1
|
Inexistente
|
No se ha identificado, no hay control
|
|
2
|
3
|
Inicial
|
Identificado, no hay control
|
|
3
|
4
|
Repetible
|
Identificado, con control fundamentado en las
personas.
|
|
5
|
6
|
Definido
|
Identificado, con control fundamentado en proceso.
|
|
7
|
8
|
Gestionado
|
Identificado, con control fundamentado en proceso,
hay medición, seguimiento, control y rendición de cuentas del control.
|
|
9
|
10
|
Optimizado
|
Identificado, con control fundamentado en proceso,
hay medición, seguimiento, control y rendición de cuentas del control; hay
articulación con otros controles y otros procesos.
|
Fuente: Elaboración propia.
1.3. Identificación de
controles a ser gestionados por el área responsable de los servicios de TIC.
A
partir de los dominios de ISO 27001 y los controles requeridos por ISO 27002, a
continuación se hace definición de objetivos y políticas, para los controles en
el SGSI, para el proceso de gestión de los servicios de TIC:
Tabla 2
Controles para el proceso de gestión de los servicios de TIC
|
Controles definidos basados en ISO 27001, COBIT
e ITIL.
|
|
|
Nombre Control
|
Objetivos y Política del Control
|
|
5.
POLÍTICA DE SEGURIDAD
|
|
|
Políticas:
Define lineamientos a ser gestionados para garantizar la apropiación de las
medidas de seguridad definidas por la entidad.
|
|
|
9.2.
Seguridad de los equipos
|
|
|
Dispositivos
para usuario final
|
Obj:
Velar por que los dispositivos de usuario final cuenten con las medidas de
aseguramiento requeridas para garantizar el cumplimiento de los principios
del SGSI.
Política:
Se debe disponer de procedimientos que definan la entrega, mantenimiento y
retiro de los dispositivos a usuarios finales, alineados al SGSI.
|
|
10.
GESTIÓN DE COMUNICACIONES OPERACIONES
|
|
|
Operación:
Gestionar las actividades del negocio y sus interacciones con el medio.
|
|
|
10.1. Responsabilidades y procedimientos de
operación
|
|
|
Operación
|
Obj:
Definir las condiciones óptimas bajo las cuales se ejecuta la operación tecnológica
del negocio.
Política: Se debe garantizar la definición, divulgación y cumplimiento de las definiciones del SGSI, implica la gestión de disponibilidad y capacidad. |
|
10.2.
Gestión de la provisión de servicios por terceros
|
|
|
Entrega
|
Obj:
Garantizar disponibilidad de los servicios tecnológicos.
Política: Se debe gestionar la disponibilidad y capacidad, del servicio, así como los puntos de recuperación objetiva de información ante eventualidades y la vida útil del software. |
|
10.3. Planificación y aceptación del sistema
|
|
|
Plan
del Servicio
|
|
|
10.4.
Protección contra el código malicioso y descargable
|
|
|
Gestión
contra Software malicioso y software no deseado.
|
|
|
10.5.
Copias de seguridad
|
|
|
Políticas
de back-up
|
|
|
10.6.
Gestión de seguridad de las redes
|
|
|
Seguridad
en redes
|
Obj:
Asegurar el uso de las telecomunicaciones.
Política: Se debe definir y aplicar reglas de seguridad informática y darle mantenimiento a las mismas. |
|
10.7. Manipulación
de los soportes
|
|
|
Dispositivos
para almacenamiento masivo
|
Obj:
Tener control de los datos, la información almacenada, las aplicaciones y las
configuraciones.
Política: Se debe tener control de todos los datos e información incluyendo alternativas de recuperación ante eventos fortuitos. |
|
10.8.
Intercambio de información
|
|
|
Conectividad
(b2b b2c c2b c2c b2g g2c)
|
Obj:
Asegurar el uso de las telecomunicaciones.
Política: Se debe definir y aplicar reglas de seguridad informática y darle mantenimiento a las mismas. |
|
10.10. Supervisión
|
|
|
Instrucción
|
Obj:
Identificar de forma oportuna las vulnerabilidades tecnológicas y anticiparse
con la implementación de mecanismos de seguridad.
Política: Se debe evaluar de forma periódica las vulnerabilidades tecnológicas e implementar los planes de remediación a que haya lugar. |
|
11.4.
Control de Acesso a la red
|
|
|
Acceso
Redes
|
Obj:
Asegurar el uso de las telecomunicaciones.
Política: Se debe definir y aplicar reglas de seguridad informática y darle mantenimiento a las mismas. |
|
11.5. Control de Acceso al sistema Operativo
|
Obj:
Asegurar el uso y acceso a los sistemas operativos, los servidores de
aplicación, las bases de datos y los dispositivos de seguridad y redes.
Política: Se debe implementar mecanismos de aseguramiento y rastreo de acceso a las plataformas tecnológicas de base. |
|
Controles
sobre SO
|
|
|
11.6. Control de Acceso a las aplicaciones y a la
información
|
|
|
Acceso
a los SI y BD.
|
|
|
11.7. Ordenadores portátiles y
Teletrabajo
|
|
|
Movilidad
|
Obj:
Proveer funcionalidades tecnológicas de movilidad bajo condiciones seguras.
Política: Se debe definir políticas, acuerdos de confidencialidad e implementar mecanismos de control que permitan hacer uso de la movilidad de forma segura. |
|
12. ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE
SISTEMAS DE INFORMACION
|
|
|
Sistemas
de Información: Gestión de la Apropiación, soporte y mantenimiento de
aplicaciones y SI.
|
|
|
12.1. Requisitos de seguridad de los sistemas de
información
|
|
|
Definiciones
de seguridad en aplicaciones
|
Obj:
Asegurar el uso y acceso a los sistemas de información, los aplicativos, los
datos y la información.
Política: Se debe implementar mecanismos de aseguramiento y rastreo de acceso a los sistemas de información, los aplicativos, los datos y la información. |
|
12.2. Tratamiento correcto de las aplicaciones
|
|
|
Controles
de entrada, proceso y salida de los aplicativos
|
|
|
12.3. Controles Criptográficos
|
|
|
Cifrado
|
|
|
12.4.
Seguridad en los archivos del sistema
|
|
|
Datos
almacenados
|
|
|
12.5.
Seguridad en los procesos de desarrollo y soporte
|
|
|
Ingeniería
de software
|
Obj:
Garantizar gestión adecuada de la vida útil del software.
Política: Se debe definir procedimientos que aseguren la vida útil del software y los procesos de construcción del mismo. |
|
12.6.
Gestión de la vulnerabilidad técnica
|
|
|
Vulnerabilidades
|
Obj:
Blindar el negocio frente a sus vulnerabilidades.
Política: Se debe disponer de un procedimiento sistemático que permita mantener vigentes las medidas de aseguramiento de los CI´s. |
Fuente: Elaboración propia.
1.4. Otros controles a ser
gestionados.
A continuación se identifican
controles ISO 27002, que no han sido definidos para la gestión en el apartado
anterior, y que debe velarse por que se gestionen.
Tabla 3 Otros
controles a ser gestionados
|
Controles definidos basados en ISO 27001, COBIT
e ITIL.
|
|
|
Nombre Control
|
Objetivos y Política del Control
|
|
5.
POLÍTICA DE SEGURIDAD
|
|
|
Políticas:
Define lineamientos a ser gestionados para garantizar la apropiación de las
medidas de seguridad definidas por la entidad.
|
|
|
5.1.
Política de la Seguridad de la Información
|
|
|
Política
|
Obj: Garantizar la existencia de
políticas que defina el SGSI y que la política sea revisada en el tiempo.
|
|
Política: Se debe disponer de planes de
mantenimiento que mantengan actualizado el SGSI y sus planes de apoyo.
|
|
|
6.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
|
|
|
Información:
Gestionar la seguridad de información.
|
Obj: Velar por la organización de
la seguridad de la información.
Política: Se debe Disponer de procesos y procedimientos que definan la gestión de los CI’s. |
|
6.1.
Organización Interna
|
|
|
Interno
|
|
|
6.2.
Terceros
|
|
|
Externo
|
|
|
7.
GESTIÓN DE ACTIVOS
|
|
|
CI: Gestión de la seguridad de los activos de
la información
|
|
|
7.1.
Responsabilidad sobre los activos
|
|
|
CI's
|
Obj:
Gestionar el inventario de los activos de información.
Política: Se debe disponer de un proceso de gestión de la CMDB. |
|
7.2.
Clasificación de La Información
|
|
|
Información
|
Obj:
Identificar la información más sensible.
Política: Se debe clasificar la información, con el fin de efectivizar el SGSI. |
|
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
|
|
|
Capitales
Humanos y terceros: Empoderar al capital humano para que se convierta en una
fortaleza del SGSI.
|
Obj: Gestionar de forma proactiva
las distintas etapas de los procesos de contratación del capital humano y de
los terceros.
Política: Se debe disponer de un proceso de gestión contractual. |
|
8.1.
Antes del empleo
|
|
|
Precontractual
|
|
|
8.2.
Durante el empleo
|
|
|
Contractual
|
|
|
8.3.
Cese del empleo o cambio de puesto de trabajo
|
|
|
Post
Contractual
|
|
|
9.
SEGURIDAD FÍSICA Y DEL ENTORNO
|
|
|
Perimetral:
Gestionar la seguridad de las infraestructuras.
|
|
|
9.1.
Áreas seguras
|
|
|
Áreas
|
Obj:
Gestionar la entrega, uso y devolución de los CI’s.
Política: Se debe tener control en tiempo, uso, espació y estado y del tenedor de los CI’s. |
|
11- CONTROL DE ACESSO
|
|
|
Accesos:
Gestión de permisos de usuarios sobre las aplicaciones y la información
|
|
|
11.1. Requisitos de negocio para el control de
acceso
|
|
|
Requerimientos
|
Obj:
Asegurar respuesta efectiva a las necesidades tecnológicas del negocio.
Política: Se debe disponer de un proceso de gestión de requerimientos, que defina las relaciones TIC con el negocio. |
|
11.2. Gestión de Acesso de usuario
|
|
|
Acceso
|
Obj:
Gestionar el accesos a los CI’S
Política: Se debe tener una política clara de accesos a los datos, la información, los sistemas de información y aplicaciones; dicha política debe contar con un proceso PHVA que la mantenga vigente. |
|
11.3. Responsabilidad de Usuario
|
|
|
Empoderamiento
a Usuarios
|
Obj:
Gestionar para que los usuarios sean la fortaleza del SGSI.
Política: Se debe empoderar a los usuarios, para que en términos del SGSI ellos ejecuten auto medición, auto seguimiento, auto control y rendición de cuentas. |
|
13.
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
|
|
|
Incidentes:
Gestionar incidentes, problemas y planes de remediación relacionados con la
seguridad de la información.
|
|
|
13.1. Notificación de eventos y puntos débiles
de la seguridad de la Información
|
|
|
Gestión
de incidentes
|
Obj:
Asegurar respuesta efectiva a los incidentes tecnológicas.
Política: Se debe disponer de procesos de gestión de incidentes y problemas. |
|
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
|
|
|
Continuidad
de los servicios TIC: Gestionar la disponibilidad de los servicios TIC, dando
cobertura a desastres (DRP).
|
|
|
14.1. Aspectos de la seguridad de la
Información en la gestión de la Continuidad del negocio
|
|
|
Gestión
de la continuidad de los servicios TIC
|
Obj:
Asegurar la continuidad de los servicios de TIC a pesar de las
circunstancias.
Política: Se debe definir y mantener los planes de continuidad del negocio y de recuperación ante desastres. |
|
15. CUMPLIMIENTO
|
Obj: Asegurar el cumplimiento de
regulaciones y leyes correspondientes.
Política: Se debe definir procedimientos de auditoría interna y revisión, y definir planes de mantenimiento al SGSI, que contemplen auditorías internas y revisiones, para garantizar el cumplimiento de regulaciones y normativa interna. |
|
Cumplimiento
legal: gestionar la identificación y el cumplimiento de los términos legales
y contractuales relacionados con la seguridad de la información.
|
|
|
15.1. Cumplimiento de los requisitos legales
|
|
|
Cumplimiento
legal
|
|
|
15.2.
Cumplimiento de las políticas y normas de Seguridad y cumplimiento técnico
|
|
|
Cumplimiento
interno
|
|
|
15.3.
Consideraciones sobre las auditorias de los sistemas de información
|
|
|
Auto
auditoría y Revisión
|
|
Fuente: Elaboración propia.
1.5. Focalización en controles
El
valor agregado de la propuesta realizada es que del total de los 133 numerales
de la norma ISO 27001, se han definido ochenta y un (81) controles, reduciendo
en un 39% la cantidad de controles a gestionar. A continuación, se presenta una
matriz que permite identificar la correlación de controles, a partir de los
numerales de ISO 27001, los que están marcados en verde, en la columna (Numeral
de la norma ISO 27001), son los numerales de la norma que heredan su control de
otro numeral, los que están en blanco tienen su propio control; la columna
(Numeral del que hereda el control) identifica el numeral del que se hereda el
control. En la Columna (A ser gestionado por los servicios TIC) se identifica
los controles que deberán ser tratados, han tomado como ejemplo para la
implementación de los controles. Para el caso particular del área de gestión de
los servicios TIC, nos quedan 49 numerales de la norma a ser vigilados.
Tabla 4
Controles Norma ISO 27002
|
Nombre Control
|
Numeral de la norma ISO 27001
|
Numeral del que hereda el control
|
A ser gestionado por los servicios TIC.
|
|
5.
POLÍTICA DE SEGURIDAD.
|
Para gestión de TIC
|
||
|
5.1 Política de seguridad de la información.
|
NUMERAL.
5.1.1
|
NUMERAL.
5.1.1
|
|
|
NUMERAL.
5.1.2
|
NUMERAL.
5.1.2
|
||
|
6.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC
|
|
||
|
6.1 Organización interna.
|
NUMERAL.
6.1.1
|
NUMERAL.
6.1.1
|
|
|
NUMERAL.
6.1.2
|
NUMERAL.
6.1.2
|
|
|
|
NUMERAL.
6.1.3
|
NUMERAL.
6.1.3
|
|
|
|
NUMERAL.
6.1.4
|
NUMERAL.
6.1.4
|
|
|
|
NUMERAL.
6.1.5
|
NUMERAL.
6.1.5
|
|
|
|
NUMERAL.
6.1.6
|
NUMERAL.
6.1.6
|
|
|
|
NUMERAL.
6.1.7
|
NUMERAL.
6.1.7
|
|
|
|
NUMERAL.
6.1.8
|
NUMERAL.
6.1.8
|
|
|
|
NUMERAL.
5.1.2
|
NUMERAL.
5.1.2
|
|
|
|
6.2 Terceros.
|
NUMERAL.
6.2.1
|
NUMERAL.
6.2.1
|
|
|
NUMERAL.
6.2.2
|
NUMERAL.
6.2.2
|
|
|
|
NUMERAL.
6.2.3
|
NUMERAL.
6.2.3
|
|
|
|
NUMERAL.
6.1.5
|
NUMERAL.
6.1.5
|
|
|
|
7.
GESTIÓN DE ACTIVOS.
|
|
||
|
7.1 Responsabilidad sobre los activos.
|
NUMERAL.
7.1.1
|
NUMERAL.
7.1.1
|
|
|
NUMERAL.
7.1.2
|
NUMERAL.
7.1.2
|
|
|
|
NUMERAL.
7.1.3
|
NUMERAL.
7.1.3
|
|
|
|
7.2 Clasificación de la información.
|
NUMERAL.
7.2.1
|
NUMERAL.
7.2.1
|
|
|
NUMERAL.
7.2.2
|
NUMERAL.
7.2.2
|
|
|
|
8.
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
|
|
||
|
8.1 Antes del empleo.
|
NUMERAL.
8.1.1
|
NUMERAL.
8.1.1
|
|
|
NUMERAL.
8.1.2
|
NUMERAL.
8.1.2
|
|
|
|
NUMERAL.
8.1.3
|
NUMERAL.
8.1.3
|
|
|
|
8.2 Durante el empleo.
|
NUMERAL.
8.2.1
|
NUMERAL.
8.2.1
|
|
|
NUMERAL.
8.2.2
|
NUMERAL.
8.2.2
|
|
|
|
NUMERAL.
8.2.3
|
NUMERAL.
8.2.3
|
|
|
|
8.3 Cese del empleo o cambio de puesto de trabajo.
|
NUMERAL.
8.3.1
|
NUMERAL.
8.3.1
|
|
|
NUMERAL.
8.3.2
|
NUMERAL.
8.3.2
|
|
|
|
NUMERAL.
8.3.3
|
NUMERAL.
8.3.3
|
|
|
|
9.
SEGURIDAD FÍSICA Y DEL ENTORNO.
|
|
||
|
9.1 Áreas seguras.
|
NUMERAL.
9.1.1
|
NUMERAL.
9.1.1
|
|
|
NUMERAL.
9.1.2
|
NUMERAL.
9.1.2
|
|
|
|
NUMERAL.
9.1.3
|
NUMERAL.
9.1.3
|
|
|
|
NUMERAL.
9.1.4
|
NUMERAL.
9.1.4
|
|
|
|
NUMERAL.
9.1.5
|
NUMERAL.
9.1.5
|
|
|
|
NUMERAL.
9.1.6
|
NUMERAL.
9.1.6
|
|
|
|
9.2 Seguridad de los equipos.
|
NUMERAL.
9.2.1
|
NUMERAL.
9.2.1
|
Para gestión de TIC
|
|
NUMERAL.
9.2.2
|
NUMERAL.
9.2.2
|
||
|
NUMERAL.
9.2.3
|
NUMERAL.
9.2.3
|
||
|
NUMERAL.
9.2.4
|
NUMERAL.
9.2.4
|
||
|
NUMERAL.
9.2.5
|
NUMERAL.
9.2.5
|
||
|
NUMERAL.
9.2.6
|
NUMERAL.
8.3.2
|
||
|
NUMERAL.
9.2.7
|
NUMERAL.
9.2.5
|
||
|
10.
GESTIÓN DE COMUNICACIONES Y OPERACIONES.
|
Para gestión de TIC
|
||
|
10.1 Responsabilidades y procedimientos de
operación.
|
NUMERAL.
10.1.1
|
NUMERAL.
10.1.1
|
|
|
NUMERAL.
10.1.2
|
NUMERAL.
6.1.4
|
||
|
NUMERAL.
10.1.3
|
NUMERAL.
10.1.3
|
||
|
NUMERAL.
10.1.4
|
NUMERAL.
10.1.4
|
||
|
10.2 Gestión de la provisión de servicios por
terceros.
|
NUMERAL.
10.2.1
|
NUMERAL.
10.2.1
|
|
|
NUMERAL.
10.2.2
|
NUMERAL.
10.2.2
|
||
|
NUMERAL.
10.2.3
|
NUMERAL.
6.1.4
|
||
|
10.3 Planificación y aceptación del sistema.
|
NUMERAL.
10.3.1
|
NUMERAL.
10.3.1
|
|
|
NUMERAL.
10.3.2
|
NUMERAL.
6.1.4
|
||
|
10.4 Protección contra el código malicioso y
descargable.
|
NUMERAL.
10.4.1
|
NUMERAL.
10.4.1
|
|
|
NUMERAL.
10.4.2
|
NUMERAL.
10.4.2
|
||
|
10.5 Copias de seguridad.
|
NUMERAL.
10.5.1
|
NUMERAL.
10.5.1
|
|
|
10.6 Gestión de la seguridad de las redes.
|
NUMERAL.
10.6.1
|
NUMERAL.
10.6.1
|
|
|
NUMERAL.
10.6.2
|
NUMERAL.
10.6.2
|
||
|
10.7 Manipulación de los soportes.
|
NUMERAL.
10.7.1
|
NUMERAL.
9.2.5
|
|
|
NUMERAL.
10.7.2
|
NUMERAL.
8.3.2
|
||
|
NUMERAL.
10.7.3
|
NUMERAL.
10.7.3
|
||
|
10.8 Intercambio de información.
|
NUMERAL.
10.8.1
|
NUMERAL.
6.1.5
|
|
|
10.9 Servicios de comercio electrónico.
|
NUMERAL.
10.8.3
|
NUMERAL.
9.2.5
|
|
|
|
NUMERAL.
10.8.4
|
NUMERAL.
10.8.4
|
|
|
|
NUMERAL.
10.8.5
|
NUMERAL.
10.8.5
|
|
|
|
NUMERAL.
10.9.1
|
NUMERAL.
10.9.1
|
|
|
|
NUMERAL.
10.9.2
|
NUMERAL.
10.9.2
|
|
|
|
NUMERAL.
10.9.3
|
NUMERAL.
10.9.3
|
|
|
10.10 Supervisión.
|
NUMERAL.
10.10.1
|
NUMERAL.
10.10.1
|
|
|
NUMERAL.
10.10.2
|
NUMERAL.
10.10.1
|
||
|
NUMERAL.
10.10.3
|
NUMERAL.
10.10.1
|
||
|
NUMERAL.
10.10.4
|
NUMERAL.
10.10.4
|
||
|
NUMERAL.
10.10.5
|
NUMERAL.
10.10.5
|
||
|
NUMERAL.
10.10.6
|
NUMERAL.
10.10.6
|
||
|
11.
CONTROL DE ACCESO.
|
|
||
|
11.1 Requisitos de negocio para el control de
acceso.
|
NUMERAL.
11.1.1
|
NUMERAL.
10.1.3
|
|
|
11.2 Gestión de acceso de usuario.
|
NUMERAL.
11.2.1
|
NUMERAL.
8.3.3
|
|
|
NUMERAL.
11.2.2
|
NUMERAL.
10.1.3
|
|
|
|
NUMERAL.
11.2.3
|
NUMERAL.
11.2.3
|
|
|
|
NUMERAL.
11.2.4
|
NUMERAL.
10.10.1
|
|
|
|
11.3 Responsabilidades de usuario.
|
NUMERAL.
11.3.1
|
NUMERAL.
8.2.2
|
|
|
NUMERAL.
11.3.2
|
NUMERAL.
8.2.2
|
|
|
|
NUMERAL.
11.3.3
|
NUMERAL.
8.2.2
|
|
|
|
11.4 Control de acceso a la red.
|
NUMERAL.
11.4.1
|
NUMERAL.
11.2.4
|
Para gestión de TIC
|
|
NUMERAL.
11.4.2
|
NUMERAL.
11.4.2
|
||
|
NUMERAL.
11.4.3
|
NUMERAL.
11.4.3
|
||
|
NUMERAL.
11.4.4
|
NUMERAL.
10.10.4
|
||
|
NUMERAL.
11.4.5
|
NUMERAL.
10.10.1
|
||
|
NUMERAL.
11.4.6
|
NUMERAL.
10.3.1
|
||
|
NUMERAL.
11.4.7
|
NUMERAL.
11.4.7
|
||
|
11.5 Control de acceso al sistema operativo.
|
NUMERAL.
11.5.1
|
NUMERAL.
10.10.4
|
|
|
NUMERAL.
11.4.4
|
NUMERAL.
11.4.4
|
||
|
NUMERAL.
11.5.2
|
NUMERAL.
10.1.3
|
||
|
NUMERAL.
11.2.2
|
NUMERAL.
11.2.2
|
||
|
NUMERAL.
11.1.1
|
NUMERAL.
11.1.1
|
||
|
NUMERAL.
11.5.3
|
NUMERAL.
11.2.3
|
||
|
NUMERAL.
11.5.4
|
NUMERAL.
10.10.1
|
||
|
NUMERAL.
11.5.5
|
NUMERAL.
8.2.2
|
||
|
NUMERAL.
11.5.6
|
NUMERAL.
11.5.6
|
||
|
11.6 Control de acceso a las aplicaciones y a la
información.
|
NUMERAL.
11.6.1
|
NUMERAL.
10.10.4
|
|
|
NUMERAL.
11.5.1
|
NUMERAL.
11.5.1
|
||
|
NUMERAL.
11.4.4
|
NUMERAL.
11.4.4
|
||
|
NUMERAL.
11.6.2
|
NUMERAL.
10.10.1
|
||
|
11.7 Ordenadores portátiles y teletrabajo.
|
NUMERAL.
11.7.1
|
NUMERAL.
9.2.5
|
|
|
NUMERAL.
11.7.2
|
NUMERAL.
11.7.2
|
||
|
12.
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN.
|
Para gestión de TIC
|
||
|
12.1 Requisitos de seguridad de los sistemas de
información.
|
NUMERAL.
12.1.1
|
NUMERAL.
6.1.4
|
|
|
12.2 Tratamiento correcto de las aplicaciones.
|
NUMERAL.
12.2.1
|
NUMERAL.
12.2.1
|
|
|
NUMERAL.
12.2.2
|
NUMERAL.
12.2.1
|
||
|
NUMERAL.
12.2.3
|
NUMERAL.
10.4.1
|
||
|
NUMERAL.
12.2.4
|
NUMERAL.
12.2.4
|
||
|
12.3 Controles criptográficos.
|
NUMERAL.
12.3.1
|
NUMERAL.
12.3.1
|
|
|
NUMERAL.
12.3.2
|
NUMERAL.
10.10.4
|
||
|
12.4 Seguridad de los archivos de sistema.
|
NUMERAL.
12.4.1
|
NUMERAL.
6.1.4
|
|
|
NUMERAL.
12.4.2
|
NUMERAL.
10.1.4
|
||
|
NUMERAL.
12.4.3
|
NUMERAL.
12.4.3
|
||
|
12.5 Seguridad en los procesos de desarrollo y
soporte.
|
NUMERAL.
12.5.1
|
NUMERAL.
6.1.4
|
|
|
NUMERAL.
12.5.2
|
NUMERAL.
12.5.2
|
||
|
NUMERAL.
12.5.3
|
NUMERAL.
6.1.4
|
||
|
NUMERAL.
12.5.4
|
NUMERAL.
10.10.4
|
||
|
NUMERAL.
12.5.5
|
NUMERAL.
6.1.4
|
||
|
12.6 Gestión de la vulnerabilidad técnica.
|
NUMERAL.
12.6.1
|
NUMERAL.
9.1.1
|
|
|
13.
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
|
|
||
|
13.1 Notificación de eventos y puntos débiles de
seguridad de la información.
|
NUMERAL.
13.1.1
|
NUMERAL.
10.10.5
|
|
|
13.2 Gestión de incidentes y mejoras de seguridad
de la información.
|
NUMERAL.
13.1.2
|
NUMERAL.
8.2.2
|
|
|
|
NUMERAL.
13.2.1
|
NUMERAL.
10.10.5
|
|
|
|
NUMERAL.
13.2.2
|
NUMERAL.
10.10.5
|
|
|
|
NUMERAL.
13.2.3
|
NUMERAL.
10.10.1
|
|
|
14.
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
|
|
||
|
14.1
Aspectos de seguridad de la información en lagestión de la
|
NUMERAL.
14.1.1
|
NUMERAL.
14.1.1
|
|
|
Continuidad
del negocio.
|
NUMERAL.
14.1.2
|
NUMERAL.
6.2.1
|
|
|
|
NUMERAL.
14.1.3
|
NUMERAL.
14.1.3
|
|
|
|
NUMERAL.
14.1.4
|
NUMERAL.
14.1.4
|
|
|
|
NUMERAL.
14.1.5
|
NUMERAL.
14.1.5
|
|
|
15.
CUMPLIMIENTO.
|
|
||
|
15.1
Cumplimiento de los requisitos legales.
|
NUMERAL.
15.1.1
|
NUMERAL.
14.1.4
|
|
|
|
NUMERAL.
15.1.2
|
NUMERAL.
15.1.2
|
|
|
|
NUMERAL.
15.1.3
|
NUMERAL.
10.5.1
|
|
|
|
NUMERAL.
15.1.4
|
NUMERAL.
15.1.4
|
|
|
|
NUMERAL.
15.1.5
|
NUMERAL.
8.2.2
|
|
|
|
NUMERAL.
15.1.6
|
NUMERAL.
12.3.1
|
|
|
15.2
Cumplimiento de las políticas y normas de seguridad y
|
NUMERAL.
15.2.1
|
NUMERAL.
15.2.1
|
|
|
Cumplimiento
técnico.
|
NUMERAL.
15.2.2
|
NUMERAL.
15.2.1
|
|
|
15.3 Consideraciones sobre las auditorías de los
sistemas de información.
|
NUMERAL.
15.3.1
|
NUMERAL.
15.3.1
|
|
|
NUMERAL.
15.3.2
|
NUMERAL.
10.10.1
|
|
|
Fuente: Elaboración propia
1.6. Lista de chequeo para la validación de la
madures del SGSI:
A continuación, se
define la lista de chequeo de controles a ser gestionados según ISO-27002, se marcan en azul los que son responsabilidad
del área de servicios TIC.
Cada
uno de los controles deberá ser calificado, a partir de la Escalas para
Calificación de Controles ISO 27001, definido en la tabla (Escala para la
valoración de controles). La calificación de
cada dominio de la norma corresponde al promedio de los controles que lo
componen; de esta forma es posible identificar los dominios que requieren mayor
focalización al armar un plan de mejora frente a la evaluación del nivel de
madurez del SGSI. En caso que algún control haya sido calificado como No Aplica
(N/A), dicho control no hará parte del promedio calculado para el dominio. Al finalizar se calcula un promedio ponderado
de todo el SGSI, el cual corresponde al promedio de todos los promedios o
dominios.
Tabla 5 Controles definidos basados
en ISO 27002
|
Controles definidos basados en ISO 27001, COBIT
e ITIL.
|
||||
|
Nombre Control
|
Numeral ISO 27001
|
Descripción del Control
|
S/N Responsabilidad de TIC
|
|
|
5. POLÍTICA DE SEGURIDAD
|
||||
|
Políticas:
Define lineamientos a ser gestionados para
garantizar la apropiación de las medidas de seguridad definidas por la
entidad.
|
A5=
Promedio (controles del dominio)
|
|||
|
5.1. Política de la Seguridad de la Información
|
||||
|
Política
|
NUMERAL.
5.1.1
|
Existe
un conjunto de políticas aprobadas por la alta Dirección y están publicadas y
comunicadas a todo el recurso humano interno y a terceros.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
5.1.2
|
La
gestión de la política responde al enfoque PHVA y a través de este, poder
asegurar su implementación y permanencia
|
|||
|
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACION
|
||||
|
Información:
Gestionar la seguridad de información.
|
A6 =
Promedio (controles del dominio)
|
|||
|
6.1. Organización Interna
|
|
|||
|
Interno
|
NUMERAL.
6.1.1
|
Hay un
compromiso activo de la alta Dirección en el SGSI.
|
|
|
|
NUMERAL.
6.1.2
|
Existe
un compromiso activo de toda la organización en el SGSI.
|
|
||
|
NUMERAL.
6.1.3
|
Se
tiene una definición clara de los roles y responsabilidades en el SGSI.
|
|
||
|
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios (RFC) y una gestión de liberaciones de
cambios documentada operando.
|
|
||
|
NUMERAL.
6.1.5
|
Existen
acuerdos de confidencialidad internos y externos con terceros.
|
|
||
|
NUMERAL.
6.1.6
|
Están
identificadas las autoridades y reguladores, existe un repositorio de datos
de contactos.
|
|
||
|
NUMERAL.
6.1.7
|
Existe
apoyo en el SGSI aportando el personal competente y calificado en el tema
técnico.
|
|
||
|
NUMERAL.
6.1.8
NUMERAL.
5.1.2
|
La
gestión de la política responde a un enfoque PHVA.
|
|
||
|
6.2. Terceros
|
||||
|
Externo
|
NUMERAL.
6.2.1
|
Existe
un proceso de gestión de riesgos que valide el acceso a la información por
parte de terceros.
|
|
|
|
NUMERAL.
6.2.2
|
Antes
de liberar actualizaciones a las aplicaciones, funcionalidades o sistemas de
información, se gestiona la seguridad de acceso.
|
|||
|
NUMERAL.
6.2.3
NUMERAL.
6.1.5
|
Existen
acuerdos de confidencialidad internos y externos con los terceros y
proveedores.
|
|
||
|
7. GESTIÓN DE ACTIVOS
|
||||
|
CI: Gestión de la seguridad de los activos de
la información
|
A7 =
Promedio (controles del dominio)
|
|||
|
7.1. Responsabilidad sobre los activos
|
||||
|
CI's
|
NUMERAL.
7.1.1
|
Existe
gestión de la CMDB, que incluye la base de datos de los contratos con
proveedores y de los inventarios de TIC
|
|
|
|
NUMERAL.
7.1.2
|
Los
CI´s tienen el propietario asignado, así como la ubicación del activo y su
configuración.
|
|
||
|
NUMERAL.
7.1.3
|
Existe
una política para el uso de los CI’s y la protección de estos.
|
|
||
|
7.2. Clasificación de La Información
|
||||
|
Información
|
NUMERAL.
7.2.1
NUMERAL.
7.2.2
|
Existe
clasificación de la información.
|
|
|
|
|
||||
|
8.
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
|
||||
|
Capital
Humano y terceros: Empoderar al capital humano para que se convierta en una
fortaleza del SGSI.
|
A8 =
Promedio (controles del dominio)
|
|||
|
8.1. Antes del empleo
|
||||
|
Precontractual
|
NUMERAL.
8.1.1
|
Está
documentada (actas) la aceptación del capital humano a la políticas y
responsabilidades definidas en el SGSI.
|
|
|
|
NUMERAL.
8.1.2
|
Se hace
estudio de seguridad en el proceso precontractual del Capital Humano y los
terceros.
|
|
||
|
NUMERAL.
8.1.3
|
Los
contratos del Capital Humano y los Terceros incluyen cláusulas relacionadas
con el SGSI.
|
|
||
|
8.2. Durante el empleo
|
||||
|
Contractual
|
NUMERAL.
8.2.1
|
Se
gestiona el cumplimiento de las políticas del SGSI.
|
|
|
|
NUMERAL.
8.2.2
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones
desatendidas, política de escritorio limpio y reporte de incidentes
|
|
||
|
NUMERAL.
8.2.3
|
Existen
medidas sancionatorias frente al incumplimiento de las políticas del SGSI.
|
|
||
|
8.3. Cese del empleo o cambio de puesto de
trabajo
|
||||
|
Post
Contractual
|
NUMERAL.
8.3.1
|
Existe
un procedimiento que defina cómo actuar, frente al SGSI al momento de cambio
de funciones o retiro.
|
|
|
|
NUMERAL.
8.3.2
|
Se
gestiona la recepción de CI’s al finalizar contratos, implica procesos de
destrucción de información.
|
|
||
|
NUMERAL.
8.3.3
|
Existe
un procedimiento de gestión de accesos al finalizar un contrato.
|
|
||
|
9. SEGURIDAD FÍSICA Y DEL ENTORNO
|
|
|||
|
Perimetral:
Gestionar la seguridad de las infraestructuras.
|
A9 =
Promedio (controles del dominio)
|
|||
|
9.1. Áreas seguras
|
|
|||
|
Áreas
|
NUMERAL.
9.1.1
|
Existen
mecanismos de protección como Firewall y mecanismos en general que minimicen
el riesgo de exportación de vulnerabilidades.
|
|
|
|
NUMERAL.
9.1.2
|
Existe
control de acceso a las instalaciones críticas.
|
|
||
|
NUMERAL.
9.1.3
|
Existen
controles de seguridad al interior de las instalaciones críticas.
|
|
||
|
NUMERAL.
9.1.4
|
Existen
mecanismos de detección y reacción ante amenazas naturales y/o intencionadas.
|
|
||
|
NUMERAL.
9.1.5
|
Existe
una política de trabajo en las áreas más críticas.
|
|
||
|
NUMERAL.
9.1.6
|
Existen
mecanismos de seguridad física y registro en las áreas de carga y descarga de
insumos (productos de cafetería para el personal o materias primas).
|
|
||
|
9.2. Seguridad de los equipos
|
||||
|
Dispositivos
para usuario final
|
NUMERAL.
9.2.1
|
Existe
una política que defina características del centro de datos o centro de
cómputo.
Los
servidores, dispositivos de almacenamiento masivo y equipo de
telecomunicaciones, están aprovisionados de forma segura.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
9.2.2
|
No
existe un componente único de falla en los servicios TIC.
|
|||
|
NUMERAL.
9.2.3
|
Los
activos de telecomunicaciones cumplen con estándares vigentes.
|
|||
|
NUMERAL.
9.2.4
|
Existe
un plan de mantenimiento a los CI’s.
|
|||
|
NUMERAL.
9.2.5
|
Existe
control y seguimiento a los Cis móviles.
|
|||
|
NUMERAL.
9.2.6
NUMERAL. 8.3.2
|
Se
gestiona la recepción de CI’s al finalizar contratos, implica procesos de
destrucción de información.
|
|||
|
NUMERAL.
9.2.7
NUMERAL.
9.2.5
|
Existe
control y seguimiento a los CIS móviles.
|
|||
|
10. GESTIÓN DE COMUNICACIONES OPERACIONES
|
|
|||
|
Operación:
Gestionar las actividades del negocio y sus interacciones con el medio.
|
A10 =
Promedio (controles del dominio)
|
|||
|
10.1.
Responsabilidades y procedimientos de operación
|
|
|||
|
Operación
|
NUMERAL.
10.1.1
|
Las
actividades del negocio obedecen a un enfoque a procesos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|||
|
NUMERAL.
10.1.3
|
Existe
un plan de segregación de responsabilidades y funciones que proteja el acceso
a información y funcionalidades de los sistemas de información.
|
|||
|
NUMERAL.
10.1.4
|
Existen
ambientes de desarrollo, pruebas e integración, que garanticen no usar datos
productivos en dichos ambientes.
|
|||
|
10.2. Gestión de la provisión de servicios por
terceros
|
||||
|
Entrega
|
NUMERAL.
10.2.1
|
Se
asegura el cumplimiento de las políticas del SGSI por parte de los terceros.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.2.2
|
Se
audita el control definido en el NUMERAL. 10.2.1
|
|||
|
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|||
|
10.3.
Planificación y aceptación del sistema
|
||||
|
Plan
del Servicio
|
NUMERAL.
10.3.1
|
Existe
un proceso de monitoreo y un proceso de gestión de la capacidad de los
servicios tecnológicos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|||
|
10.4. Protección contra el código malicioso y
descargable
|
||||
|
Gestión
contra Software malicioso y software no deseado.
|
NUMERAL.
10.4.1
|
Existen
controles preventivos, reactivos y de concienciación frente al software
malicioso y software no deseado.
|
Si. Gestionado
por los servicios TIC
|
|
|
NUMERAL.
10.4.2
|
Existen
controles preventivos, reactivos y de concienciación frente a los servicios
móviles usados.
|
|||
|
10.5. Copias de seguridad
|
||||
|
Políticas
de back-up
|
NUMERAL.
10.5.1
|
Existe
una política de backup, un plan de backup y un plan de pruebas de
restauración.
|
Si.
Gestionado por los servicios TIC
|
|
|
10.6. Gestión de seguridad de las redes
|
||||
|
Seguridad
en redes
|
NUMERAL.
10.6.1
|
Existen
políticas y procedimientos relacionados con el uso y entrega del servicio de
redes.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.6.2
|
El
servicio obedece a los ANS acuerdos de niveles de servicio.
|
|||
|
10.7. Manipulación de los soportes
|
||||
|
Dispositivos
para almacenamiento masivo
|
NUMERAL.
10.7.1 NUMERAL. 9.2.5
NUMERAL.
9.2.7
|
Existe
control y seguimiento a los CIS móviles.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.7.2
NUMERAL.
9.2.6
NUMERAL. 8.3.2
|
Se
dispone de procedimientos formales para la eliminación de medios.
|
|||
|
NUMERAL.
10.7.3
NUMERAL.
7.2.1 NUMERAL. 7.2.2
NUMERAL.
10.7.4
|
Existe
clasificación de la información. Incluye documentación de los sistemas de
información, las aplicaciones y los CI´s en general.
|
|||
|
10.8. Intercambio de información
|
||||
|
Conectividad
(b2b b2c c2b c2c b2g g2c)
|
NUMERAL.
10.8.1
NUMERAL.
6.2.3 NUMERAL. 6.1.5
NUMERAL.
10.8.2
|
Existen
acuerdos de confidencialidad internos y con terceros.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
10.8.3
NUMERAL.
10.7.1
NUMERAL.
9.2.5
NUMERAL.
9.2.7
|
Existe
control y seguimiento a los CIS móviles.
|
|||
|
NUMERAL.
10.8.4
|
Existe
una política de uso de correo electrónico, está divulgada e interiorizada.
|
|||
|
NUMERAL.
10.8.5
|
Existe
una política de integración con terceros, está divulgada e interiorizada.
|
|||
|
10.9. Intercambio de Información
|
||||
|
NUMERAL.
10.9.1
|
Existen
controles asociados a actividades que atenten contra la disponibilidad,
integridad y disponibilidad de la información, frente a las funcionalidades
de conectividad.
|
Si.
Gestionado por los servicios TIC
|
||
|
NUMERAL.
10.9.2
|
Existe
mecanismo de protección de la información, frete a fallas de las
telecomunicaciones, durante una transacción.
|
|||
|
NUMERAL.
10.9.3
|
La
información clasificada como pública dispone de mecanismos de protección
contra repudio y para garantizar su integridad.
|
|||
|
10.10.
Supervisión
|
||||
|
Instrucción
|
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|
|
|
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
Si.
Gestionado por los servicios TIC
|
||
|
NUMERAL.
10.10.5
|
Existen
procesos de gestión de eventos, incidentes y problemas.
|
|||
|
NUMERAL.
10.10.6
|
Los
formatos de fecha, hora, cadenas y set de caracteres de los CI´s están
configurados de forma estándar y sincronizada.
|
|||
|
11-
CONTROL DE ACESSO
|
||||
|
Accesos:
Gestión de permisos de usuarios sobre las aplicaciones y la información
|
A11=
Promedio (controles del dominio)
|
|||
|
11.1.
Requisitos de negocio para el control de acceso
|
||||
|
Requerimientos
|
NUMERAL.
11.1.1
NUMERAL.
10.1.3
|
Existe
un plan de segregación de responsabilidades y funciones que proteja el acceso
a información y funcionalidades de los sistemas de información.
|
|
|
|
11.2.
Gestión de Acesso de usuario
|
||||
|
Acceso
|
NUMERAL.
11.2.1
NUMERAL.
8.3.3
|
Existe
un procedimiento de gestión de accesos al finalizar un contrato.
|
|
|
|
NUMERAL.
11.2.2
NUMERAL.
11.1.1
NUMERAL.
10.1.3
|
Existe
un plan de segregación de responsabilidades y funciones que proteja el acceso
a información y funcionalidades de los sistemas de información.
|
|
||
|
NUMERAL.
11.2.3
|
Existe
procedimiento que defina reglas para el uso de contraseñas.
|
|
||
|
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|
||
|
11.3.
Responsabilidad de Usuario
|
||||
|
Empoderamiento
a Usuarios
|
NUMERAL.
11.3.1
NUMERAL.
8.2.2
NUMERAL.
11.3.2
NUMERAL.
11.3.3
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones
desatendidas, política de escritorio limpio y reporte de incidentes.
|
|
|
|
|
||||
|
|
||||
|
11.4. Control de Acesso a la red
|
||||
|
Acceso
Redes
|
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
11.4.2
|
Para
usuarios externos, los sistemas de información, las aplicaciones, las bases
de datos, los repositorios de información y los servicios tecnológicos en
general, disponen de trazabilidad, que permita identificar de forma
inequívoca la fuente de un dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
NUMERAL.
11.4.3
|
Las
actividades de control de accesos implican la identificación de los CI’s.
|
|||
|
NUMERAL.
11.4.4
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
NUMERAL.
11.4.5
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay gestión de accesos.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
NUMERAL.
11.4.6
NUMERAL.
10.3.1
|
Existe
un proceso de monitoreo y un proceso de gestión de la capacidad de los
servicios tecnológicos.
|
|||
|
NUMERAL.
11.4.7
|
La
gestión de la red permite garantizar el cumplimiento de las definiciones del
SGSI.
|
|||
|
11.5.
Control de Acceso al sistema Operativo
|
||||
|
Controles sobre SO
|
NUMERAL.
11.5.1
NUMERAL.
11.4.4
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
11.5.2
NUMERAL.
11.2.2
NUMERAL.
11.1.1
NUMERAL.
10.1.3
|
Existe
un plan de segregación de responsabilidades y funciones que proteja el acceso
a información y funcionalidades de los sistemas de información.
|
|||
|
NUMERAL.
11.5.3
NUMERAL.
11.2.3
|
Existe
procedimiento que defina reglas para el uso de contraseñas.
|
|||
|
NUMERAL.
11.5.4
NUMERAL.
11.4.5
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay gestión de accesos.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
NUMERAL.
11.5.5
NUMERAL.
11.3.1
NUMERAL.
8.2.2
NUMERAL.
11.3.2
NUMERAL.
11.3.3
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones
desatendidas, política de escritorio limpio y reporte de incidentes
|
|||
|
NUMERAL.
11.5.6
|
Existe
control de horario de accesos a: sistemas de información, las aplicaciones,
las bases de datos, los repositorios de información y los servicios
tecnológicos en general; definidos como críticos.
|
|||
|
11.6.
Control de Acceso a las aplicaciones y a la información
|
||||
|
Acceso
a los SI y BD.
|
NUMERAL.
11.6.1
NUMERAL.
11.5.1
NUMERAL.
11.4.4
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
11.6.2
NUMERAL.
11.4.5
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
11.7. Ordenadores
portátiles y Teletrabajo
|
||||
|
Movilidad
|
NUMERAL.
11.7.1
NUMERAL.
9.2.5
|
Existe
control y seguimiento a los CIS móviles.
|
Si. Gestionado
por los servicios TIC
|
|
|
NUMERAL.
11.7.2
|
Existen
políticas para teletrabajo.
|
|||
|
12.
ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
|
||||
|
Sistemas de Información: Gestión de la
Apropiación, soporte y mantenimiento de aplicaciones y SI.
|
A12=
Promedio (controles del dominio)
|
|||
|
12.1.
Requisitos de seguridad de los sistemas de información
|
||||
|
Definiciones
de seguridad en aplicaciones
|
NUMERAL.
12.1.1
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|
|
|
12.2.
Tratamiento correcto de las aplicaciones
|
||||
|
Controles
de entrada, proceso y salida de los aplicativos
|
NUMERAL.
12.2.1
NUMERAL.
12.2.2
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de validaciones a los datos de entrada para asegurar calidad y consistencia
en la información.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
12.2.3
NUMERAL.
10.4.1
|
Existen
controles preventivos, reactivos y de concienciación frente al software
malicioso y software no deseado.
|
|||
|
NUMERAL.
12.2.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de validaciones a los datos de salida para asegurar calidad y consistencia en
la información.
|
|||
|
12.3.
Controles Criptográficos
|
||||
|
Cifrado
|
NUMERAL.
12.3.1
|
Se
aplican técnicas de cifrado y enmascaramiento de datos.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
12.3.2
NUMERAL.
11.6.1
NUMERAL.
11.5.1
NUMERAL.
11.4.4
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
12.4. Seguridad en los archivos del sistema
|
||||
|
Datos
almacenados
|
NUMERAL.
12.4.1
NUMERAL.
12.1.1
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
12.4.2
NUMERAL.
10.1.4
|
Existen
ambientes de desarrollo, pruebas e integración, que garanticen no usar datos
productivos en dichos ambientes.
|
|||
|
NUMERAL.
12.4.3
|
Existe
un procedimiento que defina la gestión del código fuente y su Versionamiento.
|
|||
|
12.5. Seguridad en los procesos de desarrollo y
soporte
|
||||
|
Ingeniería
de software
|
NUMERAL.
12.5.1
NUMERAL.
12.4.1
NUMERAL.
12.1.1
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
Si.
Gestionado por los servicios TIC
|
|
|
NUMERAL.
12.5.2
|
Los controles
e cambio a SO, servidores de aplicación, cambio de personamiento de BD y
software de integración implican revisión de aplicaciones con el fin de
descartar impactos.
|
|||
|
NUMERAL.
12.5.3
NUMERAL.
12.5.1
NUMERAL.
12.4.1
NUMERAL.
12.1.1
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|||
|
NUMERAL.
12.5.4
NUMERAL.
12.3.2
NUMERAL.
11.6.1
NUMERAL.
11.5.1
NUMERAL.
11.4.4
NUMERAL.
10.10.4
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|||
|
NUMERAL.
12.5.5
NUMERAL.
12.5.3
NUMERAL.
12.5.1
NUMERAL.
12.4.1
NUMERAL.
12.1.1
NUMERAL.
10.3.2
NUMERAL.
10.2.3
NUMERAL.
10.1.2
NUMERAL.
6.1.4
|
Existe
un proceso de gestión de cambios y gestión de liberaciones de cambios,
incluyendo a nuevos sistemas de información, aplicaciones o funcionalidades y
fábricas de software, alineado al SGSI.
|
|||
|
12.6. Gestión de la vulnerabilidad técnica
|
||||
|
Vulnerabilidades
|
NUMERAL.
12.6.1
NUMERAL.
9.1.1
|
Existen
mecanismos de protección como Firewall y mecanismos en general que minimicen
el riesgo de exportación de vulnerabilidades.
|
Si.
Gestionado por los servicios TIC
|
|
|
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA
INFORMACION
|
||||
|
Incidentes:
Gestionar incidentes, problemas y planes de remediación relacionados con la
seguridad de la información.
|
A13= Promedio
(controles del dominio)
|
|||
|
13.1.
Notificación de eventos y puntos débiles de la seguridad de la
Información
|
||||
|
Gestión
de incidentes
|
NUMERAL.
13.1.1
NUMERAL.
10.10.5
|
Existen
procesos de gestión de eventos, incidentes y problemas.
|
|
|
|
NUMERAL.
13.1.2
NUMERAL.
11.5.5
NUMERAL.
11.3.1
NUMERAL.
8.2.2
NUMERAL.
11.3.2
NUMERAL.
11.3.3
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones
desatendidas, política de escritorio limpio y reporte de incidentes
|
|
||
|
NUMERAL.
13.2.1
NUMERAL.
13.1.1
NUMERAL.
10.10.5
NUMERAL.
13.2.2
|
Existen
procesos de gestión de eventos, incidentes y problemas.
|
|
||
|
|
||||
|
NUMERAL.
13.2.3
NUMERAL.
11.6.2
NUMERAL.
11.4.5
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|
||
|
14.
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
|
||||
|
Continuidad de los servicios TIC: Gestionar la
disponibilidad de los servicios TIC, dando cobertura a desastres (DRP).
|
A14= Promedio (controles del dominio)
|
|||
|
14.1.
Aspectos de la seguridad de la Información en la gestión de la Continuidad
del negocio
|
||||
|
Gestión
de la continuidad de los servicios TIC
|
NUMERAL.
14.1.1
|
Existe
una política de continuidad de los servicios TIC
|
|
|
|
NUMERAL.
14.1.2
NUMERAL.
6.2.1
|
Existe
un proceso de gestión de riesgos que valide el acceso a la información por
parte de terceros y las condiciones de seguridad, disponibilidad, integridad
y no repudio de la información.
|
|
||
|
NUMERAL.
14.1.3
|
Existe
un plan de continuidad del negocio y un plan de recuperación ante desastres.
|
|
||
|
NUMERAL.
14.1.4
|
Está
definido un marco de referencia en la gestión de la continuidad de los
servicios de TIC, que identifique compromisos de tipo legal, regulatorio,
contractual y las políticas internas.
|
|
||
|
NUMERAL.
14.1.5
|
Existe
un pan de mantenimiento para el plan de continuidad del negocio y para el
plan de recuperación ante desastres.
|
|
||
|
15. CUMPLIMIENTO
|
||||
|
Cumplimiento
legal: gestionar la identificación y el cumplimiento de los términos legales
y contractuales relacionados con la seguridad de la información.
|
A15=
Promedio (controles del dominio)
|
|||
|
15.1. Cumplimiento
de los requisitos legales
|
||||
|
Cumplimiento
legal
|
NUMERAL.
15.1.1
NUMERAL.
14.1.4
|
Está
definido un marco de referencia en la gestión de la continuidad de los
servicios de TIC, que identifique compromisos de tipo legal, regulatorio,
contractual y las políticas internas.
|
|
|
|
NUMERAL.
15.1.2
|
Existe
un procedimiento que aseguro el cumplimiento de los lineamientos de la
Dirección Nacional de Derechos de Autor (DNDA), incluyendo control de los
terceros.
|
|
||
|
NUMERAL.
15.1.3
NUMERAL.
10.5.1
|
Existe
una política de backup, un plan de backup y un plan de pruebas de
restauración.
|
|
||
|
NUMERAL.
15.1.4
|
Existe
una política de privacidad (habeas data).
|
|
||
|
NUMERAL.
15.1.5
NUMERAL.
13.1.2
NUMERAL.
11.5.5
NUMERAL.
11.3.1
NUMERAL.
8.2.2
NUMERAL.
11.3.2
NUMERAL.
11.3.3
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones desatendidas,
política de escritorio limpio y reporte de incidentes.
|
|
||
|
NUMERAL.
15.1.6
NUMERAL.
12.3.1
|
Se
aplican técnicas de cifrado y enmascaramiento de datos.
|
|
||
|
15.2. Cumplimiento de las políticas y normas de
Seguridad y cumplimiento técnico
|
||||
|
Cumplimiento
interno
|
NUMERAL.
15.2.1
NUMERAL.
15.2.2
|
Existen
mecanismos de medición, seguimiento, control y rendición de cuentas en la
gestión del SGSI.
|
|
|
|
|
||||
|
15.3. Consideraciones sobre las auditorias de los
sistemas de información
|
||||
|
Auto
auditoría y Revisión
|
NUMERAL.
15.3.1
|
Existe
un plan de mantenimiento al SGSI que implica actividades de capacitación,
sensibilización, apropiación de las políticas del SGSI, auditorías internas,
revisiones y pruebas. Implica la gestión de equipos y aplicaciones
desatendidas, política de escritorio limpio y reporte de incidentes
|
|
|
|
NUMERAL.
15.3.2
NUMERAL.
13.2.3
NUMERAL.
11.6.2
NUMERAL.
11.4.5
NUMERAL.
11.4.1
NUMERAL.
11.2.4
NUMERAL.
10.10.1
NUMERAL.
10.10.2
NUMERAL.
10.10.3
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca la fuente de un
dato, sus modificaciones y/o consulta.
Hay
segmentación de red para aislar servicios críticos.
Hay
gestión de accesos.
|
|
||
Fuente: Elaboración propia.
1.7. Focalización en la
gestión de TIC:
Dados los riesgos identificados a ser
gestionados:
Tabla 6
Riesgos definidos a ser gestionados
|
Riesgos definidos a
ser gestionados
|
|
Decisiones Erradas
|
|
Incumplimiento de Compromisos
|
|
Acceso no autorizado a recursos
|
|
Modificación no autorizada de datos y/o Software
|
|
Interrupción de los servicios TIC
|
|
Acciones engañosas
|
Fuente: Elaboración propia.
A continuación se listan los
dominós de la norma a ser observados por
el área responsables de los servicios TIC y los controles a ser gestionados, en
dicha tabla se hace la identificación de los riesgos a los que cada control
apunta y se prioriza, a partir de las necesidades particulares tecnológicas, para
definir a cuales controles se les hará seguimiento a partir de un indicador y
una métrica.
Tabla 7
Priorización de Controles Para el área de
gestión de los servicios TIC
|
Controles Para el área de gestión de los
servicios TIC
|
Decisiones Erradas
|
Incumplimiento de Compromisos
|
Acceso no autorizado a recursos
|
Modificación no autorizada de datos
y/o Software
|
Interrupción de los servicios TIC
|
Acciones engañosas
|
Prioridad
|
|
5. POLÍTICA DE SEGURIDAD
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
9.2. Seguridad de los equipos
|
x
|
x
|
x
|
x
|
Baja
|
||
|
10. GESTIÓN DE COMUNICACIONES OPERACIONES
|
x
|
x
|
Sin prioridad
|
||||
|
10.1. Responsabilidades y
procedimientos de operación
|
x
|
x
|
Sin prioridad
|
||||
|
10.10. Supervisión
|
Sin prioridad
|
||||||
|
10.4. Protección contra el código malicioso y descargable
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
10.5. Copias de seguridad
|
Sin prioridad
|
||||||
|
10.6. Gestión de seguridad de las redes
|
x
|
x
|
x
|
x
|
x
|
Media
|
|
|
10.8. Intercambio de información
|
x
|
x
|
x
|
x
|
x
|
Media
|
|
|
11.4. Control de Acesso a la red
|
x
|
x
|
x
|
x
|
Baja
|
||
|
11.5. Control de Acceso al
sistema Operativo
|
x
|
x
|
x
|
x
|
Baja
|
||
|
11.6. Control de Acceso a las
aplicaciones y a la información
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
11.7. Ordenadores portátiles y Teletrabajo
|
x
|
x
|
x
|
Sin prioridad
|
|||
|
12. ADQUISICIÓN DESARROLLO Y
MANTENIMIENTO DE SISTEMAS DE INFORMACION
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
12.1. Requisitos de seguridad
de los sistemas de información
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
12.2. Tratamiento correcto de
las aplicaciones
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
12.3. Controles Criptográficos
|
x
|
x
|
Sin prioridad
|
||||
|
12.4. Seguridad en los archivos del sistema
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
12.5. Seguridad en los procesos de desarrollo y soporte
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
|
12.6. Gestión de la vulnerabilidad técnica
|
x
|
x
|
x
|
x
|
x
|
x
|
Alta
|
Fuente: Elaboración propia.
1.8. Lista de chequeo de controle e indicadores
para SGSI para el área responsable de los servicios TIC:
Como
resultado del análisis ejecutado, a continuación se presentan los controles
y los indicadores requeridos para el
SGSI en el proceso de gestión de los servicios TIC.
Tabla 8
Controles e indicadores requeridos para el SGSI en el proceso de gestión de los
servicios TIC, ejemplo calificación.
|
Controles para el área responsable
de los servicios TIC
|
|||
|
Nombre Control
|
Descripción del Control
|
valoración de controles
|
Indicadores requeridos
|
|
5. POLÍTICA DE SEGURIDAD
|
|||
|
Políticas: Define lineamientos a
ser gestionados para garantizar la apropiación de las medidas de seguridad
definidas por la entidad.
|
A5= Promedio (controles del dominio) = 1
|
Indicador 1
|
|
|
5.1. Política de la Seguridad de la
Información
|
|||
|
Política
|
Existe un conjunto de políticas aprobadas por la alta Dirección y
están publicadas y comunicadas a todo el recurso humano interno y a terceros.
|
1
|
|
|
La gestión de la política responde al enfoque PHVA y a través de este,
poder asegurar su implementación y permanencia
|
1
|
||
|
10. GESTIÓN DE COMUNICACIONES
OPERACIONES
|
|||
|
Operación: Gestionar las
actividades del negocio y sus interacciones con el medio.
|
A10 = Promedio (controles del dominio) = 3
|
Indicador 2
|
|
|
10.4. Protección contra el código
malicioso y descargable
|
|||
|
Gestión contra Software malicioso y software no deseado.
|
Existen controles preventivos, reactivos y de concienciación frente al
software malicioso y software no deseado.
|
2
|
|
|
Existen controles preventivos, reactivos y de concienciación frente a
los servicios móviles usados.
|
3
|
||
|
11-
CONTROL DE ACESSO
|
|||
|
Accesos: Gestión de permisos de
usuarios sobre las aplicaciones y la información
|
A11= Promedio (controles del dominio) = 5
|
Indicador 3
|
|
|
11.6.
Control de Acceso a las aplicaciones y a la información
|
|||
|
Acceso a los SI y BD.
|
Los sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
|
6
|
|
|
Hay segmentación de red para aislar servicios críticos.
|
3
|
||
|
Hay gestión de accesos.
|
6
|
|
|
|
12.
ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
|
|||
|
Sistemas de Información: Gestión de
la Apropiación, soporte y mantenimiento de aplicaciones y SI.
|
A12= Promedio (controles del dominio) = 4
|
Indicador 4
|
|
|
12.1. Requisitos de seguridad de los sistemas de
información
|
|||
|
Definiciones de seguridad en aplicaciones
|
Existe un proceso de gestión de cambios y gestión de liberaciones de
cambios, incluyendo a nuevos sistemas de información, aplicaciones o
funcionalidades y fábricas de software, alineado al SGSI.
|
2
|
|
|
12.2.
Tratamiento correcto de las aplicaciones
|
|||
|
Controles de entrada, proceso y salida de los aplicativos
|
Los sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de validaciones a los datos de entrada para asegurar calidad y consistencia en
la información.
|
5
|
|
|
Existen controles preventivos, reactivos y de concienciación frente al
software malicioso y software no deseado.
|
4
|
||
|
Los sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de validaciones a los datos de salida para asegurar calidad y consistencia en
la información.
|
6
|
||
|
12.3.
Controles Criptográficos
|
|||
|
Cifrado
|
Se aplican técnicas de cifrado y enmascaramiento de datos.
|
6
|
|
|
Los sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
|
6
|
||
|
Hay segmentación de red para aislar servicios críticos.
|
3
|
||
|
Hay gestión de accesos.
|
6
|
||
|
12.4. Seguridad en los archivos del
sistema
|
|||
|
Datos almacenados
|
Existe un proceso de gestión de cambios y gestión de liberaciones de
cambios, incluyendo a nuevos sistemas de información, aplicaciones o
funcionalidades y fábricas de software, alineado al SGSI.
|
2
|
|
|
Existen ambientes de desarrollo, pruebas e integración, que garanticen
no usar datos productivos en dichos ambientes.
|
5
|
||
|
Existe un procedimiento que defina la gestión del código fuente y su
Versionamiento.
|
4
|
||
|
12.5. Seguridad en los procesos de
desarrollo y soporte
|
|||
|
Ingeniería de software
|
Existe un proceso de gestión de cambios y gestión de liberaciones de
cambios, incluyendo a nuevos sistemas de información, aplicaciones o
funcionalidades y fábricas de software, alineado al SGSI.
|
2
|
|
|
Los controles de cambio a SO, servidores de aplicación, cambio de
personamiento de BD y software de integración implican revisión de
aplicaciones con el fin de descartar impactos.
|
5
|
||
|
Existe un proceso de gestión de cambios y gestión de liberaciones de
cambios, incluyendo a nuevos sistemas de información, aplicaciones o
funcionalidades y fábricas de software, alineado al SGSI.
|
2
|
||
|
Los sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
|
6
|
||
|
Hay segmentación de red para aislar servicios críticos.
|
3
|
||
|
Hay gestión de accesos.
|
6
|
||
|
Existe un proceso de gestión de cambios y gestión de liberaciones de
cambios, incluyendo a nuevos sistemas de información, aplicaciones o
funcionalidades y fábricas de software, alineado al SGSI.
|
2
|
||
|
12.6. Gestión de la vulnerabilidad
técnica
|
|||
|
Vulnerabilidades
|
Existen mecanismos de protección como Firewall y mecanismos en general
que minimicen el riesgo de exportación de vulnerabilidades.
|
5
|
|
Fuente: Elaboración propia.
No hay comentarios:
Publicar un comentario