Proyecto: FE Gestin d

Cuestionario Anlisis de Brechas - N

Control Descripcin
5. POLTICA DE SEGURIDAD

5.1. Poltica de seguridad de la informacin

La gerencia debe aprobar un documento de

5.1.1. Documentar poltica de Seguridad poltica, este se debe publicar y comunicar
de la Informacin a todos los empleados y entidades externas
relevantes.

La poltica de seguridad de la informacin

5.1.2. Revisin de la poltica de debe ser revisada regularmente a intervalos
Seguridad de la Informacin planeados, si ocurren cambios significativos
para asegurar la continua idoneidad.

6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1. Organizacin Interna

La gerencia debe apoyar activamente la

seguridad dentro de la organizacin a travs
6.1.1. Compromiso de la gerencia con la
de una direccin clara, compromiso
seguridad de la informacin
demostrado de las responsabilidades de la
seguridad de la informacin.

Las actividades de seguridad de la

informacin deben ser coordinadas por
6.1.2. Coordinacin de la Seguridad de la
representantes de las diferentes partes de
Informacin
la organizacin con las funciones y roles
laborales relevantes.

6.1.3. Definicin de las Se deben definir claramente las

responsabilidades de Seguridad de la responsabilidades de la seguridad de la
Informacin informacin.

6.1.4. Procesos de autorizacin para el
uso de la infraestructura de informacin
6.1.5. Acuerdos de confidencialidad
6.1.6. Contacto con autoridades
6.1.7. Contacto con grupos de inters
6.1.8. Revisin Independiente de la
Seguridad de la Informacin
6.2. Entidades externas
Se debe definir e implementar un proceso
de autorizacin gerencial para los nuevos
medios de procesamiento de informacin
Se deben identificar y revisar regularmente
los requerimiento de confidencialidad o los
acuerdos de no divulgacin para la
proteccin de la informacin
Se debe mantener contactos apropiados con
las autoridades relevantes.
Se deben mantener contactos apropiados
con los grupos de inters especial y otros
foros de seguridad especializados y
asociaciones profesionales.
El enfoque de la organizacin para manejar
la seguridad de la informacin y su
implementacin (es decir; objetivos de
control, controles, polticas, procesos y
procedimientos para la seguridad de la
informacin) se debe revisar
independientemente a intervalos
planeados, o cuando ocurran cambios
significativos para la implementacin de la
seguridad.
 Se deben identificar los riesgos que corre la
informacin y los medios de procesamiento
6.2.1. Identificacin de riesgos asociados
de informacin de la organizacin y se
a terceras partes
deben implementar los controles apropiados
antes de otorgar acceso.

Se deben tratar todos los requerimientos de

6.2.2. Enfoque de la seguridad al seguridad identificados antes de otorgar a
interactuar con clientes los clientes acceso a la informacin o
activos de la organizacin.

Los acuerdos que involucran acceso,

procesamiento, comunicacin o manejo por
parte de terceras personas a la informacin
o los medios de procesamiento de
6.2.3. Enfoque de la seguridad en
informacin de la organizacin; agregar
acuerdos con terceras partes
productos o servicios a los medios de
procesamiento de la informacin deben
abarcar los requerimientos de seguridad
necesarios relevantes.

7. GESTION DE ACTIVOS
7.1. Responsabilidad de los activos
Todos los activos deben estar claramente
identificados; y se debe elaborar y
7.1.1. Inventario de activos
mantener un inventario de todos los activos
importantes.
 Toda la informacin y los activos asociados
con los medios de procesamiento de la
7.1.2. Propiedad de activos
informacin deben ser 'propiedad' 3 de una
parte designada de la organizacin.

Se deben identificar, documentar e

implementar las reglas para el uso
7.1.3. Uso adecuado de activos aceptable de la informacin y los activos
asociados con los medios de procesamiento
de la informacin.

7.2. Clasificacin de la Informacin

La informacin debe ser clasificada en

trminos de su valor, requerimientos
7.2.1. Gua para la clasificacin
legales, confidencialidad y grado crtico
para la organizacin.

Se debe desarrollar e implementar un

apropiado conjunto de procedimiento para
7.2.2. Identificacin y manejo de la
etiquetar y manejar la informacin en
informacin
concordancia con el esquema de
clasificacin adoptado por la organizacin.

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.1. Previo al empleo

8.1.1. Funciones y Roles de seguridad
8.1.2. Seleccin y verificacin de
candidatos
8.1.3. Trminos y condiciones de empleo de su contrato de empleo, el cual debe
8.2. Durante el empleo
8.2.1. Responsabilidades de la gerencia
Se deben definir y documentar los roles y
responsabilidades de seguridad de los
empleados, contratistas y terceros en
concordancia con la poltica de la seguridad
de informacin de la organizacin.
Se deben llevar a cabo chequeos de
verificacin de antecedentes de todos los
candidatos a empleados, contratistas y
terceros en concordancia con las leyes,
regulaciones y tica relevante, y deben ser
proporcionales a los requerimientos
comerciales, la clasificacin de la
informacin a la cual se va a tener acceso y
los riesgos percibidos.
Como parte de su obligacin contractual; los
empleados, contratistas y terceros deben
aceptar y firmar los trminos y condiciones
establecer sus responsabilidades y las de la
organizacin para la seguridad de la
informacin.
La gerencia debe requerir que los
empleados, contratistas y terceros apliquen
la seguridad en concordancia con las
polticas y procedimientos establecidos de
la organizacin.

8.2.2. Concientizacin, educacin y
entrenamiento en la seguridad de la
informacin.
8.2.3. Proceso disciplinario
8.3. Finalizacin o cambio de empleo
8.3.1. Finalizacin de responsabilidades
8.3.2. Devolucin de activos
8.3.3. Retiro de los permisos de acceso
9. SEGURIDAD FSICA Y AMBIENTAL
Todos los empleados de la organizacin y,
cuando sea relevante, los contratistas y
terceros, deben recibir el apropiado
conocimiento, capacitacin y
actualizaciones regulares de las polticas y
procedimientos organizacionales, conforme
sean relevantes para su funcin laboral.
Debe existir un proceso disciplinario formal
para los empleados que an cometido una
violacin en la seguridad.
Se deben definir y asignar claramente las
responsabilidades para realizar la
terminacin o cambio de empleo.
Todos los empleados, contratistas y terceros
deben devolver todos los activos de la
organizacin que estn en su posesin a la
terminacin de su empleo, contrato o
acuerdo.
Los derechos de acceso de todos los
empleados, contratistas y terceros a la
informacin y medios de procesamiento de
la informacin deben ser eliminados a la
terminacin de su empleo, contrato o
acuerdo, o se deben ajustar al cambio.
9.1. reas seguras

Se debe utilizar permetros de seguridad

(barreras tales como paredes y puertas de
9.1.1. Controles de seguridad fsica ingreso controlado o recepcionista) para
proteger reas que contienen informacin y
medios de procesamiento de informacin.

Se deben proteger las reas seguras

mediante controles de entrada apropiados
9.1.2. Controles fsicos de entrada
para asegurar que slo se permita acceso al
personal autorizado.

9.1.3. Seguridad en oficinas, cuartos y Se debe disear y aplicar seguridad fsica

edificios en las oficinas, habitaciones y medios.

Se debe disear y aplicar proteccin fsica

contra dao por fuego, inundacin,
9.1.4. Proteccin contra amenazas
terremoto, explosin, disturbios civiles y
externas y ambientales
otras formas de desastre natural o creado
por el hombre.

Se debe disear y aplicar proteccin fsica y

9.1.5. Trabajo en reas seguras lineamientos para trabajar en reas
seguras.

Se deben controlar los puntos de acceso

como las reas de entrega y descarga y
otros puntos donde personas no autorizadas
9.1.6. reas de acceso pblica, carga y
pueden ingresar a los locales, y cuando
entrega
fuese posible, se deben aislar de los medios
de procesamiento de la informacin para
evitar un acceso no autorizado.

9.2. Seguridad de los equipos

 El equipo debe estar ubicado o protegido
9.2.1. Ubicacin y proteccin de para reducir los riesgos de las amenazas y
equipamiento peligros ambientales, y las oportunidades
para el acceso no autorizado.

El equipo debe ser protegido de fallas de

9.2.2. Suministros de soporte energa y otras interrupciones causadas por
fallas en los servicios pblicos.

El cableado de la energa y las

telecomunicaciones que llevan data o
9.2.3. Seguridad en el cableado sostienen los servicios de informacin
deben ser protegidos de la interrupcin o
dao.

El equipo debe ser mantenido

9.2.4. Mantenimiento de equipos correctamente para permitir su continua
disponibilidad e integridad.

Se debe aplicar seguridad al equipo fuera

9.2.5. Seguridad de los equipos fuera de del local tomando en cuenta los diferentes
las instalaciones riesgos de trabajar fuera del local de la
organizacin

Todos lo tems de equipo que contengan

medios de almacenaje deben ser
9.2.6. Desecho y/o reutilizacin seguro chequeados para asegurar que se haya
de los equipos removido o sobre-escrito de manera segura
cualquier data confidencial y software con
licencia antes de su eliminacin.

Equipos, informacin o software no deben

9.2.7. Retiro de propiedad ser sacados fuera de la propiedad sin previa
autorizacin.

10. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES

10.1. Responsabilidad y procedimientos operacionales
 Se deben documentar y mantener los
10.1.1. Procedimientos operacionales procedimientos de operacin, y se deben
documentados poner a disposicin de todos los usuarios
que los necesiten.

Se deben controlar los cambios en los

10.1.2. Administracin de cambios medios y sistemas de procesamiento de la
informacin.

Se deben segregar los deberes y reas de

responsabilidad para reducir las
10.1.3. Segregacin de funciones oportunidades de una modificacin no
autorizada o no intencionada o un mal uso
de los activos de la organizacin.

Se deben separar los medios de desarrollo,

10.1.4. Separacin de ambientes prueba y operaciones para reducir los
(facilities) riesgos de accesos no autorizados o
cambios en el sistema de operacin.

10.2. Gestin de servicios por terceras partes

Se debe asegurar que los terceros

implementen, operen y mantengan los
10.2.1. Entrega de servicios controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el
contrato de entrega del servicio de terceros.

Los servicios, reportes y registros provistos

10.2.2. Monitoreo y revisin de los por terceros deben ser monitoreados y
servicios de terceros revisados regularmente, y las auditoras se
deben llevar a cabo regularmente.
 Se deben manejar los cambios en la
provisin de servicios, incluyendo el
mantenimiento y mejoramiento de las
10.2.3. Administracin de cambios en los polticas, procedimientos y controles de
servicios de terceros seguridad existentes, tomando en cuenta el
grado crtico de los sistemas y procesos
comerciales involucrados y la re-evaluacin
de los riesgos.

10.3. Planificacin y aceptacin del sistema

Se deben monitorear, afinar y realizar

proyecciones del uso de los recursos para
10.3.1. Gestin de la Capacidad
asegurar el desempeo del sistema
requerido.

Se deben establecer los criterios de

aceptacin para los sistemas de informacin
nuevos, actualizaciones y versiones nuevas
10.3.2. Aceptacin de sistemas
y se deben llevar a cabo pruebas adecuadas
del (los) sistema(s) durante su desarrollo y
antes de su aceptacin.

10.4. Proteccin contra cdigo mvil y malicioso

Se deben implementar controles de

deteccin, prevencin y recuperacin para
10.4.1. Controles contra software
protegerse de cdigos maliciosos y se
malicioso
deben implementar procedimientos de
conciencia apropiados.
 Cuando se autoriza el uso de un cdigo
mvil, a configuracin debe asegurar que el
cdigo mvil autorizado opere de acuerdo a
10.4.2. Controles contra cdigo mvil
una poltica de seguridad claramente
definida, y se debe evitar que se ejecute un
cdigo no autorizado.

10.5. Back-up

Se deben realizar copias de back up o

respaldo de informacin comercial y
10.5.1. Copia de respaldo de informacin
software esencial y se deben probar
regularmente de acuerdo a la poltica.

10.6. Gestin de seguridad en la red

Las redes deben ser adecuadamente

manejadas y controladas para poderlas
proteger de amenazas, y para mantener la
10.6.1. Controles de red
seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la informacin
en trnsito.

Se deben identificar los dispositivos de

seguridad, niveles de servicio y los
requerimientos e incluirlos en cualquier
10.6.2. Seguridad de servicios de red
contrato de servicio de red, ya sea que
estos servicios sean provistos en casa o
sean abastecidos externamente.

10.7. Gestin de soportes

 Deben existir procedimientos para la
10.7.1. Gestin de los medios removibles
gestin de medios removibles.

Los medios deben ser eliminados utilizando

10.7.2. Eliminacin de medios procedimientos formales de una manera
segura cuando ya no se les requiere.

Se deben establecer los procedimientos

para el manejo y almacenaje de la
10.7.3. Procedimientos para el manejo de
informacin para proteger dicha informacin
informacin
de una divulgacin no autorizada o un mal
uso.

10.7.4. Seguridad de la documentacin de Se debe proteger la documentacin de una

los sistemas acceso no autorizado.

10.8. Intercambio de informacin

Se deben establecer poltica,

procedimientos y controles de intercambio
10.8.1. Polticas y procedimientos de
formales para proteger el intercambio de
intercambio de informacin
informacin a travs del uso de todos los
tipos de medios de comunicacin.

Se deben establecer acuerdos para el

10.8.2. Acuerdos de intercambio intercambio de informacin y software entre
la organizacin y entidades externas.

Los medios de contienen informacin deben

ser protegidos contra un acceso no
10.8.3. Medios fsicos en transito autorizado, mal uso o corrupcin durante el
transporte ms all de los lmites fsicos de
una organizacin.
 Se debe proteger adecuadamente los
10.8.4. Mensajera electrnica
mensajes electrnicos.

Se deben desarrollar e implementar

10.8.5. Sistemas de informacin de polticas y procedimientos para proteger la
negocio informacin asociada con la interconexin
de los sistemas de informacin comercial.

10.9. Servicios de comercio electrnico

Se debe proteger la informacin involucrada

en el comercio electrnico que se transmite
10.9.1. Comercio electrnico a travs de redes pblicas de cualquier
actividad fraudulenta, disputa contractual y
divulgacin y modificacin no autorizada.

Se debe proteger la informacin involucrada

en las transacciones en lnea para evitar la
10.9.2. Transacciones en lnea transmisin no autorizada del mensaje,
divulgacin no autorizada, y duplicacin o re
envo no autorizado del mensaje.

Se debe proteger la integridad de la

10.9.3. Informacin de acceso publico informacin disponible pblicamente para
evitar la modificacin no autorizada.

10.10. Monitoreo

Se deben producir registros de las

actividades de auditora, excepciones y
eventos de seguridad de la informacin y se
10.10.1.Registro de eventos
deben mantener durante un perodo
acordado para ayudar en investigaciones
futuras y monitorear el control de acceso
 Se deben establecer procedimientos para
monitorear el uso de los medios de
10.10.2.Monitoreo del uso de los sistemas procesamiento de informacin y el resultado
de las actividades de monitoreo se debe
revisar regularmente

Se deben proteger los medios de registro y

10.10.3.Proteccin de la informacin de
la informacin del registro contra
registros
alteraciones y acceso no autorizado

10.10.4.Registros del administrador y Se deben registrar las actividades del

operador administrador y operador del sistema

Las fallas se deben registrar, analizar y se

10.10.5.Registro de fallas
debe tomar la accin apropiada

Los relojes de los sistemas de

procesamiento de informacin relevantes de
10.10.6.Sincronizacin de relojes una organizacin o dominio de seguridad
deben estar sincronizados con una fuente
de tiempo exacta

11. CONTROL DE ACCESO

11.1. Requerimientos de negocio para el control del acceso
 Se debe establecer, documentar y revisar la
11.1.1. Poltica de control de acceso poltica de control de acceso en base a los
requerimientos de seguridad y comerciales

11.2. Gestin de accesos de usuarios

Debe existir un procedimiento formal para

la inscripcin y desinscripcin para otorgar
11.2.1. Registro de usuarios
acceso a todos los sistemas y servicios de
informacin

Se debe restringir y controlar la asignacin

11.2.2. Gestin de privilegios
y uso de los privilegios

11.2.3. Gestin de contraseas de La asignacin de claves se debe controlar a

usuarios travs de un proceso de gestin formal

La gerencia debe revisar los derechos de

11.2.4. Revisin de los derechos de
acceso de los usuarios a intervalos
acceso de los usuarios
regulares utilizando un proceso formal

11.3. Responsabilidades de usuario

Se debe requerir que los usuarios sigan

11.3.1. Uso de contraseas buenas prcticas de seguridad en la
seleccin y uso de claves
 Se debe requerir que los usuarios se
11.3.2. Equipos de usuarios desatendidos aseguren de dar la proteccin apropiada al
equipo desatendido

Se debe adoptar una poltica de escritorio

limpio para los documentos y medios de
11.3.3. Poltica de escritorio y pantalla
almacenamiento removibles y una poltica
limpia
de pantalla limpia para los medios de
procesamiento de la informacin

11.4. Control de acceso a redes

Los usuarios deben tener acceso a los

11.4.1. Poltica para el uso de servicios de
servicios para los cuales han sido
red
especficamente autorizados a usar

Se debe utilizar mtodos de autenticacin

11.4.2. Autenticacin del usuario para
para controlar el acceso de usuarios
conexiones externas
remotos

Se debe considerar la identificacin

11.4.3. Identificacin de equipos en las automtica del equipo como un medio para
redes autenticar las conexiones desde equipos y
ubicaciones especficas

11.4.4. Proteccin de puerto de Se debe controlar el acceso fsico y lgico a

diagnstico y configuracin remota los puertos de diagnstico y configuracin

11.4.5. Segregacin en redes
11.4.6. Control de conexiones a la red
11.4.7. Control de enrutamiento en la red
11.5. Control de acceso al sistema operativo
11.5.1. Procedimientos de inicio seguro
de sesin
11.5.2. Identificacin y autenticacin de
usuarios
Los servicios de informacin, usuarios y
sistemas de informacin se deben segregar
en las redes
Se debe restringir la capacidad de conexin
de los usuarios en las redes compartidas,
especialmente aquellas que se extienden a
travs de los lmites organizacionales, en
concordancia con la poltica de control de
acceso y los requerimientos de afiliaciones
comerciales (ver 11.1)
Se deben implementar controles de
enrutamiento para las redes para asegurar
que las conexiones de cmputo y los flujos
de informacin no infrinjan la poltica de
control de acceso de las aplicaciones
comerciales
Se debe controlar el acceso a los servicios
operativos mediante un procedimiento de
registro seguro
Todos los usuarios deben tener un
identificador singular (ID de usuario) para su
uso personal y exclusivo, se debe elegir una
tcnica de autenticacin adecuada para
verificar la identidad del usuario
 Los sistemas de manejo de claves deben
11.5.3. Sistema de gestin de
ser interactivos y deben asegurar la calidad
contraseas
de las claves

Se deben restringir y controlar

estrictamente el uso de programas de
11.5.4. Uso de las utilidades del sistema
utilidad que podran superar al sistema y los
controles de aplicacin

Las sesiones inactivas deben cerrarse

11.5.5. (Time-out) Control de tiempo
despus de un perodo de inactividad
para terminales
definido

Se debe utilizar restricciones sobre los

11.5.6. Limitacin en el tiempo de tiempos de conexin para proporcionar
conexin seguridad adicional a las aplicaciones de
alto riesgo

11.6. Control de acceso a la informacin y las aplicaciones

Se deben restringir el acceso de los usuarios

11.6.1. Restriccin de acceso a la y personal de soporte al sistema de
informacin informacin y aplicacin en concordancia
con la poltica de control de acceso definida

11.6.2. Aislamiento de los sistemas Los sistemas sensibles deben tener un

sensibles ambiente de cmputo dedicado (aislado)

11.7. Informtica mvil y teletrabajo

 Se debe establecer una poltica formal y
adoptar las medidas de seguridad
11.7.1. Computacin y comunicacin
apropiadas para proteger contra los riesgos
mvil
de utilizar medios de computacin y
comunicacin mviles

Se debe desarrollar e implementar polticas,

11.7.2. Teletrabajo planes operacionales y procedimientos para
actividades de teletrabajo

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INF

12.1. Requerimientos de seguridad de los sistemas de informacin

Los enunciados de los nuevos

requerimientos comerciales para sistemas
12.1.1. Anlisis y requisitos de seguridad nuevos, o mejorar los sistemas existentes
deben especificar los requerimientos de los
controles de seguridad

12.2. Procesamiento correcto en las aplicaciones

El insumo de la data en las aplicaciones

12.2.1. Validacin de los datos de entrada debe ser validado para asegurar que esta
data sea correcta y apropiada

Se deben incorporar chequeos de validacin

en las aplicaciones para detectar cualquier
12.2.2. Control del procesamiento interno corrupcin de la informacin a travs de
errores de procesamiento o actos
deliberados

Se deben identificar los requerimientos para

asegurar la autenticidad y proteccin de la
12.2.3. Integridad de mensajes integridad de mensaje en las aplicaciones, y
se deben identificar e implementar los
controles apropiados

12.2.4. Validacin de datos de salida
Se debe validar el output de data de una
aplicacin para asegurar que el
procesamiento de la informacin
almacenada sea correcto y apropiado para
las circunstancias

12.3. Controles criptogrficos

Se debe desarrollar e implementar una
12.3.1. Poltica en el uso de controles de poltica sobre el uso de controles
encriptacin criptogrficos para la proteccin de la
informacin

Se debe utilizar una gestin clave para dar

12.3.2. Administracin de claves soporte al uso de las tcnicas de
criptografa en la organizacin

12.4. Seguridad de los archivos del sistema

Se debe contar con procedimientos para

12.4.1. Control del software operacional controlar la instalacin de software en los
sistemas operacionales

12.4.2. Proteccin de los datos de prueba Se debe seleccionar cuidadosamente,

del sistema proteger y controlar la data de prueba

12.4.3. Control de acceso al cdigo fuente Se debe restringir el acceso al cdigo fuente
de programas del programa

12.5. Seguridad en el desarrollo y soporte de procesos

La implementacin de cambios se debe
12.5.1. Procedimiento de control de controlar mediante el uso de
cambios procedimientos formales de control de
cambios
 Cuando se cambian los sistemas operativos,
se deben revisar y probar las aplicaciones
12.5.2. Revisin tcnica de aplicaciones
crticas del negocio para asegurar que no
despus de cambios al sistema operativo
exista un impacto adverso en las
operaciones o seguridad organizacional

No se deben fomentar las modificaciones a

12.5.3. Restricciones en los cambios a los los paquetes de software, se deben limitar a
paquetes de software los cambios necesarios y todos los cambios
deben ser controlados estrictamente

Se deben evitar las oportunidades de fuga

12.5.4. Fuga de informacin
de informacin

El desarrollo de software que ha sido

12.5.5. Desarrollo de software en
outsourced debe ser supervisado y
outsourcing
monitoreado por la organizacin

12.6. Gestin de vulnerabilidades tcnicas

Se debe obtener informacin oportuna

sobre las vulnerabilidades tcnicas de los
sistemas de informacin en uso; se debe
12.6.1. Control de debilidades tcnicas de
evaluar la exposicin de la organizacin
seguridad
ante esas vulnerabilidades; y se deben
tomar las medidas apropiadas para tratar el
riesgo asociado

13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades

13.1.1. Reporte de eventos de seguridad
de la informacin
13.1.2. Reporte de debilidades de
seguridad
13.2. Gestin de incidentes y mejoras de seguridad de la informacin
13.2.1. Responsabilidades y
procedimientos
13.2.2. Aprender de los incidentes de
seguridad de la informacin
Los eventos de seguridad de la informacin
deben reportarse a travs de los canales
gerenciales apropiados lo ms rpidamente
posible
Se debe requerir que todos los empleados,
contratistas y terceros usuarios de los
sistemas y servicios de informacin tomen
nota y reporten cualquier debilidad
observada o sospechada en la seguridad de
los sistemas o servicios
Se deben establecer las responsabilidades y
procedimientos gerenciales para asegurar
una respuesta rpida, efectiva y ordenada a
los incidentes de seguridad de la
informacin
Deben existir mecanismos para permitir
cuantificar y monitorear los tipos,
volmenes y costos de los incidentes en la
seguridad de la informacin
 Cuando la accin de seguimiento contra una
persona u organizacin despus de un
incidente en la seguridad de la informacin
involucra una accin legal (sea civil o
13.2.3. Recoleccin de evidencia
criminal), se debe recolectar, mantener y
presentar evidencia para cumplir las reglas
de evidencia establecidas en la(s)
jurisdiccin(es) relevantes

14. GESTIN DE CONTINUIDAD DEL NEGOCIO

14.1. Gestin de los aspectos de seguridad de la continuidad del negocio

Se debe desarrollar y mantener un proceso

gerencial para la continuidad del negocio a
14.1.1. Inclusin de la informacin de
travs de toda la organizacin para tratar
seguridad en el proceso de administracin
los requerimientos de seguridad de la
de la continuidad del negocio
informacin necesarios para la continuidad
comercial de la organizacin

Se deben identificar los eventos que causan

interrupciones en los procesos comerciales,
14.1.2. Continuidad del negocio y
junto con la probabilidad e impacto de
evaluacin de riesgos
dichas interrupciones y sus consecuencias
para la seguridad de la informacin

14.1.3. Desarrollo e implementacin de
planes de continuidad incluyendo
seguridad de la informacin
14.1.4. Modelo para la planeacin de la
continuidad del negocio
14.1.5. Prueba, mantenimiento y re-
evaluacin de los planes de continuidad
del negocio
15. CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.1.1. Identificacin de la legislacin
aplicable
Se deben desarrollar e implementar planes
para mantener o restaurar las operaciones y
asegurar la disponibilidad de la informacin
en el nivel requerido y en las escalas de
tiempo requeridas despus de la
interrupcin o falla en los procesos
comerciales crticos
Se debe mantener un solo marco referencial
de planes de continuidad comercial para
asegurar que todos los planes sean
consistentes y para tratar consistentemente
los requerimientos de la seguridad de la
informacin e identificar las prioridades de
pruebas y mantenimiento
Los planes de continuidad comercial se
deben probar y actualizar regularmente
para asegurar que estn actualizados y
sean efectivos
Se deben definir explcitamente,
documentar y actualizar todos los
requerimientos estatutarios, reguladores y
contractuales y el enfoque de la
organizacin relevante para cada sistema
de informacin y la organizacin
 Se deben implementar los procedimientos
apropiados para asegurar el cumplimiento
de los requerimientos legislativos,
15.1.2. Derechos de propiedad intelectual
reguladores y contractuales sobre el uso de
(IPR)
material con respecto a los derechos de
propiedad intelectual y sobre el uso de los
productos de software patentados

Se deben proteger los registros importantes

de una organizacin de prdida, destruccin
15.1.3. Proteccin de los registros de la
y falsificacin, en concordancia con los
organizacin
requerimientos estatutarios, reguladores,
contractuales y comerciales

Se deben asegurar la proteccin y

15.1.4. Proteccin y privacidad de la privacidad tal como se requiere en la
informacin personal legislacin relevante, las regulaciones y, si
fuese aplicable, las clusulas contractuales

15.1.5. Prevencin del mal uso de la Se debe desanimar a los usuarios de utilizar
infraestructura para el procesamiento de los medios de procesamiento de la
informacin informacin para propsitos no autorizados

Se deben utilizar controles en cumplimiento

15.1.6. Regulacin de controles
con los acuerdos, leyes y regulaciones
criptogrficos
relevantes

15.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tc

Los gerentes deben asegurar que todos los

procedimientos de seguridad dentro de su
15.2.1. Cumplimiento de polticas y
rea de responsabilidad sean realizados
estndares de seguridad
correctamente en cumplimiento con las
polticas y estndares de seguridad

Los sistemas de informacin deben

15.2.2. Verificacin del cumplimiento chequearse regularmente para el
tcnico cumplimiento con los estndares de
implementacin de seguridad.
15.3. Consideraciones de auditoria de sistemas de informacin

15.3.1. Controles de auditora de los
sistemas de informacin
15.3.2. Proteccin de herramientas de
auditoria de los sistemas de informacin
Se deben planear cuidadosamente los
requerimientos y actividades de las
auditoras que involucran chequeo de los
sistemas operacionales y se debe acordar
minimizar el riesgo de interrupciones en los
procesos comerciales.
Se debe proteger el acceso a las
herramientas de auditora de los sistemas
de informacin para evitar cualquier mal
uso o compromiso posible.
to: FE Gestin de Seguridad de la Informacin
de Brechas - Norma ISO 27001 - Municipalidad de Chiclayo
Pregunta Si Parcial No

Ha sido aprobado por la direccin un

documento que contenga la poltica de
seguridad de la informacin, y ha sido
publicado y comunicado a todos los
empleados y terceras partes relevantes?

La poltica de seguridad de la informacin

se revisa en intervalos planificados, o si
ocurren cambios significativos, para
asegurar que sigue siendo conveniente,
suficiente y efectiva?

La direccin apoya, de forma activa y

clara, la seguridad dentro de la
organizacin, con un compromiso
demostrado, asignaciones explcitas, y
reconocimiento de las responsabilidades de
la seguridad de la informacin?
Por ejemplo, tiene Oficial de Seguridad?,
Tiene comite de Seguridad?

Las actividades de seguridad de la

informacin se coordinan con
representantes de cada una de las
diferentes reas de la organizacin, quienes
tienen roles y puestos de trabajo
relevantes?
Por ejemplo, el comit quin lo conforma?
Tienen que involucrar varias aristas.

Se han definido claramente todas las

responsabilidades de seguridad de la
informacin?
Por ejemplo, tiene que ver con las
responsabilidades que tiene el oficial de
seguridad y el comit.
Se ha definido y puesto en ejecucin un
proceso administrativo de autorizaciones
para las nuevas infraestructuras utilizadas
en el procesamiento de informacin?
Por ejemplo, hay proceso formal para
autorizar nuevas implementaciones o lo
realizan de palabra o por correo. Hay control
de cambios?

Los requerimientos de confidencialidad o

los acuerdos de no divulgacin, que reflejan
las necesidades de proteccin de la
informacin que tiene la organizacin, son
identificados y revisados de forma regular?
Por ejemplo, Hay acuerdos de
confidencialidad con el personal? hay
acuerdo de confidencialidad con las socias,
con los proveedores?

Se mantiene una relacin apropiada con

las autoridades relevantes?
Por ejemplo, tienen contacto con
Carabineros, Bomberos?

La organizacin mantiene contacto con

grupos de inters, foros de especialistas en
seguridad o con asociaciones
profesionales?
Por ejemplo, el encargado de seguridad
participa con grupos de Seguridad de
informacin? Grupos de internet enfocados
seguridad? Todo esto con el objetivo de
estar a la vanguardia con los temas de
seguridad de informacin.

El enfoque de la organizacin para la

gestin de seguridad de la informacin y su
implementacin (p. ej. objetivos de control,
controles, polticas, procesos y
procedimientos de seguridad de la
informacin), son revisados de forma
independiente, en intervalos planeados o
cuando ocurren cambios significativos en la
implementacin de la seguridad?
Por ejemplo, viene un tercero a verificar que
se cumplan todos los controles de
seguridad? Si viene un experto ITIL a revisar
Se han identificado los riesgos asociados a
la informacin de la organizacin y la
infraestructura para el procesamiento de la
informacin, relacionados con los procesos
de negocio que involucran terceros, y se
han implementado los controles apropiados
antes de tener acceso a estas?
Por ejemplo, se evala el riesgo al darle
acceso a tercero a misfe ej:minimos
privilegios. Existe un registro, un control
formal?

Todos los requisitos de seguridad

identificados, han sido tratados antes de
dar a los clientes el acceso a la informacin
o a los activos de la organizacin?
Por ejemplo, est documentado como se
incorpora una socia a FE? La socia puede
entregar un poder simple y retira dinero un
tercero.

Los acuerdos con terceros relacionados con

acceso, procesamiento, comunicacin o
manejo de la informacin o infraestructura
para el procesamiento de informacin, o
adicin de productos o servicios a la
infraestructura para el procesamiento de la
informacin, cubren todos los
requerimientos de seguridad relevantes?
Por ejemplo, el proveedor se alinea con los
nuevos estndares de seguridad que tiene
FE? Se van mejorando los acuerdos?

Todos los activos estn identificados de

forma clara, y se ha elaborado y mantenido
un inventario de todos los activos
importantes?
Toda la informacin y activos asociados
con la infraestructura para el procesamiento
de la informacin, han sido asignados a un
rea especfica de la organizacin?
Por ejemplo, est claro quin es el dueo y
responsable de cada activo (sw, hw,
manuales procedimientos)

Las reglas para el uso correcto de la

informacin y de los activos asociados a la
infraestructura para el procesamiento de la
informacin, han sido identificadas,
documentadas e implementadas?
Por ejemplo, tenemos al dueo de servidor,
y alguien ajeno a la gerencia que quiere
acceder, existe un procedimiento que
permita autorizar el acceso?.... debe existir
un control para el uso adecuado de los
activos.
Otro ejemplo, si se quiere acceder al
ambiente productivo o para ingresar al DC,
quin puede tener acceso?

Se ha clasificado la informacin con base

en su valor, requerimientos legales
vigentes, sensibilidad y que tan crtica es
para la organizacin?
Por ejemplo, esto tiene que ver con la
gestin de riesgo de activos de la
informacin. tienen evaluados los
documentos de contratos de las socias, si
tienen evaluado si la socia puede pagar o
no.

Se ha desarrollado e implantado un
conjunto de procedimientos apropiado para
el etiquetado y manejo de la informacin,
de acuerdo con el esquema de clasificacin
adoptado por la organizacin?
Por ejemplo, tienen cdigo de inventario los
activos? (los equipos, los documentos, sw,
licencias,redes, ups)
Las funciones y responsabilidades de los
empleados, contratistas y terceras partes,
estn definidos y documentados de acuerdo
con la poltica de seguridad de la
organizacin?
Es necesario tener roles, actualmente
tienen los obejtivos y requisitos.

Se realizan las verificaciones oportunas de

los antecedentes de todos los candidatos
para un empleo, de los contratistas y
terceras partes, siempre de acuerdo a las
leyes y regulaciones vigentes, la tica y
siempre de manera proporcional a los
requerimientos del negocio, la clasificacin
de la informacin a la que acceder y los
riesgos percibidos?
Revisan los antecedentes de las personas?
solicitan los ttulos? exmen sicolgico? Se
encuentra documentado?

Se les exige a los empleados, contratistas

y terceras partes estar de acuerdo y firmar
los trminos y condiciones de su contrato
de empleo, y este contrato establece las
responsabilidades tanto del empleado como
las de la organizacin, en materia de
seguridad de la informacin?
Por ejemplo, firman los contratos con los
trabajadores antes de ingresar a trabajar?

La direccin exige a los empleados,

contratistas y terceras partes aplicar
seguridad de acuerdos con las polticas y
procedimientos establecidos por la
organizacin?
Los empleados y, cuando es relevante,
contratistas y terceras partes, reciben el
entrenamiento adecuado sobre
concientizacin en seguridad de la
informacin y se les mantiene actualizados
sobre las polticas y procedimientos de la
organizacin que son relevantes para el
cumplimiento de las funciones de su
trabajo?
Por ejemplo, hay charlas? despliegan la
informacin?

Existe algn proceso disciplinario formal

para tratar con los empleados que infringen
la seguridad de la organizacin?
Por ejemplo, existen amonestaciones por
falta a la seguridad?

Han sido claramente definidas y asignadas

las responsabilidades para realizar la
finalizacin de un contrato de trabajo o
cambios en el empleo?

Se requiere que todos los empleados,

contratistas y usuarios de terceras partes,
devuelvan todos los activos de la
organizacin que se encuentren en su
posesin en el momento de la terminacin
del empleo, contrato o acuerdo?
Por ejemplo, existe un formulario que
indique todos los activos que tiene un
trabajador asociados, est documentado?

Una vez que se termina el contrato, se

retiran inmediatamente todos los derechos
de acceso a la informacin y a la
infraestructura para el procesamiento de la
informacin de los empleados, contratistas
y terceras partes, o si fuese el caso, se
ajustan si hay cambios?
cmo saben que le bloquearon el correo?,
reciben de vuelta una confirmacin.
Se utilizan permetros de seguridad
(barreras como: paredes, puertas de acceso
controladas por tarjetas de identidad,
puestos de recepcin, etc.) para proteger
reas que contengan informacin e
infraestructura para el procesamiento de la
informacin?

Estn protegidas las reas seguras por los

controles de entrada apropiados para
asegurarse de que solamente permiten el
acceso de personal autorizado?
Por ejemplo hay registro de quien ingresa al
DC?

Se ha diseado e implantado un sistema

de seguridad fsica para las oficinas, salas y
resto de instalaciones?
Por ejemplo las personas andan con la
credencial?

Se ha diseado y aplicado un sistema de

proteccin fsica en contra de daos
causados por incendios, inundaciones,
terremotos, explosiones, ataques
provocados por personas y/o otras formas
de desastre natural o artificial?
Por ejemplo tienen plan de evacuacin?

Se han diseado y aplicado las guas y

medidas de proteccin adecuadas para
trabajar en las reas seguras?
Por ejemplo, tiene procedimientos para
trabajo supervisado, seguridad, para
realizar trabajos en sus depencias?

Los puntos de acceso, tales como reas de

entrega y/o carga, y otros puntos donde
personas no autorizadas puedan tener
acceso, son controlados y, si es posible,
aislados de las instalaciones para el
procesamiento de la informacin, con el fin
de evitar accesos no autorizados?
Los equipos estn aislados o protegidos
con la finalidad de reducir el riesgo de
daos, amenazas y accesos no autorizados?

Los equipos se encuentran protegidos ante

los posibles fallos de electricidad y otras
perturbaciones causadas por los fallos en
los sistemas de soporte (UPS, Planta
elctrica)?

El cableado elctrico y el de
telecomunicaciones, que transmiten datos o
soportan servicios de informacin, estn
protegidos contra la intercepcin o dao?
Por ejemplo, existe redundacia de enlace?

Se hace un mantenimiento correcto de los

equipos para asegurar su continua
disponibilidad e integridad?

Se aplica la seguridad adecuada a los

equipos que se encuentran fuera de las
reas pertenecientes a la organizacin,
considerando los riesgos que implica
trabajar fuera de las instalaciones de la
organizacin?

Se revisan todos los equipos que tengan

capacidad de almacenamiento, para
asegurarse que ningn tipo de dato sensible
y/o software licenciado haya sido eliminado
o sobrescrito con seguridad antes del
desecho o reutilizacin del equipo?

Se requiere autorizacin previa para sacar

de la organizacin equipos, informacin o
software?
Por ejemplo, existe un documento que
indique qu personas pueden salir de FE
con su equipo? Cmo nos aseguramos que
sea el note personal y no el del gerente?
Los procedimientos operativos estn
documentados, mantenidos y puestos a
disposicin de todos los usuarios que los
necesitan?

Se controlan los cambios a la

infraestructura para el tratamiento de la
informacin y los sistemas?
Por ejemplo, existen controles formales de
cambios que est documentado?

Los deberes y reas de responsabilidad

estn segregados para reducir las
oportunidades de modificacin o uso
indebido, no autorizado o no intencional, de
los activos de la organizacin?
Por ejemplo, es fcil acceder a informacin
sensible?

Las instalaciones de desarrollo, produccin

y pruebas estn separadas para reducir los
riesgos de accesos o cambios en los
sistemas operativos no autorizados?

La organizacin se asegura que los

controles de seguridad, las definiciones de
servicio y la distribucin de niveles incluida
en el acuerdo de prestacin de servicios con
terceras partes estn implantados,
operados y mantenidos por las terceras
partes?
Por ejemplo, el contrato marco tienen
niveles de servicios? responsables? SLA?

Los servicios, informes y registros

proporcionados por terceras partes, se
monitorizan y revisan de forma regular, y se
llevan a cabo auditorias de forma regular?
Por ejemplo se realizan mediciones sobre
los SLA's y acuerdos de servicios?
Monitorean la cuadratura de control de
cambio?
Se gestionan los cambios de provisin de
los servicios (incluyendo el mantenimiento y
mejora de las polticas existentes,
procedimientos y controles de seguridad de
la informacin) tomando en cuenta la
criticidad de los sistemas y procesos del
negocio implicados y la reevaluacin del
riesgo?
Por ejemplo, cmo lo hacen cuando existe
un control de cambio con un tercero? se
ajusta al proceso de control de cambios de
FE?

El uso de recursos es monitoreado, afinado

y se realizan proyecciones de futuros
requisitos de capacidad para asegurar el
rendimiento del sistema?
El servidor da para abastecer a todas las
personas de FE? Cmo sabe que el servidor
puede soportar N sistemas?

Hay criterios de aceptacin establecidos

para nuevos sistemas de informacin,
actualizaciones y nuevas versiones y se
realizan pruebas del sistema durante el
desarrollo y previamente a la aceptacin?
Por ejemplo, dejan registro de los CPP?
Tienen documentadas las pruebas
realizadas en testing?

Se han implementado controles de

deteccin, prevencin y recuperacin para
protegerse de cdigo malicioso, as como
procedimientos apropiados para la
concientizacin de los usuarios sobre ste?
Por ejemplo, tienen personas monitoreando
la red ante ataques? tienen bloqueados
sitios peligrosos?(face, youtube no es
peligroso)
Cuando el uso del cdigo mvil est
autorizado, la configuracin asegura que
ste cdigo opera de acuerdo a una poltica
de seguridad claramente definida y se
impide su uso si es un cdigo mvil no
autorizado?
Por ejemplo, las tablet se controlan
aleatoriamente si tienen virus o han
descargado sw peligrosos?

Se realizan las copias de seguridad y se

comprueban regularmente conforme a lo
establecido en la poltica acordada?
Por ejemplo, tiene la poltica de respaldo,
cada cuanto, lo comprueba para ver si se
puede recuperar?

La red est adecuadamente administrada y

controlada, con el fin de protegerla de las
amenazas y mantener la seguridad de los
sistemas y aplicaciones que usa la red,
incluida la informacin en trnsito?
Por ejemplo, la red se encuentra
segmentada? son manejados
adecuadamente los firewalls, quin los
administra, estn documentados?

Las caractersticas de seguridad, los

niveles de servicio, y los requerimientos de
administracin de todos los servicios de red,
estn identificados e incluidos en los
acuerdos con los diferentes proveedores de
servicios de red, bien sean internos o
externos?
Por ejemplo, conocen diagrama de red? cul
es el uptime? existe algn control?
Existen procedimientos para la
administracin de los medios removibles?
Por ejemplo, como saco informacin en
pendrive, tarjetas? Se puede controlar con
una poltica que autorice solo a ciertos
cargos

Los soportes que no se vayan a utilizar

ms, son eliminados de forma segura y sin
inconvenientes por medio de
procedimientos formales?
Por ejemplo, cmo elimino o destruyo las
cintas, discos u otro medio donde haya
respaldado.

Hay procedimientos establecidos para el

manejo y el almacenamiento de la
informacin de forma que se proteja de la
divulgacin no autorizada o del uso
inapropiado?
Por ejemplo, dnde almaceno la
informacin, las cintas?

Se encuentra protegida la documentacin

del sistema contra accesos no autorizados?
Por ejemplo, Tengo procedimiento que
indique quin las manipula? Queda un
registro?

Hay establecida una poltica formal de

intercambio, procedimientos y controles
para proteger el intercambio de informacin
a travs de los servicios de comunicacin?
Por ejemplo, tiene una poltica que diga
quienes son los autorizadores del envo de
la Base

Se han establecido acuerdos para el

intercambio de informacin y software
dentro de la organizacin y con
organizaciones externas?
Por ejemplo, dicen los acuerdos que la
informacin no puede ser utilizada para
otros fines?

Los medios que contienen informacin,

estn protegidos en contra del acceso no
autorizado, el mal uso o su alteracin
durante el transporte ms all de los lmites
fsicos de la organizacin?
Est adecuadamente protegida la
informacin involucrada en la mensajera
electrnica?
Por ejemplo, los archivos van encriptados?

Se han desarrollado e implementado

polticas y procedimientos para proteger la
informacin asociada a la interconexin de
los sistemas de informacin del negocio?

La informacin relacionada con el comercio

electrnico, que pasa a travs de redes
pblicas, est protegida de las actividades
fraudulentas, disputas contractuales, y la
divulgacin y modificacin no autorizada?

La informacin involucrada en
transacciones on-line, est protegida para
prevenir transmisiones incompletas, desvo,
modificacin no autorizada del mensaje,
divulgacin no autorizada y para evitar la
duplicacin o reproduccin?

La informacin disponible a travs de un

sistema pblico, se encuentra protegida
para asegurar su integridad y prevenir
modificaciones no autorizadas?
Por ejemplo, la informacin que se publica
en la Web y la intranet pblica la autoriza
un gerente?

Los logs de auditora registran y

mantienen las actividades de los usuarios,
las excepciones y los eventos de seguridad
de la informacin, durante un periodo de
tiempo acordado, con el fin de ser utilizados
en investigaciones futuras y monitorear el
control de acceso?
Por ejemplo, existen log en los procesos.
Se han establecido procedimientos para
monitorear la infraestructura para el
procesamiento de la informacin y los
resultados de estas actividades son
revisados regularmente?
Por ejemplo, se realiza monitoreo de los
sistemas, se genera un informe de lo que se
est procesando, qu rea consume ms
recursos?

La infraestructura para los registros y la

informacin de estos registros, son
protegidos en contra de acceso forzoso o
no autorizado?
Por ejemplo, cmo garantizamos que no
alteren un registro maliciosamente en
MisFe? La idea es tener un proceso de
monitoreo para asegurar que no sean
alterados los registros.

Las actividades del administrador y del

operador del sistema, son registradas?
Por ejemplo, tienen un bitcora de
actividades, tienen cuentas que los
distingan?

Se registran y almacenan los fallos y se

toman las medidas oportunas?
Por ejemplo, quedan registro de las
incidencias, se encuentran categorizadas?

Se encuentran sincronizados todos los

relojes de todos los sistemas relevantes de
procesamiento de informacin en la
organizacin o contenidos en el dominio de
seguridad, conforme a una fuente de tiempo
de confianza?
Por ejemplo, todos los sevidores estn
sincronizados con la hora? cmo lo realizan?
utilizan un domain controller?
Se ha establecido y documentado una
poltica de control de acceso con base en
los requisitos de seguridad y del negocio, y
sta poltica ha sido revisada de forma
regular?
Por ejemplo, existe poltica de control a las
reas de acceso, al control de la informacin

Existe un procedimiento formal de registro

y de salida del registro para los usuarios de
la organizacin con el fin de garantizar o
revocar el acceso a todos los sistemas de
informacin y servicios?
Por ejemplo, hay procedimientos que
permitan entregar y quitar accesos a
usuarios?

Se restringe y controla la asignacin y uso

de privilegios?
Por ejemplo, hay roles distintos de cambiar,
borrar.
Por ejemplo, si alguien es cambiado de
cargo o funcin le cambian los privilegios?

La asignacin de contraseas se realiza

conforme a un proceso formal de gestin?
Por ejemplo, cuando alguien ingresa a FE o
pide un cambio de contrasea, existe un
procedimiento formal? Es con documento,
correo, por telfono

Los derechos de acceso de los usuarios, se

revisan en intervalos regulares de tiempo
siguiendo un proceso formal?
Por ejemplo, cuando el usuario se cambi
de funcin, supongamos que se qued con
mas privilegios, se realizan revisiones
peridicas que permitan regularizar los
accesos?

existe buenas prcticas para el manejo de

contraseas?
Por ejemplo, los usuarios comparten las
claves, colocan claves fciles como la
direccin de FE.
Se requiere que los usuarios se aseguren
que los equipos desatendidos tengan la
proteccin adecuada?
Por ejemplo, bloquean los equipos cada vez
que se levantan del puesto de trabajo? El
usuario sabe que tiene que hacerlo

Se ha adoptado una poltica de "escritorio

despejado" para los papeles, medios de
almacenamiento removibles y una poltica
de "pantalla limpia" en la infraestructura
para el procesamiento de informacin?
Por ejemplo, la secretaria guarda toda la
informacin confidencial bajo llave? se deja
documentacin en la impresora? hay
destruccin de material confidencial?

Los usuarios tienen acceso exclusivamente

a los servicios a los que se les ha autorizado
especficamente?
Por ejemplo, los usuarios que desarrollan
tienen acceso slo al servidor de desarrollo
y no a las redes productivas?

Se usan mtodos de autentificacin

adecuados para controlar el acceso de
usuarios remotos?
Por ejemplo, cuando se conectan por VPN
tienen los mismos controles? Cualquiera
tiene VPN?

Se ha considerado la identificacin
automtica de equipos como una forma de
autenticar conexiones desde equipos y
localizaciones especficas?

Est controlado el acceso a los puertos de

diagnostico y configuracin fsica y lgica?
Por ejemplo, cuando me conecto desde otro
puerto, ingreso usuario y password? Y si se
conecta en forma remota?
Los controles para segregar grupos de
dispositivos de informacin, usuarios y
sistemas de informacin son adecuados?
Por ejemplo, la red de produccin, respaldo
es la misma red de desarrollo para acceder
a las diferentes redes.

La capacidad de los usuarios de conectarse

a la red, es restringida para las redes
compartidas (especialmente aquellas que
estn fuera de la organizacin) y, esta
restriccin, es aplicada en conjunto con los
requerimientos de las polticas de control de
acceso de las aplicaciones de negocio? (Ver
control 11.1)
Por ejemplo, la red detecta cuando est el
mismo usuario desde dos puntos distintos?

Se han establecido en las redes controles

de enrutamiento para asegurar que las
conexiones de los computadores y el flujo
de informacin no vulnere la poltica de
control de acceso de las aplicaciones del
negocio?
Por ejemplo, cmo tienen los enrutamientos
de la red?

El acceso a los sistemas operativos, est

controlado por un procedimiento de inicio
de sesin seguro?
Por ejemplo, el sistema operativo solicita
usuario y contrasea?

Se provee a los usuarios con identificador

nico (User ID) para su uso personal y se ha
seleccionado una tcnica de autentificacin
adecuada para exigir la identidad del
usuario?
Por ejemplo, cada usuario utiliza su porpio
user ID? Existen usuarios genricos?
Los sistemas de gestin de contraseas
son interactivos y aseguran igualmente la
calidad de las contraseas?
Por ejemplo, las claves son alfanumricas?
Pide el sistema que cambie las claves? Deja
repetir claves?

El uso de programas de usuario capaces de

modificar el sistema y los controles de las
aplicaciones, est restringido y fuertemente
controlado?
Hay controles y procedimientos para
desactivar las sesiones despus de un
periodo de tiempo predeterminado de
inactividad?

Existen restricciones en el tiempo de

conexin de las aplicaciones con riesgos
ms elevados para proporcionar seguridad
adicional?
Por ejemplo, evalan los tiempos de trabajo
y cuanto tardan un aplicativo? Es
importante que horarios de conexin a los
sistemas sensibles sean restringidos.

El acceso a las funciones del sistema de

informacin y aplicacin, es restringido
para los usuarios y personal de soporte, de
acuerdo con la poltica de control de
acceso?
Por ejemplo, tenemos controlado que los
usuarios que trabajan en S.O. no accesen a
la base de dato productiva para alterar
datos?

Los sistemas ms sensibles, tienen un

ambiente de cmputo dedicado (aislado)?
Por ejemplo, se encuentran los servidores
resguardados? MisFe se encuentra aislado?
Remuneraciones es sensible, se encuentra
aislado?
 Existe una poltica formal y se han
adoptado las medidas de seguridad
necesarias para protegerse en contra de los
riesgos de utilizar computadores mviles e
infraestructura de comunicaciones?
Por ejemplo, los note tienen seguridad? Los
gerentes tienen la misma seguridad? existe
respaldo de los pc.

Se ha desarrollado una poltica, unos

planes operativos, y unos procedimientos
para regular las actividades de tele-trabajo?

ISTEMAS DE INFORMACIN

Las declaraciones de los requerimientos

del negocio para nuevos sistemas de
informacin o para la mejora de los ya
existentes, especifican los requerimientos
de los controles de seguridad?
Por ejemplo, cuando realizo un cambio al
sistema, se valida ante comit, que este
cambio no afecte la seguridad de los
sistemas?

Los datos de entrada de las aplicaciones,

se validan para asegurar que son correctos
y apropiados?
Por ejemplo, cuando ingreso un rut en MisFe
el sistema reconoce si es que ingreso
letras?

Se han incorporado pruebas de validacin

en las aplicaciones para detectar cualquier
informacin errnea causada por errores de
procesamiento o por acciones deliberadas?

Se han identificado los requerimientos para

asegurar la autenticidad y proteger la
integridad de los mensajes en las
aplicaciones, y se han identificado e
implementado los controles apropiados?
Por ejemplo, cuando ingreso una nueva
socia, el sistema reconoce e indica si es que
qued un campo sin llenar? o si el rut es no
vlido?
Los datos de salida de las aplicaciones, se
validan para asegurar que el procesamiento
de informacin almacenada es correcto y
adecuado a las circunstancias?
Por ejemplo, cuando entregan la query a los
funcionarios, se valida que entregue datos y
resultados fidedignos?

Se ha desarrollado e implementado una

poltica sobre el uso de controles
criptogrficos para la proteccin de la
informacin?

Se encuentra implantada una gestin de

claves para soportar el uso de tcnicas
criptogrficas por parte de la organizacin?

Existen procedimientos para el control de

la instalacin de software sobre sistemas
operacionales?
Por ejemplo, existe un procedimiento para
cambiar la versin del sw, cosa de
asegurarse si falla permita volver atrs y
tener resplado. Existe control de cambio?

Los datos de prueba del sistema estn

seleccionados cuidadosamente, protegidos
y controlados?
Por ejemplo, cuando pasa los datos de en
sistema productivo al de prueba se borran
los datos del primero?

Est restringido el acceso al cdigo fuente

de los programas?
Por ejemplo, los accesos deben ser
restringidos para tener un control de
versiones que estn corriendo, esto tiene
que ir de la mano con el control de cambios.

Se utilizan procedimientos de control de

cambios formales para controlar la
implementacin de cambios?
 Cuando los sistemas operativos son
cambiados, todas las aplicaciones crticas
del negocio son revisadas y comprobadas
para asegurar que no haya un impacto
adverso en las operaciones y/o la seguridad
de la organizacin?
Por ejemplo, si en FE las aplicaciones corren
en Windows 7 y quiero subir de versin,
tenemos que realizar una revisin de los
aplicativos. existe un rol encargado de la
revisin?

Las modificaciones de los paquetes de

software, son desincentivadas, limitadas a
los cambios necesarios y todos los cambios
son estrictamente controlados?
Por ejemplo, cuando venden un paquete de
sw a FE les realizan cambios? Lo ideal es no
hacerlo porque si compran la nueva versin
se pueden perder estos cambios.

Se han prevenido las oportunidades de

fuga de informacin?
Por ejemplo, existe un control para prevenir
la fuga de informacin cuando instalan un
sw pirata ?
El desarrollo de software realizado en
outsourcing, est siendo supervisado y
monitoreado por la organizacin?
Por ejemplo, el contrato indica que FE es
dueo propiedad de cdigos, derechos de
propiedad intelectual?

Se obtiene oportunamente informacin

sobre las vulnerabilidades tcnicas de los
sistemas de informacin que estn en uso,
la exposicin a dichas vulnerabilidades es
evaluada y se toman las medidas oportunas
para tratar el riesgo asociado?
Por ejemplo, se idenfican las
vulnerabilidades tcnicas de colocar un
parche a un desarrollo? se identifican
riesgos asociados a estas vulnerabilidades?

vulnerabilidades
Los eventos de seguridad de la informacin
estn siendo reportados a los canales de
gestin adecuados tan pronto como sea
posible?
Por ejemplo, existe un procedimiento de
reporte de que indique la falta de seguridad
en la cual se incurri, y cual ser la
amonestacin, y que adems sea conocida
por FE? esto no tiene nada que ver con los
incidentes de problemas tcnico

Se requiere que los empleados contratistas

y terceras partes, usuarios de sistemas de
informacin, tomen nota y denuncien
cualquier vulnerabilidad de seguridad en los
sistemas o en los servicios, que observen o
sospechen?
Por ejemplo, existe un alineamiento con
casa central de FE, oficinas, Link Humano y
terceros de la existencia del reporte?

Se encuentran establecidos las

responsabilidades y los procedimientos
necesarios para establecer una respuesta
rpida, efectiva y ordenada cuando se
presentan incidentes de seguridad de la
informacin?
Por ejemplo, se encuentran categorizados
los incidentes y responsabilidades? se
realiza gestin de incidencias?

Existen mecanismos para establecer los

tipos, volmenes y costos referidos a
incidentes de seguridad de la informacin,
que deban ser cuantificados y
monitorizados?
Por ejemplo, tenemos identificados los
incidentes recurrentes y de alto impacto? Se
realiza gestin?
 Cuando se presenta una accin de
seguimiento en contra de una persona u
organizacin despus que un incidente de
seguridad de la informacin implica una
accin legal (ya sea criminal o civil):
Por ejemplo, cuando se comete una falta a
la seguridad, se recolecta evidencias?La
evidencia, es recogida, retenida y
presentada conforme a las reglas para la
evidencia colocada en la jurisdiccin
relevante?

negocio

Se ha desarrollado y mantenido un proceso

de gestin para la continuidad del negocio
de toda la organizacin que trate los
requerimientos de seguridad de la
informacin que se necesitan para la
continuidad del negocio de la organizacin?
Por ejemplo, la idea es que FE tenga
interiorizado que est en riesgo de
seguridad de informacin, que tenga los
activos idenficados, que contemple seguros,
incluya controles preventivos, garantizar la
seguridad de los trabajadores. Asegurar la
continuidad del negocio.

Se han identificados todos los eventos que

pueden causar interrupciones a los procesos
de negocio, junto con la probabilidad y el
impacto de dichas interrupciones, y sus
consecuencias para la seguridad de la
informacin?
Por ejemplo, se evalan los riesgos
asociados a la continuidad de FE, se han
categorizados y priorizados? se realiza un
BCP (plan de continuidad del negocio). Si
falla o se incendia casa central, cunto
cuesta continuar el negocio en otro lugar?
Se han desarrollado e implantado planes
para mantener o recuperar las operaciones
y asegurar la disponibilidad de la
informacin al nivel y en la escala de
tiempo requeridos ante una interrupcin o
fallo de los procesos crticos de negocio?
Por ejemplo, se desarrolla lo anterior
incorporando seguridad de informacin
(recuperacin, restaruracin, educacin de
las personas, entre otros)

Se mantiene un solo marco de planes de

continuidad de negocio que asegure que
todos los planes son consistentes, para
tratar los requerimientos de la seguridad de
la informacin consistentemente, y para
identificar las prioridades para las pruebas y
el mantenimiento?
Por ejemplo, tienen BCP, existe una
definicin de roles y responsabilidades,
acciones, educacin, activos.

Los planes de continuidad de negocio son

probados y modificados para asegurar que
son efectivos y se encuentran al da?
Por ejemplo, esto apunta a que todas las
personas de FE, Link Humano y terceros
est en conocimiento del BCP.

Todos los requerimientos estatutarios,

regulatorios y contractuales, y el enfoque
de la organizacin para cumplir con estos
requerimientos, se encuentran
explcitamente definidos, documentados y
mantenidos al da para cada uno de los
sistemas de informacin y para la
organizacin?
Por ejemplo,... esto apunta a definir
controles y responsabilidades
individuales...Existe un asesor legal externo
que nos indique si estamos bajo un
incuplimiento de propiedad intelectual y
delitos informticos?
 Se han implementado los procedimientos
apropiados para asegurar el cumplimiento
de los requerimientos legales, regulatorios y
contractuales respecto al uso de materiales
que pudieran estar protegidos por los
derechos de propiedad intelectual, e
igualmente respecto al uso de productos
software propietario?
Por ejemplo, se realizan chequeos para que
se instalen slo sw autorizados y productos
con licencias?... existen polticas para
eliminar y transferir sw?

Los registros importantes estn protegidos

de prdida, destruccin y falsificacin, de
acuerdo con los requerimientos
estatutarios, regulatorios, contractuales y
del negocio?

Se estn aplicando controles para asegurar

la proteccin y la privacidad de los datos,
tal y como se requiere por la legislacin,
regulaciones aplicables y, si fuera el caso,
clusulas contractuales?
Por ejemplo,

Se ha disuadido a los usuarios de utilizar la

infraestructura de procesamiento de la
informacin para propsitos no autorizados?

Se estn utilizando controles criptogrficos

de acuerdo con las leyes, regulaciones y
acuerdos relevantes?

cumplimiento tcnico

Los directivos se aseguran de que todos los

procedimientos de seguridad dentro de su
rea de responsabilidad, se realizan
correctamente para asegurar el
cumplimiento con los estndares y polticas
de seguridad de la organizacin?

Los sistemas de informacin son revisados

regularmente en cumplimiento de los
estndares de implementacin de la
seguridad?
Los requerimientos y las actividades de
auditora sobre los sistemas operativos, que
involucran revisiones, son cuidadosamente
planeados y acordados para minimizar el
riesgo de perturbar los procesos del
negocio?

El acceso a las herramientas de auditora

de los sistemas de informacin, est
protegido para prevenir cualquier uso
inadecuado o el compromiso de su
seguridad?
Observaciones

0
X
 NO MODIFICAR ESTAS COLUMNAS!

0
0 0

0 0

0 0

0
0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0
0 0

0 0
0 0

0 0

0 0

0 0

0 0

0
0 0
0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0
0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0
0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0
0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0
0 0
0 0

0 0

0 0

0 0

0 0
0 0

0
0 0

0 0

0 0
0 0

0 0

0 0

0
0 0

0 0
0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
0 0

0 0
STAS COLUMNAS!

#DIV/0!
#DIV/0! #DIV/0!

#DIV/0!
#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!
 0

#DIV/0!
#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0!
#DIV/0! #DIV/0!
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0!
#DIV/0! #DIV/0!

#DIV/0! #DIV/0!
 0

#DIV/0!
#DIV/0! #DIV/0!
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

0
 0

#DIV/0!
#DIV/0! #DIV/0!
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!
 0

#DIV/0!
#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0!
#DIV/0! #DIV/0!
 0

#DIV/0! #DIV/0!

0
 0

#DIV/0!
#DIV/0! #DIV/0!

0
 0

#DIV/0!
#DIV/0! #DIV/0!

0
 0

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!
0

0
#DIV/0!

#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
 Proyecto: FE Gestin de
Cuestionario Anlisis de Brechas - Nor

Resultados por objetivos

5. POLTICA DE SEGURIDAD
5.1. Poltica de seguridad de la informacin
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
6.1. Organizacin Interna
6.2. Entidades externas
7. GESTION DE ACTIVOS
7.1. Responsabilidad de los activos
7.2. Clasificacin de la Informacin
8. SEGURIDAD DE LOS RECURSOS HUMANOS
8.1. Previo al empleo
8.2. Durante el empleo
8.3. Finalizacin o cambio de empleo
9. SEGURIDAD FSICA Y AMBIENTAL
9.1. reas seguras
9.2. Seguridad de los equipos
10. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES
10.1. Responsabilidad y procedimientos operacionales
10.2. Gestin de servicios por terceras partes
10.3. Planificacin y aceptacin del sistema
10.4. Proteccin contra cdigo mvil y malicioso
10.5. Back-up
10.6. Gestin de seguridad en la red
10.7. Gestin de soportes
10.8. Intercambio de informacin
10.9. Servicios de comercio electrnico
10.10. Monitoreo
11. CONTROL DE ACCESO
11.1. Requerimientos de negocio para el control del acceso
11.2. Gestin de accesos de usuarios
11.3. Responsabilidades de usuario
11.4. Control de acceso a redes
11.5. Control de acceso al sistema operativo
11.6. Control de acceso a la informacin y las aplicaciones
11.7. Informtica mvil y teletrabajo
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMA
12.1. Requerimientos de seguridad de los sistemas de informacin
 12.2. Procesamiento correcto en las aplicaciones
12.3. Controles criptogrficos
12.4. Seguridad de los archivos del sistema
12.5. Seguridad en el desarrollo y soporte de procesos
12.6. Gestin de vulnerabilidades tcnicas
13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades
13.2. Gestin de incidentes y mejoras de seguridad de la informacin
14. GESTIN DE CONTINUIDAD DEL NEGOCIO
14.1. Gestin de los aspectos de seguridad de la continuidad del negocio
15. CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico
15.3. Consideraciones de auditoria de sistemas de informacin
 de Seguridad de la Informacin
Norma ISO 27001 - Municipalidad de Chiclayo

#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
 Proye
Cuestionario Anlis

Nivel de cumplimiento por dominio- Anlisis de brechas respecto a los contro

Dominio
5. POLTICA DE SEGURIDAD
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
7. GESTION DE ACTIVOS
8. SEGURIDAD DE LOS RECURSOS HUMANOS
9. SEGURIDAD FSICA Y AMBIENTAL
10. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES
11. CONTROL DE ACCESO
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACI
13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
14. GESTIN DE CONTINUIDAD DEL NEGOCIO
15. CUMPLIMIENTO

Total

Nivel de madurez de la Institucin

Resultado
Escala
Descripcin

Nivel de cumplimiento por dominio- Anlisis de brechas respecto a los contro

FE- Gesti
Nivel

1
 1

14. GESTIN DE CONTINUIDAD DEL NEGO

13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFO

 Proyecto: FE Gestin de Seguridad de la Informacin
Cuestionario Anlisis de Brechas - Norma ISO 27001 - Municipalidad de Chiclay

de brechas respecto a los controles requeridos por el estndar

Resultado
#DIV/0!
RMACIN #DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
RACIONES #DIV/0!
#DIV/0!
O DE LOS SISTEMAS DE INFORMACIN #DIV/0!
A INFORMACIN #DIV/0!
#DIV/0!
#DIV/0!

#DIV/0!

#DIV/0!
#DIV/0!

#DIV/0!

de brechas respecto a los controles requeridos por el estndar

FE- Gestin de Seguridad de la Informacin

Nivel de cumplimiento por dominio

5. POLTICA DE SEGURIDAD

15. CUMPLIMIENTO 6. ORGANIZACIN DE L

 5. POLTICA DE SEGURIDAD

15. CUMPLIMIENTO 6. ORGANIZACIN DE L

14. GESTIN DE CONTINUIDAD DEL NEGOCIO 7. GESTI

IDENTES DE SEGURIDAD DE LA INFORMACIN 8. SE

Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN 9. SEGURIDAD

11. 10.
CONTROL
GESTIN
DE ACCESO
DE LAS COMUNICACIONES Y LAS OPERACIONES
ormacin
icipalidad de Chiclayo

6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

 6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

7. GESTION DE ACTIVOS

8. SEGURIDAD DE LOS RECURSOS HUMANOS

9. SEGURIDAD FSICA Y AMBIENTAL

NES Y LAS OPERACIONES