Analisis de Riesgo 2-2022

27002 codigo de buenas practicas para gestion de seguridad de informacion
RD 1720 CODIGO DE BUENAS PRACTICA PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION

SP800-53 NIST RECOMMENDED SECURITY CONTROLS FOR FEDERAL INFORMATION SYSTEMS AND ORGANIZATIONS REV 3
1
2
3
_
_
_
_
_
1
2
3
4
a
a 1
a 2
a 2
a 2
1
2
3
3 1
3 2
3 3
4
1
2
3
4
H.IR
H.IR
H.IR 2
H.IR 2 1
H.IR 2 1 1
H.IR 2 1 2
H.IR 2 1 3
H.IR 2 1 4
H.IR 2 1 5
H.IR 2 1 6
H.IR 2 1 7
H.IR 2 1 8
H.IR 2 2
H.IR 2 3
H.IR 2 4
H.IR 2 5
H.IR 2 6
H.IR 2 7
H.IR 2 8
H.IR 2 9
H.IR 2a
H.IR 2b
H.IR 2c
H.IR 2d
H.IR 2e
H.IR 2f
H.IR
H.IR 3
H.IR 3 1
H.IR 3 2
H.IR 3 3
H.IR 3 4
H.IR
H.IR 1
H.IR 2
H.IR 3
H.IR 3
H.IR 3
H.IR 3
H.IR 3
H.IR 4
H.IR 5
H.IR 5 1
H.IR 5 2
H.IR 6
H.IR 6 1
H.IR 6 2
H.IR 7
H.IR 8
H.IR 8 1
H.IR 8 2
H.IR 8 3
H.IR 8 4
H.IR 4
H.IR
H.IR 1
H.IR 2
H.IR 3
H.IR 4
H.IR 5
H.IR 5
H.IR 5 1
H.IR 5 2
H.IR
H.IR 1
H.IR a
H.IR a 1
H.IR a 1 1
H.IR a 1 2
H.IR b
H.IR b 1
H.IR b 2
H.IR b 3
H.IR b 4
H.IR b 5
H.IR b 6
H.IR c _
H.IR c 1
H.IR c 2
H.IR c 3
H.IR c 4
H.IR d
H.IR d 1
H.IR d 2
H.IR d 3
H.IR d 4
H.IR d 5
H.IR e
H.IR e 1
H.IR e 2
H.IR e 3
H.IR e 3 1
H.IR e 3 2
H.IR e 3 3
H.IR e 3 4
H.IR e 3 5
H.IR e 4
H.IR f
H.IR f 1
H.IR f 2
H.IR f 3
H.IR g
BC
BC
BC 1
13 BC 1 1 1
13 BC 1 1 2
13 BC 1 1 3
13 BC 1 1 4
13 BC 1 1 5
BC
BC 1
BC 2
BC 3
BC 4
BC 5
BC 6
BC 7
BC 8
BC 9
BC a
BC b
BC c
BC d
BC e
BC f
BC g
BC h
BC i
13 BC BIA
BC BIA 1
BC BIA 2
BC BIA 3
BC BIA 4
BC BIA 5
BC BIA 6
BC
BC BIA 1
BC BIA 2
BC BIA 3
BC BIA 4
BC BIA 5
BC BIA 5 1
BC BIA 5 2
BC BIA 5 3
BC BIA 5 4
BC 5
BC 5 1_
BC 5 2_
BC 5 3_
BC DRP
BC DRP 1
BC DRP 2
BC DRP 3
BC DRP 3 1
BC DRP 3 2
BC DRP 4
BC DRP 4 1
BC DRP 4 2
BC DRP 5
BC DRP 5 1
BC DRP 5 2
BC DRP 5 3
BC DRP 5 4
BC DRP 5 5
BC DRP 5 6
BC DRP 5 7
BC DRP 5 8
BC DRP 5 9
BC DRP 5a
BC DRP 6
BC DRP 7
BC DRP 7 1
BC DRP 7 2
BC DRP 7 3
BC DRP 7 4
BC DRP 7 5
BC DRP 7 6
BC 7
BC 7 1
BC 7 2
G
G
G 1
G 1 1
G 1 2
G 1 3
G 1 4
G 1 5
G 1 6
G 2
G 2 1
G 2 2
G 2 3
G 2 4
G 3
G 3 1
G 3 2
G 3 3
G 3 4
G 4
G 4 1
G 4 2
G 4 3
G 4 4
G 5
G
G
G
G
G
G
G
G
G
de informacion
A SEGURIDAD DE LA INFORMACION
NFORMATION SYSTEMS AND ORGANIZATIONS REV 3
[PS.AT.4.3] Reforzamiento regular
[PS.AT.5.1] Se establecen las necesidades de formación según roles y responsabilidades

[PS.AT.5.2] Previa al acceso a los sistemas
[PS.AT.5.3] Cuando se requiere por cambios en el sistema
[PS.AT.5.4] Reforzamiento regular
[PS.9.1] frente a software dañino

[PS.9.2] frente a phishing
[PS.9.3] frente a extorsión
[PS.9.4] frente a ataques de ingeniería social
[PS.a.1] Se identifican los riesgos y potenciales objetivos

[PS.a.2] Procedimientos operativos
[PS.a.2.1] ... de detección
[PS.a.2.2] ... de reacción
[PS.cont.1] Se prevé suficiente holgura en el dimensionamiento de los equipos de trabajo

[PS.cont.2] Se monitorizan continuamente los incidentes de disponibilidad de personal
[PS.cont.3] Redundancia
[PS.cont.3.1] Otro personal propio con formación de urgencia
[PS.cont.3.2] Otro personal propio ya formado
[PS.cont.3.3] Contrato con proveedor de recursos humanos
[PS.cont.4] El personal alternativo está sujeto a las mismas garantías de seguridad que el habitual
[PS.c.1] Se establecen los deberes y obligaciones del personal subcontratado

[PS.c.2] Se establecen los deberes y obligaciones de la parte contratada
[PS.c.3] Se establecen los deberes y obligaciones de la parte contratante
[PS.c.4] Se dispone de un procedimiento de resolución de incidentes relacionados con el incumplimiento de sus obligaciones
Gestion de incidentes
[H.IR.1] Se dispone de normativa de actuación para la gestión de incidentes
[H.IR.2] Se dispone de procedimientos para la gestión de incidentes
[H.IR.2.1] Actuación frente a código dañino
[H.IR.2.1.1] Están definidas las responsabilidades en la gestión de código dañino
[H.IR.2.1.2] Están definidas las medidas de protección contra código dañino
[H.IR.2.1.3] Se dispone de normativa para la recogida de información sobre nuevos virus (listas de correos, consulta de páginas web, etc.)
[H.IR.2.1.4] Se realizan revisiones periódicas de software, datos y sistemas críticos
[H.IR.2.1.5] Se realizan revisiones periódicas de software y ficheros no autorizados
[H.IR.2.1.6] Concienciación: ¿cómo actuar frente al código dañino?
[H.IR.2.1.7] Formación: ¿cómo actuar frente al código dañino?
[H.IR.2.1.8] Los planes de continuidad tienen en cuenta posibles infecciones por código dañino
[H.IR.2.2] Actuación frente a ataques de denegación de servicio (DoS)
[H.IR.2.3] Actuación ante fallos del sistema e interrupciones del servicio
[H.IR.2.4] Actuación ante errores que resulten de datos del negocio inexactos o incompletos
[H.IR.2.5] Actuación frente a violaciones de la confidencialidad
[H.IR.2.6] Actuación frente a alarmas de los sistemas de detección de intrusión
[H.IR.2.7] Actuación frente a alarmas de los sistemas de prevención de intrusión
[H.IR.2.8] Actuación frente a alarmas de los sistemas de monitorización de integridad de los ficheros
[H.IR.2.9] Actuación frente a alarmas de uso no autorizado del sistema
[H.IR.2.a] Actuación frente a fallos del software
[H.IR.2.b] Actuación frente a estaciones base wifi no auorizadas
[H.IR.2.c] Detección y reacción frente a actividades de espionaje industrial
[H.IR.2.d] Detección y reacción frente a actividades de robo de datos de carácter personal
[H.IR.2.e] Actuación frente a otros incidentes
[H.IR.2.f] Coordinación con otros sistemas de información afectados
[H.IR.3] El personal designado cubre las 24h los 7 días de la semana
[H.IR.4] El fallo del sistema deja a este en un estado controlado
[H.IR.4.1] Se previene la fuga de información
[H.IR.4.2] Se garantiza la integridad de la información
[H.IR.4.3] Se previenen daños colaterales sobre otros sistemas
[H.IR.4.4] Se previenen daños colaterales sobre personas afectadas
[H.IR.5] Gestión del incidente
[H.IR.5.1] Se suspenden cautelarmente los trabajos en el sistema afectado
[H.IR.5.2] Se identifica y analiza la causa
[H.IR.5.3] Se analiza el impacto del incidente
[H.IR.5.3.1] Daños sobre la misión o negocio del sistema
[H.IR.5.3.2] Daños sobre los activos del sistema
[H.IR.5.3.3] Perjuicios a terceros
[H.IR.5.3.4] Daños colaterales
[H.IR.5.4] Se planifica la implantación de medidas correctoras
[H.IR.5.5] Hay comunicación con los afectados por el incidente
[H.IR.5.5.1] internos
[H.IR.5.5.2] externos
[H.IR.5.6] Hay comunicación con los implicados en la recuperación del incidente
[H.IR.5.6.1] internos
[H.IR.5.6.2] externos
[H.IR.5.7] Se informa de las acciones a la autoridad respectiva de la organización
[H.IR.5.8] Evidencias
[H.IR.5.8.1] Se recogen pistas de auditoría, atendiendo a su validez, calidad y completitud
[H.IR.5.8.2] Las evidencias recogidas se almacenan de forma segura
[H.IR.5.8.3] Evidencias en documentos en papel
[H.IR.5.8.4] Evidencias en medios electrónicos
[H.IR.6] Ayuda a los afectados
[H.IR.7] Cooperación con otras organizaciones
[H.IR.7.1] Se mantienen contactos con las autoridades
[H.IR.7.2] Se mantienen contactos con los organismos reguladores
[H.IR.7.3] Se mantienen contactos con los proveedores de servicios de información
[H.IR.7.4] Se mantienen contactos con los operadores de telecomunicaciones
[H.IR.7.5] Se participa en foros de seguridad
[H.IR.8] Comunicación de los incidentes de seguridad
[H.IR.8.1] Hay canales establecidos para la comunicación de los incidentes
[H.IR.8.2] Hay canales establecidos para dar respuesta a los incidentes
[H.IR.9] Comunicación de las deficiencias de seguridad
[H.IR.9.1] Se han establecido canales para la comunicación de las deficiencias
[H.IR.a] Comunicación de los fallos del software
[H.IR.a.1] Se han establecido canales para la comunicación de los fallos de SW
[H.IR.a.1.1] Se han definido criterios para interpretar síntomas y mensajes que aparezcen en pantalla
[H.IR.a.1.2] Hay instrucciones de cómo actuar frente a sistemas que fallan
[H.IR.b] Se dispone de un registro de incidentes
[H.IR.b.1] Tipo de incidente
[H.IR.b.2] Momento en que se ha producido
[H.IR.b.3] Persona que realiza la notificación
[H.IR.b.4] A quién se le comunica
[H.IR.b.5] Efectos derivados de la misma
[H.IR.b.6] Acciones tomadas
[H.IR.c] Los fallos y las medidas correctoras se registran y se revisan
[H.IR.c.1] Se registra toda comunicación sobre fallos en el sistema
[H.IR.c.2] Se revisan los registros de fallos para asegurar que todos han sido resueltos satisfactoriamente
[H.IR.c.3] Se revisan las medidas correctoras para comprobar que son efectivas
[H.IR.c.4] Se retienen los registros de fallos durante el periodo establecido
[H.IR.d] Control formal del proceso de recuperación ante el incidente
[H.IR.d.1] Se ha identificado el personal que va a gestionar el incidente
[H.IR.d.2] Se requiere autorización previa del personal que va a gestionar el incidente
[H.IR.d.3] Queda registro de todas las acciones realizadas
[H.IR.d.4] Cada acción de emergencia es aprobada por la Dirección
[H.IR.d.5] Se comprueba la integridad de los sistemas y de las medidas de control de seguridad
[H.IR.e] Formación y concienciación
[H.IR.e.1] Concienciación en la detección y reporte de incidentes
[H.IR.e.2] Formación del personal en detección y gestión de incidentes
[H.IR.e.3] Se tiene en cuenta la singularidad del sistema
[H.IR.e.3.1] Requisitos de seguridad
[H.IR.e.3.2] Responsabilidades legales y contractuales
[H.IR.e.3.3] Amenazas potenciales
[H.IR.e.3.4] Vulnerabilidades identificadas
[H.IR.e.3.5] Incidentes ocurridos
[H.IR.e.4] Se prueban regularmente los procedimientos de gestión de incidentes
[H.IR.f] Se aprende de los incidentes
[H.IR.f.1] Se han definido indicadores para la cuantificación y monitorización de los incidentes
[H.IR.f.2] Se actualizan los procedimientos de usuario para incorporar o mejorar la identificación y forma de reaccionar ante el mismo incidente o incidentes similares
[H.IR.f.3] Se actualizan, extienden, mejoran u optimizan los procedimientos de resolución de incidentes
[H.IR.g] Se toman medidas para prevenir la repetición
Continuidad del negocio
[BC.1] Se dispone de normativa relativa a la continuidad del negocio
[BC.1.1] Marco administrativo
[BC.1.1.1] Están definidos el objeto y el alcance (funciones, procesos y plataformas afectadas)
[BC.1.1.2] Se dispone de normativa de valoración de daños
[BC.1.1.3] Información de referencia
[BC.1.1.4] Se tienen en cuenta los requisitos legales y contractuales
[BC.1.1.5] Se definen roles y responsabilidades
[BC.2] El inventario se actualiza regularmente
[BC.2.1] Cuando entran nuevos sistemas de información en producción
[BC.2.2] Cuando se retiran sistemas de información de producción
[BC.2.3] Cuando entran servicios en producción
[BC.2.4] Cuando hay cambios en los servicios
[BC.2.5] Cuando se retiran servicios de producción
[BC.2.6] Cuando entran aplicaciones (SW) en producción
[BC.2.7] Cuando hay cambios en las aplicaciones (SW)
[BC.2.8] Cuando se retiran aplicaciones (SW) de producción
[BC.2.9] Cuando entra equipamiento (HW) en producción
[BC.2.a] Cuando hay cambios en el equipamiento (HW)
[BC.2.b] Cuando se retira equipamiento (HW) de producción
[BC.2.c] Cuando entran en producción servicios de comunicaciones
[BC.2.d] Cuando hay cambios en los servicios de comunicaciones
[BC.2.e] Cuando se retiran servicios de comunicaciones de producción
[BC.2.f] Cuando se estrenan nuevas instalaciones
[BC.2.g] Cuando hay cambios en las instalaciones
[BC.2.h] Cuando se cierran instalaciones
[BC.2.i] Cuando hay cambios en el personal adscrito
[BC.BIA] Se ha realizado un análisis de impacto (BIA)
[BC.BIA.1] Se identifican y priorizan los procesos críticos
[BC.BIA.2] Se identifican los activos involucrados en los procesos críticos
[BC.BIA.3] Se establecen objetivos de recuperación para cada proceso crítico (RTO)
[BC.BIA.4] Se establecen objetivos de recuperación para cada información crítica (RPO)
[BC.BIA.5] Se identifican eventos posibles y su potencialidad de producir una interrupción
[BC.BIA.6] Se identifican los impactos en términos de tiempo de interrupción, daños y tiempo de recuperación
[BC.4] Actividades preparatorias
[BC.4.1] Se adoptan medidas preventivas
[BC.4.2] Se dispone de seguros contra interrupciones en el negocio
[BC.4.3] Se identifican las necesidades de copias de seguridad (backup) y su almacenamiento
[BC.4.4] Se identifican las necesidades de equipamiento alternativo
[BC.4.5] {xor} Se identifican las necesidades de un centro alternativo
[BC.4.5.1] "Cold site"
[BC.4.5.2] "Warm site"
[BC.4.5.3] "Hot site"
[BC.4.5.4] "Mirrored site"
[BC.5] Reacción (gestión de crisis)
[BC.5.1] Se han designado responsables
[BC.5.2] Se dispone de un plan de gestión de crisis
[BC.5.3] Todas las áreas de la organización están coordinadas
[BC.DRP] Plan de Recuperación de Desastres (DRP)
[BC.DRP.1] Se han designado responsables
[BC.DRP.2] Todas las áreas de la organización están coordinadas
[BC.DRP.3] Documentación
[BC.DRP.3.1] La documentación se aprueba y se garantiza que llegue a los afectados
[BC.DRP.3.2] Los planes se mantienen al día dentro de un proceso de mejora continua
[BC.DRP.4] Notificación y activación
[BC.DRP.4.1] Se dispone de un procedimiento de notificación
[BC.DRP.4.2] Se dispone de un procedimiento de activación del plan
[BC.DRP.5] Se dispone de un plan de recuperación
[BC.DRP.5.1] Están detalladas las actividades de recuperación
[BC.DRP.5.2] Están detallados los procedimientos de recuperación
[BC.DRP.5.3] Se han previsto los recursos necesarios
[BC.DRP.5.4] Están previstas instalaciones alternativas
[BC.DRP.5.5] Las copias de seguridad (backup) se realizan con la frecuencia acordada
[BC.DRP.5.6] Están previstos los medios alternativos de almacenamiento de la información
[BC.DRP.5.7] Están previstos los medios alternativos de procesamiento de la información
[BC.DRP.5.8] Están previstos medios alternativos de comunicación
[BC.DRP.5.9] Está previsto personal alternativo
[BC.DRP.5.a] Están previstos los lugares alternativos de trabajo
[BC.DRP.6] Se ejecuta un plan de formación
[BC.DRP.7] Los planes se prueban regularmente
[BC.DRP.7.1] Las pruebas incluyen varios escenarios
[BC.DRP.7.2] Se simulan situaciones de crisis
[BC.DRP.7.3] Se realizan pruebas de recuperación técnica
[BC.DRP.7.4] Se realizan pruebas de recuperación en un centro alternativo
[BC.DRP.7.5] Se realizan pruebas de los recursos y servicios de los proveedores
[BC.DRP.7.6] Se registran las lecciones aprendidas y se aplican dentro del proceso de mejora continua
[BC.7] Restitución (retorno a condiciones normales de trabajo)
[BC.7.1] Se dispone de normativa para la vuelta a la normalidad
[BC.7.2] Se evalúa el proceso de retorno al terminarlo
[G.1] Organización interna

[G.1.1] Comité de seguridad de la información
[G.1.1.1] Está respaldado por la dirección
[G.1.1.2] Define claramente las funciones de seguridad
[G.1.1.3] Aprueba las designaciones de responsables de seguridad
[G.1.1.4] Identifica los objetivos de seguridad
[G.1.1.5] Revisa, evalúa y aprueba la normativa de seguridad
[G.1.1.6] Asegura la coordinación en materia de seguridad dentro de la organización
[G.1.2] Coordinación interna
[G.1.2.1] Representación de todos los áreas de la organización
[G.1.2.2] Se garantiza que todas las actividades de seguridad se llevan a cabo según la política
[G.1.2.3] Se identifican no conformidades e incumplimientos
[G.1.2.4] Se aprueban metodologías, procedimientos, normas, etc
[G.1.3] Roles identificados
[G.1.3.1] Responsable(s) de la información
[G.1.3.2] Responsable(s) de los servicios
[G.1.3.3] Responsable de la seguridad de la información
[G.1.3.4] Responsable del sistema
[G.1.4] Asignación de responsabilidades para la seguridad de la información
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con cada sistema específico
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con cada sistema específico
[G.1.4.3] Se documentan los detalles de cada responsabilidad
[G.1.4.4] Se definen y documentan claramente los niveles de autorización
[G.1.5] Se dispone de asesoramiento especializado en seguridad
[G.2] Documentación técnica (componentes)
[G.3] Documentación organizativa (normas y procedimientos)
[G.4] Protección de datos de carácter personal (Documento de segurida
[RM] Gestión de riesgos
[G.plan] Planificación de la seguridad
[G.exam] Inspecciones de seguridad
[G.8] Salvaguarda de los registros de la Organización (vital records)
[E] Relaciones Externas
[E.1] Acuerdos para intercambio de información y software
[E.1.1] Se define la propiedad de la información y del software
[E.1.2] Se definen responsabilidades de custodia
[E.1.3] Se definen responsabilidades sobre datos de carácter personal
[E.1.4] IPR: Se definen responsabilidades sobre protección de la propiedad intelectual / industrial
[E.1.5] Se definen responsabilidades en materia de legislación
[E.1.6] Se definen responsabilidades para el control y notificación del envío, transmisión y entrega
[E.1.7] Se definen responsabilidades y obligaciones en caso de incidente de seguridad
[E.1.8] Se protege el derecho de auditar directamente o por terceros el cumplimiento de las responsabilidades contractuales
[E.1.9] Se establecen restricciones en la copia o divulgación de la información
[E.1.a] Se garantiza la confidencialidad de la información
[E.1.b] Se garantiza la integridad de la información
[E.1.c] Se garantiza la disponibilidad de la información
[E.1.d] Se establecen controles para asegurar la recuperación de información cuando se requiera

[E.1.e] Se establecen controles para asegurar la destrucción de la información cuando se requiera
[E.1.f] Se dispone de procedimientos para la notificación del envío, transmisión y recepción

[E.1.g] Se dispone de procedimientos que aseguren la trazabilidad y el no repudio
[E.1.h] Se determinan los estándares técnicos adecuados para el encapsulado de la información y su transmisión
[E.1.i] Se dispone de normativa para la identificación del mensajero
[E.1.j] Se determina un sistema de etiquetado adecuado para la información sensible o crítica
[E.1.k] Se dispone de normativa para la grabación y lectura de información y software

[E.1.l] Se revisa regularmente el cumplimiento de acuerdos y contratos
[E.2] Acceso externo
[E.2.1] Se identifican los riesgos
[E.2.2] Se determinan los método(s) de acceso autorizados
[E.2.3] Se usan identificadores únicos y se controla su uso
[E.2.4] Se dispone de una relación de usuarios autorizados
[E.2.5] Se dispone de normativa para la autorización del acceso y concesión de privilegios
[E.2.6] Se garantiza el derecho para controlar (y suspender en su caso) la actividad de los usuarios
[NEW] Adquisición / desarrollo
[NEW.S] Servicios: Adquisición o desarrollo
[NEW.S.1] Se asignan recursos suficientes
[NEW.S.2] Se establecen previamente los requisitos funcionales
[NEW.S.3] Se identifican los requisitos de seguridad de acuerdo a los condicionantes del negocio
[NEW.S.3.1] Se tienen en cuenta las obligaciones legales
[NEW.S.3.2] Se tienen en cuenta las obligaciones contractuales
[NEW.S.3.3] Se tienen en cuenta los estándares aplicables
[NEW.S.3.4] Se tiene en cuenta la política de seguridad de la organización
[NEW.S.3.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación

[NEW.S.4] Se identifican los requisitos técnicos de seguridad
[NEW.S.4.1] Se tienen en cuenta los requisitos de control de acceso
[NEW.S.4.2] Se tienen en cuenta los requisitos de identificación y autenticación
[NEW.S.4.3] Se tienen en cuenta los requisitos de disponibilidad
[NEW.S.4.4] Se tienen en cuenta los requisitos de integridad
[NEW.S.4.5] Se tienen en cuenta los requisitos de confidencialidad
[NEW.S.4.6] Se tienen en cuenta los requisitos de autenticidad
[NEW.S.4.7] Se tienen en cuenta los requisitos de trazabilidad (accounting)
[NEW.SW] Aplicaciones: Adquisición o desarrollo
[NEW.SW.1] Se establecen previamente los requisitos funcionales
[NEW.SW.2] Se identifican los requisitos de seguridad de acuerdo a los condicionantes del negocio
[NEW.SW.2.1] Se tienen en cuenta las obligaciones legales
[NEW.SW.2.2] Se tienen en cuenta las obligaciones contractuales
[NEW.SW.2.3] Se tienen en cuenta los estándares aplicables
[NEW.SW.2.4] Se tiene en cuenta la política de seguridad de la organización
[NEW.SW.2.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
[NEW.SW.3] Se identifican los requisitos técnicos de seguridad
[NEW.SW.3.1] Se tienen en cuenta los requisitos de control de acceso
[NEW.SW.3.2] Se tienen en cuenta los requisitos de identificación y autenticación
[NEW.SW.3.3] Se tienen en cuenta los requisitos de disponibilidad
[NEW.SW.3.4] Se tienen en cuenta los requisitos de integridad
[NEW.SW.3.5] Se tienen en cuenta los requisitos de confidencialidad
[NEW.SW.3.6] Se tienen en cuenta los requisitos de auditoría
[NEW.SW.3.7] Se tienen en cuenta los requisitos de registro
[NEW.SW.4] Adquisición de aplicaciones SW
[NEW.SW.4.1] Adquisición de SW solamente de fuentes reputables
[NEW.SW.4.2] Se usan productos certificados / evaluados
[NEW.SW.5] Desarrollo
[NEW.SW.5.1] Metodología de desarrollo
[NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
[NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
nte o incidentes similares
DOMINIO SALVAGUARDAS
1 1 1 H [H] Protecciones Generales
2 1 H IA _ _ Identificacion y autenticacion
1 H IA 1 _ Se dispone de normativa de identificacion y autenticacion
1 H IA 2 _ se dispone de procedimientos para las tareas de identificacion y autenticacion
1 H IA 3 _ Identificacion de los usuarios
1 H IA 4 _ Gestion de la identificacion y autenticacion de usuario
1 H IA 5 _ Cuentas especiales (administracion)
1 H IA 6 _ Canal seguro de autenticacion
1 H IA 7 _ Factores de autenticacion que se requieren
1 H IA 8 _ Librería de mecanismos de autenticacion
2 1 H AC _ _ Control de acceso logico

1 H AC 1 _ Se dispone de normativa de para el control de accesos
1 H AC 2 _ Se dispone de procedimientos para las tareas de control de accesos
1 H AC 3 _ Se definen y documentan las auterizaciones de acceso
1 H AC 4 _ Restriccion de acceso a la informacion
1 H AC 5 _ Se restringe el uso de las utilidades del sistema
1 H AC 6 _ Se restringe el acceso a la configuracion del sistema
1 H AC 7 _ Se controla el trabajo fuera del horario normal
1 H AC 8 _ Gestion de privilegios
1 H AC 9 _ Revision de los derechos de acceso de los usuarios
1 H AC a _ Modelo de control de acceso
1 H AC b _ Conexiones en terminales (logon)
1 H AC c _ Se limita el tiempo de conexión
1 H AC d _ Se limita el numero de sesiones concurrentes de un usuario
1 H AC e _ Equipo informatico de usuario desatendido
1 H AC f _ Los terminales se desconectan automaticamente
2 1 H tools _ _ Herramientas de seguridad

1 H tools 1 _ Herramientas contra codigo dañino
1 H tools 2 _ IDP/IPS Herramienta de deteccion / Prevencion de instrusion
1 H tools 3 _ Herramienta de chequeo de configuracion
1 H tools 4 _ Herramientas de monitorizacion de contenidos
1 H tools 5 _ Honey net / Honey pot
1 H tools 6 _ Verificacion de las funciones de seguridad
2 1 H VM _ _ Gestion de vulnerabilidades
1 H VM 1 _ Se dispone de persona dedicadas a la gestion de vulnerabilidades
1 H VM 2 _ Se han previsto mecanismos para estar informados de vulnerabilidades
1 H VM 3 _ Herramientas de analisis de vulnerabilidades
1 H VM 4 _ Se analiza el impacto potencial(estimacion de riesgo)
1 H VM 5 _ Pruebas de penetracion
1 H VM 6 _ Se dispone de procedimientos de reaccion
1 H VM 7 _ Actuaciones
2 1 H AU _ _ Registro y auditoria
1 H AU 1 _ Administracion
1 H AU 2 _ Herramientas
1 H AU 3 _ Informacion
1 H AU 4 _ Actividades
1 1 2 D
[D] Protección de la Información
2 2 D 1 _ _ Se dispone de un invetario de activos de informacion
2 D 1 1 1 Se dispone de un registro de activos de informacion
2 D 1 2 2 Se identifica al propietario (personas responsables)
2 D 1 3 3 El inventario se actualiza regularmente
2 2 D5 backup_ _ Copias de seguridad de los datos (backup)

2 D5 backup1 _ Proteccion de la informacion
2 D5 backup1 1 Las copias de seguridad se protegen de acuerdo a la informacion que contienen
2 D5 backup1 2 Se cifra las copias de seguridad
2 D5 backup1 3 El acceso a las copias de seguridad requiere autorizacion previa
2 2 D 9 DS _ _ Uso de Firma electronica

2 D 9 DS 1 _ Se dispone de normativa sobre firma electronica
2 D 9 DS 1 1 Se tienen en cuenta los requisitos de identificacion y autenticacion
2 D 9 DS 1 2 Se tienen en cuenta los requisitos de no repudio
2 D 9 DS 1 3 Se tienen en cuenta los requisitos legales y contractuales
2 D 9 DS 1 4 Se definen roles y responsabilidades
2 D 9 DS 1 5 Se tienen en cuenta los requisitos de proteccion para los mecanismos criptograficos
2 D 9 DS 1 6 Se tiene en cuenta los requisitos de control: registro y auditoria
2 D 9 DS 1 7 Se dispone de normativa de adquisicion de productos
2 D 9 DS 1 8 Se tiene en cuenta los requisitos de interoperatibilidad:actuales y previsiones futuras
Se dispone de procedimientos para las tareas relacionadas con el empleo de firmas
2 D 9 DS 2 _ electronicas
2 D 9 DS 2 1 Procedimiento de firmas
2 D 9 DS 2 2 Procedimientos de verificacion de firma
2 D 9 DS 3 _ Se han designado responsable
2 D 9 DS 4 _ Se garantiza la eficiencia probatorio de la firma
Se garantiza la disponibilidad de los certificados correspondientes para cuando haya que
2 D 9 DS 4 1 validar la firma
Se garantiza la disponibilidad de los datos de verificacion y validacion correspondientes
2 D 9 DS 4 2 para cuando haya que validadr la firma
2 D 9 DS 5 _ Certificados electronicos
2 D 9 DS 5 1 No reconocidos
2 D 9 DS 5 2 Reconocidos
2 D 9 DS 6 _ Implantacion de los algoritmos
2 D 9 DS 6 1 Dispositivos logicos
2 D 9 DS 6 2 Dispositivos fisicos
2 D 9 DS 6 3 Dispositivos seguro de firma
2 D 9 DS 6 4 Servicio de red
2 D 9 DS 7 _ Mecanismos de firma electronica
2 D 9 DS 7 1 RSA-1024(o equiv) + hash 160bits
2 D 9 DS 7 2 RSA-2048 (o equiv) + hash 256bits
2 D 9 DS 7 3 RSA-4096(o equip) + hash 512bits
2 D 9 DS 8 _ Se revisa regularmente las vulnerabilidades de los algoritmos
2 D 9 DS 9 _ Se emplea algoritmos certificados /acreditados
2 D 9 DS a _ Se emplea productos o servicios certificados o acreditados
2 2 D 3 _ _ Normatividad
2 D 3 1 _ Se clasifica la informacion
2 D 3 1 1 Se dispone de normativa para el tratamiento de informacion clasificada
2 D 3 1 2 Se dispone de procedimiento para el tratamiento de informacion clasificada
2 D 3 1 3 El nivel de clasificacion se mantiene cuando la informacion se transmite
2 D 3 2 _ Atributos de seguridad
El sistema mantiene los atributos de seguridad intimamente ligados a la informacion
2 D 3 2 1 almacenada, en procesis y transmitida
Los atributos de seguridad se mantiene asociados a la informacion cuando esta se
2 D 3 2 2 intercambia con otros sistemas
2 D 3 3 _ Se protegen los derechos de propiedad intelectual de la informacion
2 D 3 3 1 Se dispone de normativa relativa al cumplimiento de los derechos
2 D 3 3 2 Se dispone de los documentos que acreditan la propiedad
2 D 3 3 3 Se dispone de un procedimiento para copias
2 D 3 3 4 Se dispone de mecanismos de auditoria
2 D 3 4 _ Se dispone de normativa de retencion de datos
2 2 D I _ _ Proteccion de la integridad
2 D I 1 _ Se dispone de normativa para la proteccion de la integridad
2 D I 2 _ Se dispone de procedimientos para la proteccion de la integridad
2 D I 3 ? Mecanismos de integridad
2 2 D 5 _ _ Proteccion de la confidencialidad
2 D 5 C _ Cifrado de la informacion
2 D 5 C 1 Se dispone de normativa relativa al uso de cifra
2 D 5 C 2 Se dispone de procedimientos relativos al cifrado de informacion
2 D 5 C 3 Se han designado responsables
2 D 5 C 4 Mecanismos de cifrado
2 D 5 2 _ Limpieza de documentos publicados
2 D 5 2 1 Se elimina notas y comentarios
2 D 5 2 2 Se elimina la informacion de versiones previas
2 D 5 2 3 Se elimina Meta-datos
2 D 5 3 _ Marcado de la informacion
2 D 5 3 1 Marcado visibles a efectos disuasorios
2 D 5 3 2 Marcado a efectos de deteccion y persecusion
2 2 D 6 TS _ _ Fechado electronico (time stamping)

2 D 6 TS 1 _ Se dispone de fechado electronico
2 D 6 TS 1 1 Se tienen en cuenta los requisitos de no repudio
2 D 6 TS 1 2 Se tienen en cuenta los requisitos de custodia de evidencias
2 D 6 TS 1 3 Se definen roles y responsabilidades
2 D 6 TS 1 4 Se tienen en cuenta los requisitos deproteccion para los mecanismos criptograficos
2 D 6 TS 1 5 Se tienen en cuenta los requisitos de control: Registro y auditoria
2 D 6 TS 1 6 Se dispone de normativa de adquisicion de productos o contratacion de servicios
2 D 6 TS 1 7 Se tienen en cuenta los requisitos de interoperabilidad: actuales y previsiones futuras
2 D 6 TS 2 _ Se dispone de procedimientos para las tareas de fechado
2 D 6 TS 2 1 procedimiento de fechado
2 D 6 TS 2 2 Procedimiento de verificacion defecha
2 D 6 TS 3 _ Se han designado responsables
2 D 6 TS 4 _ Se garantiza la eficacia probatoria del sello de tiempo
Se garantiza la disponibilidad de los certificados correspondientes para cuando haya que
2 D 6 TS 4 1 validar el fechado
Se garantiza la disponibilidad de los datos de verificacion u validacion correspondientes
2 D 6 TS 4 2 para cuando haya que validad el fechado
2 D 6 TS 5 _ Los sellos de tiempo se renuevan regularmente
2 D 6 TS 6 _ Mecanismo de fechado electronico
2 D 6 TS 6 1 Se utiliza firma electronica de la autoridad de fechado (iso 18014-2/1/RCF 3161)
2 D 6 TS 6 2 Se utiliza un codigo MAC (ISO18014-2/2)
2 D 6 TS 6 3 Se utiliza registro enlazados(linked) (iso 18014-3)
2 D 6 TS 6 4 Se utiliza un registro de cofianza(ISO 18014-2/3)
2 D 6 TS 6 5 Se utiliza un provedor externo
2 D 6 TS 7 _ Se revisan regularmente las vulnerabilidades de los algoritmos
2 D 6 TS 8 _ Se emplean productos o servicios certificados o acreditados
1 1 3 S
[S] Protección de los Servicios
2 3 S 1 _ _ Uso de los servicios
3 S 1 1 _ Se dispone de normativa relativa al uso de los servicios
3 S 1 2 _ Se dispone de un registro de servicios a usuarios
3 S 1 3 _ Uso del correo electronico (e-mail)
3 S 1 3 1 Se dispone de normativa de uso
3 S 1 3 2 Se detecta casos de uso inaceptable
3 S 1 3 3 Se verifica regularmente que se cumple la politica
3 S 1 3 4 Se forma a los usuarios en el uso de los servicios
3 S 1 3 5 Se dispone de un procedimiento de actuacion en caso de incumplimiento
3 S 1 3 6 Se aplica medidas disciplinarias en caso de incumplimiento
3 S 1 3 7 Proteccion de la informacion
3 S 1 3 8 Medidas frente a la recepcion de spam
3 S 1 3 9 Medidas frente a codigo dañino en los clientes de correo
3 S 1 3 a Software de prestacion del servicio
3 S com
1 internet
_ Navegacion web
3 S com
1 internet
1 Se dispone de normativa de uso
3 S com
1 internet
2 Herramienta de monitorizacion del trafico
3 S com
1 internet
3 Herramienta de control de contenidoscon filtros actualizados
3 S com
1 internet
4 Se registra la navegacion web
3 S com
1 internet
5 Se han instalado herramientas anti spyware
3 S com
1 internet
6 Se deshabilitan las "cookies"en los navegadores
3 S com
1 internet
7 Se controla la ejecucion de codigo movil (ej applets)
3 S com
1 internet
8 Software de prestacion del servicio
2 3 S TW _ _ Teletrabajo
3 S TW 1 _ Se han designado al responsable de la administracion del servicio
3 S TW 2 _ Se dispone de normativa de uso
3 S TW 3 _ Se forma a los usuarios en el uso de los servicios
3 S TW 4 _ Se detectan casos de uso inaceptable
3 S TW 5 _ Se verifica regularmente que se cumple la politica
3 S TW 6 _ Se dispone de procedimientos para gestion del teletrabajo
3 S TW 7 _ Se aplican medidas disciplinarias en caso de incumplimiento
3 S TW 8 _ Se requiere autorizacion previa
3 S TW 9 _ Estudio de las caracteristicas especificas del emplazamiento
2 3 S VOIP _ _ Voz sobre IP

3 S VOIP 1 _ Se requiere autorizacion previa para el uso de VoIP
3 S VOIP 2 _ Se monitorizan en uso de VoIP
3 S VOIP 3 _ Se separan redes LAN para voz y datos (VLAN)
3 S VOIP 4 _ Autenticacion entre dispositivos
3 S VOIP 5 _ Proteccion criptografica
2 3 S 2 _ _ Prestacion de los servicios

3 S 2 1 _ Se dispone de un inventario de servicios
3 S 2 cont _ Aseguramiento de la disponibilidad
3 S 2 start _ Aceptacion y puesta de operación
3 S 2 SC _ Se aplican perfiles de seguridad
3 S 2 op _ Explotacion
3 S 2 CM _ Gestion de cambios (mejora y sustituciones)
3 S 2 end _ Desmantelamiento
3 S 2 www _ Proteccion de servicios y aplicaciones web
3 S 2 email _ Proteccion de correos electronicos
3 S 2 a _ Seguridad de comercio electronico
3 S 2 b _ Proteccion del intercambio electronico de documentos (EDI)
3 S 2 dir _ Proteccion del directorio
3 S 2 dns _ Proteccion del servidor de nombres de dominio(DNS)
3 S 2 e _ Prestacion de servicios de insfraestructura de clave publica(CSP)
2 3 S 3 _ _ Servicios subcontratados
3 S 3 1 _ Aspectos generales
3 S 3 1 1 Se dispone de un registro de servicios subcontratados
3 S 3 1 2 Se requiere aprobacion previa para el uso de servicios externos
3 S 3 1 3 Se identifica las aplicaciones sensibles o criticas que deben retener la organización
3 S 3 1 4 Se identifican los riesgos derivados de depender de un proveedor externo
4 S 4 2 _ Contratos de prestacion de servicios
4 S 4 2 1 Se define la politica aplicable sobre seguridad de la informacion
4 S 4 2 2 Constan las obligaciones de todas las partes
4 S 4 2 3 Se incluyen los requisitos de seguridad
Se define y se incorpora al contrato el procedimiento para medir el cumplimiento de las
4 S 4 2 4 medidas de seguridad
4 S 4 2 5 IPR: Se comtemplan los temas relativos a propiedad intelectual
4 S 4 2 6 Se contempla la proteccion de la informacion de carácter personal
4 S 4 2 7 Se establecen los terminos para la implicacion de terceros (subcontratistas)
4 S 4 2 8 Se describen los servicios disponibles
4 S 4 2 9 Se definen las responsabilidades sobre instalacion y mantenimiento de HW y SW
4 S 4 2 a Se definen las responsabilidades en la supervision del cumplimiento del contrato
5 S 5 3 _ Operación
5 S 5 3 1 Se analiza continuamente el nivel de riesgo
5 S 5 3 2 Se establecen controles para proteger la informacion
5 S 5 3 3 Se activan los servicios de registro de actividad
5 S 5 3 4 Se establecen controles de proteccion fisica
5 S 5 3 5 Se establecen controles de monitorizacion y verificacion del rendimiento
Se definen responsabilidades y procedimientos para notificar y gestionar los incidentes de
5 S 5 3 6 seguridad
5 S 5 3 7 Se definen procedimientos para notificar e investigar los incidentes y fallos de seguridad
5 S 5 3 8 Se definen formatos y medios de reporte
5 S 5 3 9 Se establece un procedimiento de escalado para la resolucion de incidentes
5 S 5 3 a Se establece un protocolo especifico de reaccion frente a codigo dañino
5 S 5 3 b Se establecen previsiones para trslados de personal cuando sea oportuno
5 S 5 3 c Se forma a los administradores y usuarios en los metodos y procedimientos de seguridad
6 S 6 4 _ Gestion de cambios
6 S 6 4 1 Se establece un protocolo formal para la modificacion de los servicios prestados
Se establece un protocolo formal para la gestion de cambios realizados en los sistemas
6 S 6 4 2 del proveedor
7 S 7 5 _ Autenticacion del servidor
7 S 7 5 1 Se autentica el servidor antes de transferir informacion alguna
7 S 7 5 2 Mecanismo de autenticacion
7 S 7 5 3 Proteccion de datos y software de autenticacion
7 S 7 5 4 Se toman medidas para impedir el secuestro de sessiones establecidas
8 S 8 6 _ Continuidad de operaciones
8 S 8 6 1 Se analizan las implicaciones para la cotinuidad del negocio
8 S 8 6 2 Se establece un protocolo de actuacion en caso de contingencias
8 S 8 6 3 Se dispone de medios alternativos
Los medios alternativos estan sujetos a las mismas garantias de proteccion que los
8 S 8 6 4 medios habituales
9 S 9 7 _ Desmantelamiento
9 S 9 7 1 Se requiere autorizacion previa
9 S 9 7 2 Se estudia el impacto en el negocio
9 S 9 7 3 Se planifica de forma que minimice la interrupcion del servicio
9 S 9 7 4 Destruccion de la informacion en el proveedor
9 S 9 7 5 Desactivacion del servicio por personal autorizado
9 S 9 7 6 Se actualizan todos los procedimientos de produccion afectados
9 S 9 7 7 Se actualizan todos los procedimientos de recuperacion afectados
1 1 4 SW
[SW] Protección de las Aplicaciones Informáticas (SW)
2 4 SW 1 _ _ Se disponde de un inventario de de aplicaciones
4 SW 1 1 _ Se dispone de un registro de aplicaciones
4 SW 1 2 _ Se dispone de un registro de software de base
4 SW 1 3 _ Se dipone de un registro de sistemas operativos
4 SW 1 4 _ Se identifica el propietario (persona responsable)
4 SW 1 5 _ El inventario se actualiza regularmente
2 4 SW 2 _ _ Se dispone de normativa relativa a las apliaciones

4 SW 2 1 _ Se dispone de normativa sobre el uso autorizado de las aplicaciones
4 SW 2 2 _ Se dispone de normativa para la transferencia de SW a otros (organizaciones externas)
2 4 SW 3 _ _ se dispone de procedimientos de uso de aplicaciones

4 SW 3 1 _ Uso rutinario
4 SW 3 2 _ Procedimientos especificos de seguridad
4 SW 3 3 _ Actualizacion en caso de funcionamiento anomalo
2 4 SW 4 _ _ Se protegen los derechos de propiedad intelectual de las aplicaciones

4 SW 4 1 _ Se dispone de normativa relativa al cumplimiento de los derechos
4 SW 4 2 _ Se dispone de los documentos que acreditan la propiedad
4 SW 4 3 _ Se dispone de un procedimiento para copias
4 SW 4 4 _ Se controla el numero maximo de usuarios permitidos
4 SW 4 5 _ Se controla la instalacion de software autorizado y productos con licencia
4 SW 4 6 _ Se dispone de mecanismos de auditoria
2 4 SW 5 _ _ Copias de seguridad (backup) (SW)

4 SW 5 1 _ Se dispone de procedimientos para realizar copias de seguridad
4 SW 5 1 1 Procedimientos de copia
4 SW 5 1 2 Procedimiento de restauracion
4 SW 5 1 3 Procedimiento de retencion de copias de seguridad
4 SW 5 1 4 Procedimientos de destruccion de copias de seguridad
4 SW 5 2 _ Se hacen copias de las aplicaciones criticas para el negocio
4 SW 5 3 _ Se hacen copias de los sistemas operativos en explotacion
4 SW 5 4 _ Las copias de seguridad se protegen de acuerdo al SW que contienen
4 SW 5 5 _ Regularmente se verifica que las copias pueden ser restauradas correctamente
4 SW 5 6 _ Las copias de seguridad se almacenan en lugares alternativos
2 4 SW 7 _ _ Puesta en produccion
4 SW 7 1 Se dispon de normativa de paso a operaciones /produccion
4 SW 7 2 Se dispone de procedimientos de paso a operación /produccion
4 SW 7 3 Se requiere autorizacion previa
4 SW 7 4 Se revisa la correccion y completitud de la documentacion
4 SW 7 5 Se verifica el funcionamiento de los controles de seguridad
4 SW 7 6 Se verifica el funcionamiento de los registros de actividad
4 SW 7 7 Se requiere haber pasado las pruebas de aceptacion
2 4 SW 8 _ _ Se aplican perfiles deseguridad
4 SW 8 1 _ Se reduce las opciones a las mismas necesarias
4 SW 8 2 _ Se elimina, o modifican, las cuentas estandar de usuario
4 SW 8 3 _ Se elimina, o modifica, las cuentas estandar de administracion
4 SW 8 4 _ Solo los administradores autorizados pueden modificar la configuracion
4 SW 8 5 _ Las funciones activadas se configuran de forma segura
4 SW 8 6 _ Se aplica la regla de seguridad por defecto
4 SW 8 7 _ Se activan los servicios de registro de uso
4 SW 8 8 _ La aplicación del perfil se revisa periodicamente
2 4 SW 9 _ _ Explotacion / produccion
4 SW 9 1 _ Se dispone de norativa relativa al software en produccion
4 SW 9 2 _ Los sistemas de produccion no contienen herramientas de desarrollo
4 SW 9 3 _ Se controla la integridad del codigo ejecutable
4 SW 9 3 1 Se chequea regularmente que le ejecutable no se ha modificado
4 SW 9 3 2 Se ejecuta desde soportes de solo lectura
EL sistema emplea diferentes tecnologias de componentes para evitar puntos unicos de
4 SW 9 4 _ fallo tecnologico
4 SW 9 5 _ Aislamiento de sistema que maneje asuntos delicados
4 SW 9 5 1 Se ha identificado el nivel de sensibilidad de la informacion
4 SW 9 5 2 Se identifican los recursos compratidos y se erquier autorizacion del responsable
4 SW 9 5 3 Las aplicaciones criticas se instalan en maquinas dedicadas
4 SW 9 6 _ Seguridad de las aplicaciones
4 SW 9 6 1 Validacion de los datos de entrada
4 SW 9 6 2 Se verifica la consistencia interna de los datos
4 SW 9 6 3 Validacion de los datos de salida
4 SW 9 7 _ Seguridad de los ficheros de datos de la aplicación
4 SW 9 7 1 Se asegura la confidencialidad
4 SW 9 7 2 Se asegura la integridad
4 SW 9 7 3 Se asegura la autenticidad
4 SW 9 7 4 Se realiza copias de seguridad (backups)
4 SW 9 8 _ Se protegen los ficheros de configuracion
4 SW 9 9 _ Se protegen los ficheros del sistema
4 SW 9 a _ Se controla la ejecucion de codigo movil (ej applets)
4 SW 9 a 1 Se imponen restricciones en el uso de codigo propio
4 SW 9 a 2 Se imponen restricciones en el uso de codigo externo
4 SW 9 b _ Ejecucion de programas colaborativos (ej. Teleconferencias)
4 SW 9 b 1 Se imponen restricciones en el uso de programas propios
4 SW 9 b 2 Se imponen restricciones en el uso de codigo externos
4 SW 9 c _ Seguridad de los mecanismos de comunicación entre procesos
4 SW 9 c 1 Se asegura la confidencialidad
4 SW 9 c 2 Se asegura la integridad
4 SW 9 c 3 Se asegura la autenticidad
4 SW 9 c 4 Encuanto es posible, se limitan los almacenes temporales
4 SW 9 d _ Regularmente se realiza un analisis de vulnerabilidades, y se actuan en consecuencia
4 SW 9 e _ Formacion del personal en configuracion de aplicaciones
2 4 SW a _ _ Cambios (Actualizaciones y mantenimientos)

4 SW a 1 _ Se dispone de una politica
4 SW a 1 1 Se han designado responsables para auorizar un cambio
4 SW a 1 2 Se han designado responsables para realizar cambios
Se han designado responsables para abordar y, en su caso recuperar, la situacion inicial
4 SW a 1 3 antes de un cambio
4 SW a 2 _ Se dispone de procedimientos para ejecutar cambios
4 SW a 2 1 Se sigue un procedimiento formal de autorizacion de cambios
4 SW a 2 2 Se comunican los detalles del cambio a todo el personal afectados
4 SW a 3 _ Se hace un seguimiento permanente de actualizaciones de parches
4 SW a 4 _ Evaluacion del impacto y riesgo residual tras el cambio
4 SW a 4 1 Se evalua el impacto en la prestacion de los servicios
4 SW a 4 2 Se evalua el impacto en la confidencialidad de los datos
4 SW a 4 3 Se evalua el impacto en la integridad de los datos
4 SW a 4 4 Se evalua em impacto en los controles de monitorizacion
4 SW a 5 _ Se priorizan las actualizaciones encaminadas a corregir riesgos elevados
4 SW a 6 _ Se mantienen en todo momento la regla de "funcionalidad minima"
4 SW a 7 _ Se mantiene en todo momento la regla de "seguridad por defecto"
Se verifica que el cambio no inhabilita los mecanismos de deteccion, monitorizacion y
4 SW a 8 _ registro
4 SW a 9 _ Se planifica el cambio de forma que minimice la interrupcion del servicio
4 SW a a _ Control de versiones de todas actualizacion del software
4 SW a b _ Realizacion por personaldebidamente autorizado
Se retienen copias de las versiones anteriores de software como medida de precaucion
4 SW a c _ para contingencias
4 SW a d _ Se retienen copias de las versiones anteriores de configuracion
4 SW a e _ Se prueba previamente en un equipo que no este en produccion
4 SW a f _ Pruebas de regresion
4 SW a g _ Se registra toda actualizacion de SW
4 SW a h _ Documentacion
4 SW a h 1 Se documentan todos los cambios
4 SW a h 2 Se actualiza la documentacion del sistema
4 SW a h 3 Se destruye o se archiva la documentacion anterior
4 SW a i _ Se actualizan todos los procedimientos de produccion afectados
4 SW a j _ Se actualizan todos los procedimientos de recuperacion afectados
2 4 SW b _ _ Terminacion desmantelamiento
4 SW b 1 _ Se actualizan todos los procedimientos de recurperacion afectados
1 1 5 HW
[HW] Protección de los Equipos Informáticos (HW)
2 5 HW 1 _ _ Se disponde de un inventario de equipos
5 HW 1 1 _ Se disponede un registro de equipos ejenos
5 HW 1 2 _ Se dispone de un registro de equipos ajenos
5 HW 1 3 _ Se identifica el propietario (persona responsable)
5 HW 1 4 _ El inventario se actualiza regularmente
5 HW 1 5 _ Se registra los traslados internos
2 5 HW 2 _ _ Se dispone de normativa relativasobre el uso correcto de los equipos
2 5 HW 3 _ _ se dispone de procedimientos de uso del equipamiento

5 HW 3 1 _ Uso rutinario
5 HW 3 2 _ Procedimientos especificos de seguridad
5 HW 3 3 _ Actuacion en caso de funcionamiento anomalo
2 5 HW start _ _ puesta en produccion

5 HW start 1 _ Se dispone de normativa de paso a operación /produccion
5 HW start 2 _ Se dispone de procedimientos de paso a operación /produccion
5 HW start 3 _ Se requiere autorizacion previa
5 HW start 4 _ Se revisa la correccion y completitud de la documentacion
5 HW start 5 _ Se verifica el funcionamiento de los controles de seguridad
5 HW start 6 _ Se requiere haber pasado las pruebas de aceptacion
2 5 HW sc _ _ Se aplican perfiles de seguridad

5 HW sc 1 _ Solo los administradores autorizados pueden modificar la configuracion
5 HW sc 2 _ re reducen las opciones a las minimas necesarias
5 HW sc 3 _ Las funciones activadas se configuran de forma segura
5 HW sc 4 _ Se reduce las opciones a las minimas necesarias
5 HW sc 5 _ Los dispositivos activados se coniguran de forma segura
5 HW sc 6 _ Se aplica la regla de "seguridad por defecto"
5 HW sc 7 _ Se retiran los componentes que no sean necesarios
5 HW sc 8 _ Se activan los servicios de registro de actividad
5 HW sc 9 _ La aplicación del perfil se revisa periodicamente
2 5 HW7 cont _ _ Aseguramiento de la disponibilidad

5 HW7 cont 1 _ Se dimensiona holgadamente y se planifica la adquisicion de repuestos
5 HW7 cont 2 _ El mantenimiento periodico se ajusta a las especificaciones de los fabricantes
5 HW7 cont 3 _ EL mantenimiento lo realiza personal debidamente autorizado
5 HW7 cont 4 _ Se ejecutan regularmente las rutinas de diagnostico
5 HW7 cont 5 _ Se monitorizan fallos e incidentes
5 HW7 cont 6 _ Se registran los fallos, reales o sospechados y de mantenimiento preventivo y correctivo
5 HW7 cont 7 _ Se hacen copias de seguridad de la configuracion
5 HW7 cont 8 _ Se hacen copias de seguridad de las claves de seguridad
5 HW7 cont 9 _ Opciones sustitutorias
5 HW7 cont 9 1 Equipo alternativo
5 HW7 cont 9 2 Equipo alternativo preconfigurado con replicacion de discos sincrona o asincrona
5 HW7 cont 9 3 Sistema redundante propio en centro alternativo
Contrato de prestacion de servicio con el proveedor del sistema, de acuerdo a los
5 HW7 cont 9 4 requisitos del negocio
5 HW7 cont a _ Alta disponibilidad
5 HW7 cont a 1 Equipo de alta disponibilidad con sistema de almacenaiento RAID
5 HW7 cont a 2 Cluster con sistema de almacenamiento RAID
5 HW7 cont a 3 Redundancia de los elementos criticos del "host"
Los medios alternativos estan sujetos a las mismas garantias de proteccion que los
5 HW7 cont b _ habituales
Se establecen un tiempo maximo para que los equipos alternativos entren en
5 HW7 cont c _ funcionamiento
2 5 HW 7 _ _ Contenedores Criptograficos( HW, SW virtual)

5 HW 7 1 _ Se dispone de normativa relativa a los controles criptograficos
5 HW 7 1 1 Se tienen en cuenta los requisitos de identificacion y autenticacion
Se tienen en cuenta los requisitos de aplicabilidad (confidencialidad, integridad,
5 HW 7 1 2 autenticidad y no repudio)
5 HW 7 1 3 Se tienen en cuenta los requisitos legales y contractuales
5 HW 7 1 4 Se definen roles y responsabilidades
5 HW 7 1 5 Se tienen en cuenta los requisitos deproteccion para los mecanismos criptograficos
Se tienen en cuenta los requisitos de control de los mecanismos criptograficos (registro,
5 HW 7 1 6 contabilidad, auditoria, etc)
5 HW 7 1 7 Se dispone de normativa de adquisicion
5 HW 7 1 8 Se tienen en cuenta los requisitos de interoperabilidad: actuales y previsiones futuras
5 HW 7 2 _ Se han designado responsabilidades
5 HW 7 3 _ Mecanismos de integridad
5 HW 7 4 _ Mecanismos de cifrado
5 HW 7 4 1 Opciones
5 HW 7 4 2 Se revisan regularmente las vulnerabilidades de los algoritmos
5 HW 7 4 3 Se emplean productos o servicios certificados o acreditados
2 6 HW 8 _ _ Prevencion de emanaciones electromagneticas (TEMPEST EQUIPMENT ZONING)
2 5 HW 9 _ _ Instalacion
5 HW 9 1 _ El equipo se instala atendiendo a las especificaciones del fabricante
5 HW 9 2 _ Se evita que por acceder a este equipo se abra el acceso a otros
5 HW 9 3 _ Se evita el acceso visual a patallas y monitores por personas no autorizadas
2 5 HW op _ _ Operación
5 HW op 1 _ Proceso de autorizacion de recursos para el tratamiento de la informacion
5 HW op 1 1 Los nuevos medios deben tener la aprobacion adecuada, autorizando su proposito y uso
5 HW op 1 2 Se comprueba que son compatibles con los demas dispositivos del sistemas
Se requiere autorizacion previa para el uso de medios informaticos personales para el
5 HW op 1 3 tratamiento de lainformacion de la organización
EL sistema emplea diferentes tecnologias de componentes para evitar puntos unicos de
5 HW op 2 _ fallo tecnologico
5 HW op 3 _ Proteccion fisica de los equipos
5 HW op 3 1 Los equipos se distruyen adecuadamente
Los elementos que requieren especial proteccion se aislan para reducir el nivel general de
5 HW op 3 2 proteccion requerido
5 HW op 3 3 Se controla el acceso a los equipos de presentacion (impresora, pantallas, etc)
5 HW op 3 4 Se controla el acceso a los dispositivos moviles y portatiles
5 HW op 3 5 Los elementos faciles de llevar se encadenan
5 HW op 3 6 El equipamiento se protege convenientemente cuando no se emplea
5 HW op 3 7 Los dispositivos moviles o portatiles se almacenan en contenedores de seguridad
5 HW op 4 _ Seguridad del equipamiento de oficina
Se identifican las vulnerabilidades en el uso del equipamiento de oficina(fotocopiadoras,
5 HW op 4 1 FAX, etc)
Se dispone de normativa sobre el manejo de informacion compartida, e implantacion de
5 HW op 4 2 medidas
Se dispone de normativa de manejo de informacion sensible en funcion de la seguridad
5 HW op 4 3 que proporcionan los medios
Se restringen las aplicaciones del negocio que pueden ser manejadas por cada
5 HW op 4 4 equipamiento de oficina
5 HW op 4 5 Se restringe el acceso a la informacion diaria
5 HW op 4 6 Se ha identificado el personal autorizado de acceder al sistema(contratistas, socios, etc)
5 HW op 4 7 Se ha restringido las localizaciones desde donde se puede acceder al sistema
5 HW op 4 8 La asignacion de permisos y recursos se realiza en funcion de roles de usuarios
5 HW op 4 9 Se dispone de procedimiento de gestion y recuperacion ante incidentes
5 HW op 5 _ Seguridad de los equipos fuera de las instalaciones
Se requiere autorizacion previa para el uso de equipos para tratamiento de informacion
5 HW op 5 1 fuera de los locales de la organización
5 HW op 5 2 Se identifica a las personas autorizacion
5 HW op 5 3 Registro
5 HW op 5 4 Se dispone de normativa de uso de equipos fuera de las instalaciones
5 HW op 5 5 El activo se protege tecnicamente antes de su salida
Se proporciona una seguridad equivalente a la de los equipos instalados dentro para el
5 HW op 5 6 mismo proposito
5 HW op 5 7 Dispositivos criptograficos (HSM)
5 HW op 5 8 Formacion del personal en configuracion de equipos
5 HW op 6 _ Proteccion de los dispositivos de red
5 HW op 6 1 Se requiere autorizacion previa para su utilizacion
5 HW op 6 2 Actualizacion regular por el fabricante / proveedor
Todos los terminales conectados estan univocamente identificados (direcciones MAC, IPS
5 HW op 6 3 estatica, etc)
5 HW op 6 4 Los usuarios no pueden alterar la identificaciondel equipo
5 HW op 6 5 Los dispositivos de identifican y autentican antes de conectarse al sistema
5 HW op 6 6 Se deshabilitan todos los servicios o utilidades no empleados
5 HW op 6 7 Se controla el acceso a las consolas de administracion
5 HW op 6 8 Las sesiones inactivas se desconectan automaticamente
5 HW op 6 9 Se eliminan, o se modifican, las cuentas y contraseñas preconfiguradas
5 HW op 6 a Se prohibe la comparticion de cuentas de administracion
5 HW op 6 b Administracion remota
5 HW op 7 _ Dispositivos criptograficos (HSM)
5 HW op 7 1 Se tienen en cuenta los requisitos legales y contractuales
5 HW op 7 2 Los dispositivos se identifican y autentican antes de conectarse al sistema
5 HW op 7 3 Autenticacion segura previa al acceso a los servicios criptograficos
5 HW op 8 _ Formacion del personal en configuracion de equipos
2 5 HW CM _ _ Cambios (actuliazaciones y mantenimiento)

5 HW CM 1 _ Se dispone de un politica
5 HW CM 1 1 Se han designado responsables para autorizar un cambio
5 HW CM 1 2 Se han designado responsables para realizar cambios
Se han designado responsables para abordar y, en su caso recuperar, la situacion inicial
5 HW CM 1 3 antes de un cambio
5 HW CM 2 _ Se dispone de procedimientos para ejecutar cambios
5 HW CM 2 1 Se sigue un procedimiento formal de autorizacion de cambios
5 HW CM 2 2 Se comunican los detalles del cambio a todo el personal afectados
5 HW CM 3 _ Se sigue las recomendaciones del fabricante de proveedor
5 HW CM 4 _ Se hace un seguimiento permanente de actualizaciones
5 HW CM 5 _ Evaluacion del impacto potencial del cambio
5 HW CM 5 1 Se evalua el impacto en la prestacion de los servicios
5 HW CM 5 2 Se evalua el impacto en la confidencialidad de los datos
5 HW CM 5 3 Se evalua el impacto en la integridad de los datos
5 HW CM 5 4 Se evalua el impacto en los controles de monitorizacion
5 HW CM 6 _ Se priorizan las actuaciones encaminadas a corregir riesgos elevados
5 HW CM 7 _ Se mantiene en todo momento la regla de "funcionalidad minima"
5 HW CM 8 _ Se mantiene en todo momento la regla de "seguridad por defecto"
5 HW CM 9 _ registro
5 HW CM a _ Se planifica el cambio de forma que minimice la interrupcion del servicio
5 HW CM b _ Realizacion por personal debidamente autorizado
5 HW CM c _ Se retienen copias de las versiones anteriores de configuracion
5 HW CM d _ Se prueba previamente en un equipo que no este en produccion
5 HW CM e _ Pruebas de regresion
5 HW CM f _ Todos los cambios quedan registrados
5 HW CM g _ Documentacion
5 HW CM g 1 Se documentan todos los cambios
5 HW CM g 2 Se actualiza la documentacion del sistema
5 HW CM g 3 Se destruye o se archiva la documentacion anterior
5 HW CM h _ Control de versiones de todo cambio de hw
5 HW CM i _ Se actualizan todos los procedimientos de produccion afectados
5 HW CM j _ Se actualizan todos los procedimientos de recuperacion afectados
2 5 HW end _ _ Terminacion desmantelamiento

5 HW end 1 _ Se dispone de normativa para la retirada de equipamiento (hw) de produccion
2 5 PCD _ _ Informatica movil

Se mantiene un inventaro de equipos moviles con identificacion de responsable de cada
5 HW PCD 1 _ uno
5 HW PCD 2 _ Se requiere autorizacion previa antes de poder usarlos
Cada equipo se marca con el nivel maximo de informacion que puede almacenar o
5 HW PCD 3 _ procesar
5 HW PCD 4 _ Se han identificado los resgos correspondientes
5 HW PCD 5 _ Se han determinado las medidas y precauciones a tomar
5 HW PCD 5 1 Se ha establecido en que entornos se puede usar el equipo y como
5 HW PCD 5 2 Se ha establecido a que redes se puede conectar el equipo y como
5 HW PCD 5 3 Se ha establecido que perifericos se pueden conectar el equipo y como
5 HW PCD 5 4 Los dispositivos portatiles se guardan en lugar seguro cuando no estan en uso
5 HW PCD 6 _ Se sigue un plan de concienciacion sobre los riesgos y las medidas pertinentes
5 HW PCD 7 _ Se sigue un plan de formacion sobre las medidas pertinentes
5 HW PCD 8 _ Controles aplicables
5 HW PCD 8 1 Se han determinado las medidas para la proteccion fisica del dispositivo
5 HW PCD 8 2 Se instalan detectores de violacion
5 HW PCD 8 3 Se han establecido los requesitos sobre control de acceso
5 HW PCD 8 4 Se utiliza un sistema de defensa perimetral (cortafuegos)
5 HW PCD 8 5 Se han establecido los requisitos de cifrado
5 HW PCD 8 6 Se han establecido los requisitos sobre copias de seguridad (backups)
5 HW PCD 8 7 Se instala software antivirus y se mantiene actualizado
5 HW PCD 9 _ Guias para los usuarios
5 HW PCD 9 1 Normas y recomendaciones para su conexión a redes
5 HW PCD 9 2 Normas y recomendaciones para su uso en lugares publicos
5 HW PCD 9 3 Normas y recomendaciones para su almacenamiento cuando no se usa
5 HW PCD a _ Gestion de incidentes en informatica movil
5 HW PCD a 1 Se dispone de un canal para reporte de incidentes
5 HW PCD a 2 Se dispone de mecanismos para reaccion urgente a incidentes
5 HW PCD a 3 Se dispone de procedimientos para gestion de incidentes
2 5 HW e _ _ Maquinas virtuales
5 HW e 1 _ Para la creacion de nuevas maquinas virtuales se requiere autorizacion previa
5 HW e 2 _ Se controla el hypervisor
5 HW e 2 1 Se controla el acceso al hyperviror
5 HW e 2 2 Se controla el acceso a recursos compartidos
5 HW e 3 _ Se controla el acceso a las imágenes de las maquinas virtuales
5 HW e 4 _ Se protegen las copias de seguridad de las imágenes de las maquinas virtuales
5 HW e 5 _ Notuales se instalan sobre el mismo equipo anfitrion servidores y clientes virtuales
No se instalan sobre el mismo equipo anfitrion equipos de frontera y equipos internos (ej.
5 HW e 6 _ Cortafuegos, pasarelas, etc)
5 HW e 7 _ Retirada de servicio
5 HW e 7 1 Se registra la retirada del servicio
Se aplican al soporte de la imagen virtual los mecanismos previstos para soportes de
5 HW e 7 2 informacion
2 5 HW print _ _ Reprodiccion de documentos

5 HW print 1 _ Control de los dispositvos de reproduccion (fotocopiadoras, Fax, etc)
5 HW print 2 _ Asignacion de cuentas de usuario
Destruccion o borrado seguro de las partes de los dispositivos de reproduccion que
5 HW print 3 _ puedan contener informacion previamente a su sustitucion
5 HW print 4 _ Se requiere autorizacion previa para realizar copias, y numeracion de las mismas
Se registra y se revisa la actividad de los dispositivos de reproduccion (numero de copias,
5 HW print 5 _ usuarios que las han realizado, etc)
2 5 HW pabx _ _ Proteccion de la centralita telefonica (PABX)

5 HW pabx 1 _ Se ha designado el responsable de la seguridad de la centralita
5 HW pabx 2 _ Se monitoriza eltrafico de datos a traves de la centralita
5 HW pabx 3 _ Se controla el acceso logico
Se requiere identificacion y autenticacion del operador para realizar las tareas de
5 HW pabx 3 1 mantenimiento
5 HW pabx 3 2 Se eliminan o bloquean las cuentas estandar
5 HW pabx 3 3 Solo los administradores autorizados pueden modificar la configuracion
5 HW pabx 3 4 Se realiza copias de seguridad (backups) de la configuracion
5 HW pabx 3 5 Las copias de seguridad (backup) se protegen frente a accesos no auterizados
5 HW pabx 3 6 Se registran las activdades de administracion y operación
5 HW pabx 3 7 Se controla el mantenimiento remoto
5 HW pabx 4 _ Las cuentas de mantenimiento estan restrigidas
5 HW pabx 5 _ Se controla el acceso fisico
5 HW pabx 5 1 La centralita se instala en una dependencia con acceso controlado
5 HW pabx 5 2 La consola de operación se encuentra en una dependencia con acceso controlado
5 HW pabx 5 3 La impresora de infores se encurntra en una dependencia con acceso controlado
5 HW pabx 5 4 Los informes impresos se destruye cuando no se necesitan mas
5 HW pabx 6 _ Se verifican las nuevas versiones del software antes de entrar en produccion
2 5 HW h _ _ Voz, facsimil y video

Esta prohibido establecer de conersaciones confidenciales en lugares publicos o sin
5 HW h 1 _ adecuadas medidas de proteccion
Esta prohibido establecer de conersaciones confidenciales en lugares publicos o sin
5 HW h 2 _ adecuadas medidas de proteccion
Los usuarios estan concienciados y reciben formacion sobre el uso seguro de los
5 HW h 3 _ sistemas y recursos disponibles
5 HW h 4 _ Se controla el acceso a la memoria interna del equipo de fax
5 HW h 5 _ Se prohibe la programacion no autorizada del equipo de fax
5 HW h 6 _ Se proviene el envio de documentos a numeros equivocados
1 1 6 COM _ [COM] Protección de las Comunicaciones
2 6 COM 1 _ _ Se disponde de un inventario de servicios de comunicación

6 COM 1 1 _ Se dispone de un registro de servicios propios
6 COM 1 2 _ Se dispone de un registro de servicios ajenos
6 COM 1 3 _ Se identifica el propietario (persona responsable)
6 COM 1 4 _ El inventario se actualiza regularmente
2 6 COM 2 _ _ Se dispone de normativa para el uso correcto de las comunicaciones
2 6 COM 3 _ _ se dispone de procedimientos de uso de las comunicaciones

6 COM 3 1 _ Uso rutinario
6 COM 3 2 _ Procedimientos especificos de seguridad
6 COM 3 3 _ Actuacion en caso de funcionamiento anomalo
2 6 COM start _ _ Entrada en servicio

6 COM start 1 _ Se dispone de normativa de entrada en servicio
6 COM start 2 _ Se requiere autorizacion previa
6 COM start 3 _ Se revisa la correccion y completitud de la documentacion
6 COM start 4 _ Se verifica el funcionamiento de los controles de seguridad
6 COM start 5 _ Se verifica el funcionamiento de los registros de actividad
6 COM start 6 _ Se requiere haber pasado las pruebas de aceptacion
2 6 COM sc _ _ Se aplican perfiles de seguridad

6 COM sc 1 _ Se reducen las opciones a las minimas necesarias
6 COM sc 2 _ Se eliminan, o se modifican, las cuentas estardar de usuario
6 COM sc 3 _ Se eliminan, o se modifican, las cuentas estandar de administrador
6 COM sc 4 _ Solo los administradores autorizados pueden modificar la configuracion
6 COM sc 5 _ Los servicios actividaos se configuran de forma segura
6 COM sc 6 _ Se aplica la regla de seguridad por defecto
6 COM sc 7 _ Se activan los servicios de registro de actividad
6 COM sc 8 _ La aplicación del perfil se revisa periodicamente
2 6 COM cont _ _ Aseguramiento de la disponibilidad

6 COM cont 1 _ Se identifican y evitan "puntos unicos de fallo" (SPF-SINGLE POINT OF FAILURE)
6 COM cont 2 _ Se dimensiona holgadamente y se planifica la adquisicion de repuestos
6 COM cont 3 _ El mantenimiento periodico se ajusta a las especificaciones de los fabricantes
6 COM cont 4 _ Se monitorizan enlaces y dispositivos de red
6 COM cont 5 _ Se registran los fallos detectados, sean reales o sospechados
6 COM cont 6 _ Se registran las actuaciones de mantenimineto preventivo y correctivo
6 COM cont 7 _ Se realizan copoas de seguridad de la configuracion (backup)
6 COM cont 8 _ Se hacen copias de seguridad de las claves de autenticacion
6 COM cont 9 _ Se hacen copias de seguridad de las claves de descifrado
6 COM cont a _ Redundancia
Se dispone de coenxion redundante (mediante doble tarjeta de red) de los dispositivos
6 COM cont a 1 criticos
Redundancia de los enlaces con esquema activo pasivo, incluyeendo los dispositivos de
6 COM cont a 2 red
6 COM cont a 3 Redundancia de los enlaces con reparto de carga, incluyendo los dispositivos de red
Redundancia de los enlaces, con dispositivos de red tolerantes a fallo(doble CPU, doble
6 COM cont a 4 fuente de alimentacion, y doble interfaz de red)
6 COM cont a 5 Dispositivos de red tolerantes a fallos(doble CPU, doble fuente de alimentacion
Las medios alternativos estan sejetos a las mismas garantias de proteccion que los
6 COM cont b _ habituales
Se establece un tiempo maximo para que los equipos alternativos entren en
6 COM cont c _ funcionamiento
2 6 COM aut _ _ Autenticacion del canal

6 COM aut 1 _ Se requiere autorizacion previa
6 COM aut 2 _ Se verfica la identidad del usuario antes de entregarle el mecanismo de autenticacion
6 COM aut 3 _ Se autentica el origen de la conexión
6 COM aut 4 _ Mecanismos de autenticacion
6 COM aut 4 1 Algo que se conoce (el, contraseña)
6 COM aut 4 2 Certificadosoftware (criptografia de clave publica)
6 COM aut 4 3 2 factores: token + contraseña
6 COM aut 4 4 2 factores: token + certificado
6 COM aut 4 5 2 factores: contraseña de un solo uso (OTP) con token
6 COM aut 4 6 2 factores: contraseña de un solo uso (OTP) por canal separado
6 COM aut 5 _ Canal de autenticacion
6 COM aut 6 _ Se toman medidas para impedr el secuestro de sesiones establecido
2 6 COM I _ _ Proteccion de la integridad de los datos intercambiados

6 COM I 1 _ Mecanismos basados en MAC (codigo de autenticacion de mensaje)
6 COM I 2 _ Mecanismos basados en MAC con "hash" (HMAC) según FIPS 140-2
6 COM I 3 _ Mecanismos de hash
2 6 COM 9 _ _ Se toman medidas frente a la inyeccion de informacion espuria
2 6 COM C _ _ Proteccion criptografica de la confidencialidad de los dato intercambiados

6 COM C 1 _ Se dispone de normativas relativa al uso de controles cripttograficos
6 COM C 2 _ Se han designado responsables
6 COM C 3 _ Implantacion de los algoritmos
6 COM C 4 _ Mecanismos de cifrado (secreto compartido de cifra simetrica)
6 COM C 5 _ Se revisan regularmente las vulnerabilidades de los algoritmos
6 COM C 6 _ Se emplean algoritmos certificados/ acreditados
6 COM C 7 _ Se emplean productos o servicios ceritificados o acreditados
2 6 COM OP _ _ Operación
6 COM OP 1 _ Control de acceso a la red
6 COM OP 1 1 Se dispone de normativa de uso de los servicios de red
6 COM OP 1 2 Se requiere autorizacon para que medios y dispositivos tengan acceso a redes y servicios
6 COM OP 1 3 Acceso remoto
6 COM OP 1 4 Proteccion de los puertos de diagnostico remoto
6 COM OP 1 5 Autenticacion de nodos de la red
6 COM OP 1 6 Control del encaminamiento
6 COM OP 2 _ Seguridad de los servicios de red
6 COM OP 2 1 Se monitorizan los servicios de red
6 COM OP 2 2 Revsiones periodicas de la seguridad
6 COM OP 3 _ Se preve proteccion frente a analisis dee trafico
6 COM OP 4 _ Formacion del personal en configuracion de las comunicaciones
2 6 COM CM _ _ Cambios (actualizaciones y mantenimiento)

6 COM CM 1 _ Se dispone de una politica
6 COM CM 1 1 Se han designado responsables para autorizar un cambio
6 COM CM 1 2 Se han designado responsables para realizar cambios
Se han designado reponsables para abordar y, en su caso recuperar, la situacion inicial
6 COM CM 1 3 antes de un cambio
6 COM CM 2 _ Se dispone de procedimientos para ejecutar cambios
6 COM CM 2 1 Se sigue un procedimiento formal de autorizacion de cambios
6 COM CM 2 2 Se comunican los detalles del cambio a todo el personal afectados
6 COM CM 3 _ Se hace un seguimiento permanente de actualizaciones
6 COM CM 4 _ Evaluacion del impacto y riesgo residual tras el cambio
6 COM CM 4 1 Se evalua el impacto en la prestacion de los servicios
6 COM CM 4 2 Se evalua el impacto en la confidencialidad de los datos
6 COM CM 4 3 Se evalua el impacto en la integridad de los datos
6 COM CM 4 4 Se evalua el impacto en los controles de monitorizacion
6 COM CM 5 _ Se priorizan las actuaciones encaminadas a corregir riesgos elevados
6 COM CM 6 _ Se mantienen en todo momento la regla de "funcionalidad minima"
6 COM CM 7 _ Se mantienen en todo momento la regla de "seguridad por defecto"
6 COM CM 8 _ registro
6 COM CM 9 _ Se planifica el cambio de forma que minimice la interrupcion del servicio
6 COM CM a _ Realizacion por personal debidamente autorizado
6 COM CM b _ Se retienen copias de las versiones anteriores de configuracion
6 COM CM c _ Se prueba previamente en un equipo que no este en produccion
6 COM CM d _ Pruebas de reglesion
6 COM CM e _ Todas las actuaciones quedan registradas
6 COM CM f _ Documentacion
6 COM CM f 1 Se documentan todos los cambios
6 COM CM f 2 Se actualiza la documentacion del sistema
6 COM CM f 3 Se destruye o se archiva la documentacion anterior
6 COM CM g _ Se actualiza todos los procedimientos de produccion afectados
6 COM CM h _ Se actualiza todos los procedimientos de recuperacion afectados
2 6 COM end _ _ Desmantelamiento

6 COM end 1 _ Se dispone de normativa para la retirada de servicios de comunicaciones de produccion
2 6 COM wifi _ _ Seguridad (wifi)

6 COM wifi 1 _ Se requiere autorizacion previa para deplegar puntos de acceso(AP)
Al instalar un punto de acceso (AP) se tiene un cuenta el alcance de las señal para evitar
6 COM wifi 2 _ una exposicion grratuita a ataques
6 COM wifi 3 _ Se requiere autorizacon previa para la conexión de clientes
6 COM wifi 4 _ Se eliminan las claves por defecto en tarjetas y puntos de acceso antes de su despliege
6 COM wifi 5 _ Se desactivan los puertos y servicios no usados
6 COM wifi 6 _ Se deshabilitan los protocolos de gestion no esenciales
6 COM wifi 7 _ Se apliacan restricciones al protocolo SNMP en redes wireless
6 COM wifi 8 _ Se comprueba periodicamente los puntos de acceso( mediante broadcast o herramientas)
6 COM wifi 9 _ Se desactiva el modo de conexión ad-hoc en los dispositivos de usuario
6 COM wifi a _ Se autentican los dispositivos wireless (filtrado MAC, servidor de autenticacion, etc)
6 COM wifi b _ Se controlan las direccion IP
2 6 mobile _
COM _ Telefonia movil
6 mobile 1
COM _ Se asegura la confidencialidad
6 mobile 1
COM 1 Se emplean dispositivos que indiquen la ausencia de cifrado en la pantalla
6 mobile 1
COM 2 Se utiliza cifrado para los grupos cerrados de usuarios
6 mobile 2
COM _ Revision de la facturaciones detalladas en busca de numeros de telefono desconocido
6 mobile 3
COM _ Se verifica que todas las llamadas realizadas por el telefono se reflejan en la factura
6 mobile 4
COM _ Prevencon del uso en areas de seguridad
6 mobile 4
COM 1 Prohibicion de introduccion de telefonos moviles en las areas de seguridad
6 mobile 4
COM 2 Se emplean dispositivos pasivos de deteccion
6 mobile 4
COM 3 Se emplean dispositivos activos de deteccion
6 mobile 5
COM _ Los termianles se inspeccionan periodicamente para detectar manipuaciones
6 mobile 6
COM _ Se prohibe la conexión a ordenadores que manejen datos sensibles
6 mobile 7
COM _ Comunicacon inmediata de las sustracciones de tarjetas o terminales
6 mobile 8
COM _ Intercambio de terminales y tarjetas entre usuarios
6 mobile 9
COM _ Se evita la publicacion de los numeros telefonicos en guias
2 6 COM DS _ _ Segregacion de las redes en dominios

6 COM DS 1 _ Control de acceso
6 COM DS 1 1 La segregacion atiende a los requisitos de control de acceso
6 COM DS 1 2 Se controla el acceso de los usuarios de segmento
6 COM DS 1 3 Se controla la salida de informacion del segmento
6 COM DS 1 4 Se monitoriza el punto de conexión
6 COM DS 2 _ Los usuarios se segregan en domunios
6 COM DS 3 _ Segregacion de la red en dominios logicos
6 COM DS 3 1 Separacion mediante redes conmutadas (router/switch)
6 COM DS 3 2 Separacion mediante redes privadas virtuales (VPNs)
6 COM DS 3 3 Separacion mediante dispositivos de proteccion perimetral
6 COM DS 3 4 Separacion fisica (air gap)
1 1 7 IP
[IP] Puntos de interconexión: conexiones entre zonas de confianza
2 7 IP 1 _ _ Administracion
7 IP 1 1 _ Las conexiones requieren autorizacion previa
7 IP 1 2 _ Se dispone de un inventario de conexiones autorizadas
7 IP 1 3 _ Se realiza un monitorizacion continua de las conexiones autorzadas
Los usuario y procesos autorizados a usar el enlace solo disfrutan de los derechos
7 IP 1 4 _ minimos
7 IP 1 5 _ Se revisan regularmente los usuarios y procesos autorizados
2 7 IP 2 _ _ Establecimiento de conexión
7 IP 2 1 _ Se identifican y autentican los usuarios antes de establecer el enlace
7 IP 2 2 _ Se identifican y autentican los procesos usuarios antes de establecer el enlace
7 IP 2 3 _ EL servidor se identifica y autentica antes de establecer el enlace
2 7 IP SPP _ _ Trafico: Intercambo de datos

Cualquier otro nodo de la red se considera no fiable, realizandose un control local de los
7 IP SPP 1 _ datos intercamiados
7 IP SPP 2 _ Se valida el formato de todos los datos en transito
7 IP SPP 3 _ Trafico autorizado
7 IP SPP 3 1 El trafico permitido requiere autorizacion previa
7 IP SPP 3 2 El trafico se identifica antes de autorizar su paso
7 IP SPP 3 3 Se revisa periodicamente el trafico autorizado
7 IP SPP 4 _ Se controla el trafico entrante y saliente
7 IP SPP 4 1 Se garantiza que todo el trafico pasa por el sistema de defensa perimetral
7 IP SPP 4 2 Se bloquea todo el trafico, exceptoel explicitamente aprobado
7 IP SPP 4 3 Se realiza una monitorizacion continua de trafico
7 IP SPP 4 4 Se detecta y bloquea el codigo dañino (malware)
7 IP SPP 4 5 Se registra toda la actividad
7 IP SPP 4 6 Se revisan periodicamente las trazas de actividad
7 IP SPP 4 7 Se realizan copias de seguridad periodicas de los registro de actividad
7 IP SPP 5 _ Intermediacion - El punto de interconexion intermediara los siguientes procesos
7 IP SPP 5 1 Identificacion y autenticacion de los usuarios
7 IP SPP 5 2 Identificacion y autenticacion de los nodos
7 IP SPP 5 3 Autorizacion de acceso
7 IP SPP 5 4 Listas blancas (white lists)
7 IP SPP 5 5 Listas negras (black lists)
7 IP SPP 5 6 Etiquetas de seguridad de los objetos intercambiados
7 IP SPP 5 7 Informacion de control de red (nivel 3)
7 IP SPP 5 8 Informacion de control de aplicación (nivel 7)
7 IP SPP 6 _ trafico de gestion
7 IP SPP 6 1 Se asegura la autenticidad del origen
7 IP SPP 6 2 Se asegura la integridad de la informacion
7 IP SPP 6 3 Se asegura la confidencialidad de la informacion
7 IP SPP 7 _ Se oculta las direcciones IP internas (servicio NAT o similar)
7 IP SPP 8 _ Se ocultan los puertos internos (servicio PAT o similar)
2 7 IP 4 _ _ Arquitectura de proteccion : red local LAN

7 IP 4 1 _ Filtro de paquetes IP (red)
7 IP 4 1 1 Todo el trafico atraviesa el filtro

7 IP 4 2 _ Cortafuegos (control de sesion)
7 IP 4 2 1 Todo el trafico atraviesa el cortafuego
7 IP 4 3 _ Proxy (monitorizacion de aplicaciones)
7 IP 4 3 1 Todo el trafico atraviesa el proxy
7 IP 4 3 2 El servidor de proxy tiene dos puertos, uno en cada red
7 IP 4 4 _ Router (2 puertps) + proxy
7 IP 4 4 1 El oruter separa la red externa del servidor de proxy
7 IP 4 5 _ Router (3 puertps) + proxy
7 IP 4 5 1 El router separa el servdor de gateway de las redes interna y externa
7 IP 4 6 _ 2 Routers + DMZ + proxy
7 IP 4 6 2 Se emplean productos de fabricantes diferentes
7 IP 4 7 _ Pasarela (se cambia de protocolo)
7 IP 4 7 1 Todo el trafico atraviesa la pasarela
7 IP 4 8 _ Se emplea dispositivos de sentido unico (diodos)
7 IP 4 8 1 Todo el trafico atraviesa el diodo
7 IP 4 8 2 Se controla el trafico de retorno
7 IP 4 9 _ Cortafuegos de aire (air gap o air wall)
7 IP 4 9 1 Todo el trafico atraviesa el cortafuego
7 IP 4 9 2 Se controla estrictamente el trafico de retorno
2 7 IP 5 _ _ Dispositivos portatiles
7 IP 5 1 _ Todo el trafico atraviesa el cortafuego
7 IP 5 2 _ Se controla estrictamente el trafico de retorno
2 7 IP BS _ _ Proteccion de los equipos de frontera

7 IP BS 1 _ Se controla el producto
7 IP BS 1 1 Se instala las nuevas versiones del fabricante del producto
7 IP BS 1 2 Se instala los parches de fabricante del producto
7 IP BS 1 3 Se realizan pruebas de regresion antes de instalar una nueva version o parche
7 IP BS 1 4 Se exige autenticacion del operador para cambios del programa
7 IP BS 2 _ Se aplican perfiles de seguridad
7 IP BS 2 1 Se reducen las opciones a las minimas necesarias
7 IP BS 2 2 Se eliminan, o modifican, las cuentas estandar de usuario
7 IP BS 2 3 Se eliminan, o modifican, las cuentas estandar de administracion
7 IP BS 2 4 Solo los administradores autorizados pueden modificar la configuracion
7 IP BS 2 5 Los servicios actividados se configuran de forma de forma segura
7 IP BS 2 6 Se aplican la regla de "seguridad por defecto"
7 IP BS 2 7 Se aplican los servicios de registro de activvidad
7 IP BS 2 8 La aplicación del perfil se revisa periodicamente
7 IP BS 3 _ Cuando un equipo portatil se conecta en remoto
7 IP BS 3 1 Se verifica la actualidad de sus componentes (parches software)
7 IP BS 3 2 Se verifica su configuracion de seguridad
7 IP BS 4 _ Administracion
7 IP BS 4 1 Se explicita un responsable de la configuracion
7 IP BS 4 2 Se exisge autenticacion de operador para cambios de configuracion
7 IP BS 4 3 Se accede de forma segura para realizar tareas de administracion
7 IP BS 4 4 Se realizan copias de seguridad periodicas de la configuracion
7 IP BS 4 5 Se previene la reinstalacion no autorizada de configuraciones previas
7 IP BS 5 _ Se establece un plan de contingencia especifico
7 IP BS 6 _ Se emplean productos certificados o acreditados
1 1 8 MP
[MP] Protección de los Soportes de Información
2 8 MP 1 _ _ Se dispone de normativa relativa a soportes de informacion
8 MP 1 1 _ Uso de soportes de informacion
8 MP 1 2 _ Proteccion de los soportes en funcion de la informacion que contienen
8 MP 1 3 _ Normativa especificas para soportes removibles
2 8 MP 2 _ _ Se dispone de procedimientos relativos a soportes de informacion
2 8 MP 3 _ _ Se dispone de un inventario de soportes

8 MP 3 1 _ Se mantiene una relacion de soportes
8 MP 3 2 _ Se identifica al propietario (personas responsables)
8 MP 3 3 _ Se identifica al depositario (o depositarios)
8 MP 3 4 _ El inventario se actualiza regularmente
2 8 MP 4 _ _ Gestion de soporte
8 MP 4 1 _ Manejo
8 MP 4 1 1 [MP.4.1.1] Se imponen restricciones de acceso para impedir el acceso no autorizado
8 MP 4 1 2 [MP.4.1.2] Los soportes se guardan en lugar seguro cuando no están en uso
8 MP 4 1 3 [MP.4.1.3] Se reduce al mínimo imprescindible la distribución de soportes
[MP.4.1.4] Se realizan revisiones periódicas de las listas de distribución y destinatarios
8 MP 4 1 4 autorizados
[MP.4.1.5] Quedan registradas las operaciones de creación, modificación y borrado, a
8 MP 4 1 5 efectos de trazabilidad
8 MP 4 1 6 [MP.4.1.6] Se requiere autorización previa antes de desprenderse de un soporte
8 MP 4 2 _ Etiquetado
8 MP 4 2 1 [MP.4.2.1] Se dispone de normativa para el etiquetado y cambio de etiquetas
8 MP 4 2 2 [MP.4.2.2] Se dispone de procedimientos para el etiquetado y cambio de etiquetas
[MP.4.2.3] Se marcan todos los soportes indicando la clasificación de la información que
8 MP 4 2 3 contienen o pueden contener
8 MP 4 2 4 [MP.4.2.4] Cuando se trabaja con contenedores de varios soportes
8 MP 4 2 5 [MP.4.2.5] La etiqueta sólo permite conocer el nivel de clasificación, no la información
[MP.4.2.6] Los usuarios disponen de medios y formación para interpretar correctamente lo
8 MP 4 2 6 significado por las etiquetas
8 MP 4 3 _ Transporte de soporte
8 MP 4 3 1 [MP.4.3.1] Se dispone de normativa para el transporte de soportes
8 MP 4 3 2 [MP.4.3.2] Se dispone de procedimientos para el transporte de soportes
8 MP 4 3 3 [MP.4.3.3] Transportes y mensajeros
8 MP 4 3 4 [MP.4.3.4] Se requiere confirmación de entrega
[MP.4.3.5] Se utilizan contenedores adecuados contra cualquier daño físico y de acuerdo
8 MP 4 3 5 a las especificaciones de los fabricantes
[MP.4.3.6] Implantación de controles especiales para la protección de la información
8 MP 4 3 6 sensible
8 MP 4 3 7 [MP.4.3.7] Registro de envío y recepción
8 MP 4 4 _ Formacion del personal en gestion de soportes
2 8 MP 5 _ _ Se controla la conexión de dispositivos removibles

8 MP 5 1 _ [MP.5.1] Se requiere autorización previa
8 MP 5 1 _ [MP.5.1.1] para leer (introducir datos en el sistema)
8 MP 5 1 _ [MP.5.1.2] para escribir (sacar datos del sistema)
8 MP 5 2 _ [MP.5.2] Se registra la conexión
8 MP 5 3 _ [MP.5.3] Se registra la desconexión
8 MP 5 4 _ [MP.5.4] Se registra la información transferida
8 MP 5 5 _ [MP.5.5] Se analiza la existencia de código malicioso en los datos transferidos
8 MP 5 6 _ [MP.5.6] Se monitoriza la información transferida (servicio DLP)
8 MP 5 7 _ [MP.5.7] Control centralizado
8 MP 5 7 1 [MP.5.7.1] de habilitación / inhabilitación de la capacidad de conectar dispositivos
8 MP 5 7 2 [MP.5.7.2] de los puntos de conexión habilitados en cada momento
2 8 MP 6 _ _ Contenedores de seguridad
8 MP 6 1 _ [MP.6.1] Armarios de seguridad
8 MP 6 2 _ [MP.6.2] Cajas fuertes
8 MP 6 3 _ [MP.6.3] Cámaras acorazadas
8 MP 6 4 _ [MP.6.4] Armarios ignífugos
2 8 MP 7 _ _ Seguridad de los soportes fuera de las instalaciones

8 MP 7 1 _ [MP.7.1] Se requiere autorización previa para sacar soportes de las instalaciones
8 MP 7 2 _ [MP.7.2] Se identifica a las personas autorizadas
8 MP 7 3 _ [MP.7.3] Registro de entradas y salidas
[MP.7.3.1] Se dispone de un registro de soportes fuera de las instalaciones en cada
8 MP 7 3 1 momento
8 MP 7 3 2 [MP.7.3.2] Se registra la salida
8 MP 7 3 3 [MP.7.3.3] Se registra el retorno
8 MP 7 3 4 [MP.7.3.4] Se revisa regularmente la relación de soportes ausentes
8 MP 7 3 5 [MP.7.3.5] Información en el registro
8 MP 7 4 _ [MP.7.4] Se dispone de normativa de uso de soportes fuera de las instalaciones
8 MP 7 5 _ [MP.7.5] El soporte se protege técnicamente antes de su salida
8 MP 7 6 _ [MP.7.6] El soporte se revisa a su regreso
2 8 MP cont _ _ Aseguramiento de la disponibilidad

8 MP cont 1 _ [MP.cont.1] Se toman medidas contra el deterioro físico del soporte
[MP.cont.2] Se realiza el mantenimiento periódico según especificaciones de los
8 MP cont 2 _ fabricantes
8 MP cont 3 _ [MP.cont.3] Los soportes se almacenan de acuerdo a las especificaciones del fabricante
8 MP cont 4 _ [MP.cont.4] Se duplican los soportes críticos
8 MP cont 5 _ [MP.cont.5] Las copias de los soportes críticos se almacenan en un lugar alternativo
[MP.cont.6] Se establece la frecuencia con que se realizarán copias de seguridad
8 MP cont 6 _ (backup)
8 MP cont 7 _ [MP.cont.7] Se migra la información de un soporte a otro en función de su vida útil
8 MP cont 8 _ [MP.cont.8] Se hacen copias de seguridad de las claves de descifrado
2 8 MP 9 _ _ Prevencion de emanaciones electromagneticas (TEMPEST EQUIPMENT ZONING)
2 8 MP IC _ _ Proteccion criptografica del contenido

8 MP IC 1 _ [MP.IC.1] Se dispone de normativa relativa a la protección criptográfica de los contenidos
8 MP IC 1 1 [MP.IC.1.1] Se tienen en cuenta los requisitos legales y contractuales
[MP.IC.1.2] Se tienen en cuenta los requisitos de interoperabilidad: actuales y previsiones
8 MP IC 1 2 futuras
8 MP IC 1 3 [MP.IC.1.3] Se tienen en cuenta los requisitos de identificación y autenticación
[MP.IC.1.4] Se tienen en cuenta los requisitos de aplicabilidad (confidencialidad,
8 MP IC 1 4 integridad, autenticidad y no repudio)
8 MP IC 1 5 [MP.IC.1.5] Se definen roles y responsabilidades
8 MP IC 2 _ [MP.IC.2] Se han designado responsables
8 MP IC 3 _ [MP.IC.3] Se cifra el contenido
8 MP IC 4 _ [MP.IC.4] Se garantiza la integridad del contenido
8 MP IC 5 _ [MP.IC.5] Se firma el contenido
[MP.IC.6] Se tienen en cuenta los requisitos de protección para los mecanismos
8 MP IC 6 _ criptográficos
[MP.IC.7] Se tienen en cuenta los requisitos de control de los mecanismos criptográficos
8 MP IC 7 _ (registro, contabilidad, auditoría, etc.)
8 MP IC 8 _ [MP.IC.8] {xor} Mecanismo de integridad
8 MP IC 8 1 [MP.IC.8.1] Mecanismo basado en MAC (Código de Autenticación de Mensaje)
8 MP IC 8 2 [MP.IC.8.2] Mecanismo basado en MAC con "hash" (HMAC) según FIPS 140-2
8 MP IC 8 3 [MP.IC.8.3] Mecanismo de hash
8 MP IC 9 _ [MP.IC.9] Mecanismo de cifrado
8 MP IC 9 _ [MP.IC.9.1] {xor} Opciones
8 MP IC 9 _ [MP.IC.9.2] Se revisan regularmente las vulnerabilidades de los algoritmos
8 MP IC 9 _ [MP.IC.9.3] Se emplean algoritmos certificados / acreditados
2 8 MP clean _ _ Limpieza de contenidos

[MP.clean.1] Se dispone de normativa que determina qué información debe ser eliminada
8 MP clean 1 _ de forma segura
8 MP clean 2 _ [MP.clean.2] Se dispone de procedimientos para la limpieza de soportes
[MP.clean.3] Se realiza una limpieza segura del contenido de todo soporte reutilizable del
8 MP clean 3 _ que se desprenda la organización
8 MP clean 4 _ [MP.clean.4] Se retiran todas las etiquetas y marcas
8 MP clean 5 _ [MP.clean.5] Mecanismo de limpieza
8 MP clean 5 1 [MP.clean.5.1] {xor} Opciones
8 MP clean 5 2 [MP.clean.5.2] Se emplea un producto o servicio certificado o acreditado
2 8 MP end _ _ Destruccion de soportes

[MP.end.1] Se dispone de normativa que determina qué soportes deben ser destruidos de
8 MP end 1 _ forma segura
[MP.end.2] También se destruyen aquellos soportes de los que no puede eliminarse la
8 MP end 2 _ información de forma segura
8 MP end 3 _ [MP.end.3] Se dispone de procedimientos para la destrucción de soportes
8 MP end 4 _ [MP.end.4] Se controla el acceso a los soportes que van a ser eliminados
8 MP end 5 _ [MP.end.5] Se mantiene un registro de soportes destruidos
8 MP end 6 _ [MP.end.6] Mecanismo de destrucción
1 1 9 AUX [AUX] Elementos Auxiliares

2 9 AUX 1 _ _ [AUX.1] Se dispone de un inventario de equipamiento auxiliar
9 AUX 1 1 _ [AUX.1.1] Se dispone de un registro de equipamiento auxiliar
9 AUX 1 2 _ [AUX.1.2] Se identifica el propietario (persona responsable)
9 AUX 1 3 _ [AUX.1.3] El inventario se actualiza regularmente
9 AUX 1 4 _ [AUX.1.4] Se registran las entradas y salidas de equipamiento auxiliar
2 9 AUX cont _ _ [AUX.cont] Aseguramiento de la disponibilidad

9 AUX cont 1 _ [AUX.cont.1] Se siguen las recomendaciones del fabricante o proveedor
9 AUX cont 2 _ [AUX.cont.2] Continuidad de operaciones
9 AUX cont 2 _ [AUX.cont.2.1] Se analizan las implicaciones para la continuidad del negocio
9 AUX cont 2 _ [AUX.cont.2.2] Se establece un protocolo de actuación en caso de contingencia
9 AUX cont 2 _ [AUX.cont.2.3] Se dispone de medios alternativos
2 9 AUX start _ _ [AUX.start] Instalación
2 9 AUXpower _ _ [AUX.power] Suministro eléctrico

9 AUXpower 1 _ [AUX.power.1] Se dimensiona el sistema considerando necesidades futuras
9 AUXpower 2 _ [AUX.power.2] Instalación de acuerdo a la normativa vigente
[AUX.power.3] Protección de las líneas de alimentación del sistema frente a fluctuaciones
9 AUXpower 3 _ y sobrecargas
[AUX.power.4] Interruptor general de la alimentación del sistema situado en la entrada de
9 AUXpower 4 _ cada área
9 AUXpower 5 _ [AUX.power.5] Interruptores etiquetados y protegidos frente a activaciones accidentales
9 AUXpower 6 _ [AUX.power.6] Alimentación de respaldo
9 AUXpower 6 1 [AUX.power.6.1] Actuación en caso de emergencia
9 AUXpower 6 2 [AUX.power.6.2] El sistema se prueba regularmente
9 AUXpower 6 3 [AUX.power.6.3] Mantenimiento: el sistema se revisa regularmente
9 AUXpower 6 4 [AUX.power.6.4] Redundancia
2 9 AUX AC _ _ [AUX.AC] Climatización

9 AUX AC 1 _ [AUX.AC.1] Se dimensiona el sistema considerando necesidades futuras
9 AUX AC 2 _ [AUX.AC.2] Sistema de climatización redundante
9 AUX AC 3 _ [AUX.AC.3] Control de temperatura
9 AUX AC 4 _ [AUX.AC.4] Control de humedad
9 AUX AC 5 _ [AUX.AC.5] Control de flujo de aire
9 AUX AC 6 _ [AUX.AC.6] Alarma en tiempo real cuando el sistema se sale de especificaciones
9 AUX AC 7 _ [AUX.AC.7] Mantenimiento: el sistema se revisa regularmente
2 9 AUXwires _ _ [AUX.wires] Protección del cableado

9 AUXwires 1 _ [AUX.wires.1] La gestión está centralizada
9 AUXwires 2 _ [AUX.wires.2] Se utiliza una herramienta de gestión
9 AUXwires 3 _ [AUX.wires.3] Se dispone de planos actualizados del cableado
9 AUXwires 4 _ [AUX.wires.4] Todos los elementos de cableado están etiquetados
9 AUXwires 5 _ [AUX.wires.5] Se sigue un procedimiento para la modificación del cableado
9 AUXwires 6 _ [AUX.wires.6] Se realiza un mantenimiento regular del cableado
[AUX.wires.7] Se ha segregado el cableado de alimentación del de comunicaciones para
9 AUXwires 7 _ evitar interferencias
9 AUXwires 8 _ [AUX.wires.8] Se instalan filtros de protección frente a rayos
9 AUXwires 8 _ [AUX.wires.8.1] Cableado de alimentación
9 AUXwires 8 _ [AUX.wires.8.2] Cableado de datos
9 AUXwires 9 _ [AUX.wires.9] Se evitan rutas a través de áreas públicas
9 AUXwires a _ [AUX.wires.a] Se controlan todos los accesos al cableado
[AUX.wires.b] Hay protección prevista contra daños o interceptaciones no autorizadas
9 AUXwires b _ (conductos blindados, cajas o salas cerradas, ...)
9 AUXwires c _ [AUX.wires.c] Existe protección frente a emanaciones (TEMPEST)
9 AUXwires c _ [AUX.wires.c.1] Protección TEMPEST
9 AUXwires c _ [AUX.wires.c.2] Se instalan filtros antes de salir de la zona protegida
9 AUXwires d _ [AUX.wires.d] Se protegen los cuadros de distribución
9 AUXwires e _ [AUX.wires.e] Se protejen antenas y repetidores
9 AUXwires f _ [AUX.wires.f] Se emplean recubrimientos que no son inflamables ni tóxicos
9 AUXwires g _ [AUX.wires.g] El cableado es tolerante a fallos (redundancia de líneas críticas, etc.)
2 9 AUX 7 _ _ [AUX.7] Se disponen medidas frente a posibles robos

[AUX.8] Se prevén medidas frente a todos los problemas graves identificados en el
2 9 AUX 8 _ _ análisis de riesgos
1 1 10 L [L] Protección de las Instalaciones

2 10 L 1 _ _ [L.1] Se dispone de normativa de seguridad
10 L 1 1 _ [L.1.1] Se dispone de normativa relativa a la protección de las instalaciones
10 L 1 2 _ [L.1.2] Se han establecido normas de conducta (prohibición de fumar, beber, comer, ...)
2 10 L 2 _ _ [L.2] Se dispone de un inventario de instalaciones

10 L 2 1 _ [L.2.1] Se dispone de un registro de instalaciones propias
10 L 2 2 _ [L.2.2] Se dispone de un registro de instalaciones de otras organizaciones
10 L 2 3 _ [L.2.3] Se identifica al responsable en cada instalación
10 L 2 4 _ [L.2.4] El inventario se actualiza regularmente
10 L 2 5 _ [L.2.5] Las áreas no se identifican en directorios telefónicos y vestíbulos
[L.2.6] El personal sólo conoce la existencia de estas áreas, o de sus actividades, si lo
10 L 2 6 _ necesita para su trabajo
2 10 L 3 _ _ [L.3] Entrada en servicio

10 L 3 1 _ [L.3.1] Se dispone de normativa de entrada en servicio
10 L 3 2 _ [L.3.2] Se requiere autorización previa
10 L 3 3 _ [L.3.3] Se han determinado las acreditaciones o certificaciones pertinentes
10 L 3 4 _ [L.3.4] Se requiere haber pasado las inspecciones o acreditaciones establecidas
10 L 3 5 _ [L.3.5] Plan de Protección
10 L 3 5 1 [L.3.5.1] Se dispone de un Plan de Acondicionamiento
10 L 3 5 2 [L.3.5.2] Se dispone de un Plan de Seguridad
10 L 3 5 3 [L.3.5.3] Plan de Emergencia
2 10 L design _ _ [L.design] Diseño

10 L design 1 _ [L.design.1] El diseño atiende a las reglas y normas relevantes sobre salud y sanidad
10 L design 2 _ [L.design.2] El número de entradas se reduce al mínimo necesario
10 L design 3 _ [L.design.3] {xor} Puertas de acceso
10 L design 3 1 [L.design.3.1] Se dispone de puertas de acceso reforzadas
10 L design 3 2 [L.design.3.2] Se dispone de puertas de acceso blindadas
10 L design 3 3 [L.design.3.3] Se dispone de puertas de acceso acorazadas
10 L design 4 _ [L.design.4] Ventanas
10 L design 4 1 [L.design.4.1] Las ventanas de fácil acceso visual tienen cristales opacos
10 L design 4 2 [L.design.4.2] Las ventanas de fácil acceso físico ...
[L.design.5] Se dispone de protección en los conductos y aberturas (falso techo,
10 L design 5 _ conductos de aire, etc.)
[L.design.6] Aislamiento acústico de las zonas en las que se hable de información
10 L design 6 _ confidencial
10 L design 6 1 [L.design.6.1] muros
10 L design 6 2 [L.design.6.2] puertas
10 L design 6 3 [L.design.6.3] techos
10 L design 6 4 [L.design.6.4] suelo
10 L design 7 _ [L.design.7] Hay una separación entre áreas de seguridad y de acceso público
10 L design 8 _ [L.design.8] Los equipos sensibles se instalan en áreas separadas
10 L design 8 1 [L.design.8.1] Se dispone de áreas específicas para equipos informáticos
[L.design.8.2] Se dispone de áreas donde se presenta información (pantallas,
10 L design 8 2 impresoras, ...)
10 L design 8 3 [L.design.8.3] Se dispone de áreas con acceso a medios de transmisión
10 L design 8 4 [L.design.8.4] Se dispone de áreas para elementos auxiliares
10 L design 9 _ [L.design.9] Se encuentran separadas las áreas gestionadas por otros
[L.design.a] Se encuentran separadas las áreas dónde se llevan a cabo actividades
10 L design a _ peligrosas (cuartos de basura, depósitos de combustible, etc.)
10 L design b _ [L.design.b] Se encuentran separados los accesos para personas y vehículos
10 L design c _ [L.design.c] Carga / descarga
10 L design c 1 [L.design.c.1] Se controla la utilización de las áreas de carga / descarga
[L.design.c.2] Las áreas de carga / descarga se encuentran separadas de las áreas de
10 L design c 2 seguridad
10 L design c 3 [L.design.c.3] Las areas de entrada y salida se encuentran separadas
10 L design c 4 [L.design.c.4] Se emplean exclusas para sincronizar las puertas de acceso
10 L design c 5 [L.design.c.5] Se realiza una inspección del material entrante
[L.design.c.6] La entrega o recepción de material fuera de las horas de trabajo deben
10 L design c 6 estar justificadas y sujetas a procedimientos rigurosos de control
10 L design d _ [L.design.d] Las instalaciones son discretas minimizando indicaciones sobre su propósito
10 L design e _ [L.design.e] Existe protección frente a emanaciones (TEMPEST facility zoning)
2 10 L depth _ _ [L.depth] Defensa en profundidad

10 L depth 1 _ [L.depth.1] El perímetro exterior previene el acceso no autorizado
10 L depth 2 _ [L.depth.2] Los siguientes niveles detectan accesos no autorizados
10 L depth 3 _ [L.depth.3] Los diferentes niveles retardan el ataque
[L.depth.4] El tiempo de reacción a un ataque es inferior al tiempo requerido por el
10 L depth 4 _ atacante
2 10 L 6 _ _ [L.6] {xor} public={L.IA}Mecanismo de autenticación

10 L 6 1 _ [L.6.1] Clave (PIN)
10 L 6 1 1 [L.6.1.1] Se seleccionan claves fáciles de recordar pero de difícil conjetura
10 L 6 1 2 [L.6.1.2] Los usuarios se responsabilizan de la confidencialidad de las claves
10 L 6 1 3 [L.6.1.3] No se utiliza la misma clave en diferentes sitios
[L.6.1.4] Se emplean diferentes claves para uso privado y para desarrollar las funciones
10 L 6 1 4 en la organización
10 L 6 1 5 [L.6.1.5] {xor} La claves tiene una duración limitada
10 L 6 1 6 [L.6.1.6] Las claves iniciales son temporales con una duración máxima limitada
10 L 6 1 7 [L.6.1.7] Se cifran las claves almacenadas en el sistema
10 L 6 1 8 [L.6.1.8] Las claves se modifican al ser comprometidas o existir sospecha de ello
10 L 6 2 _ [L.6.2] Tarjeta (token)
10 L 6 2 1 [L.6.2.1] El usuario asume la responsabilidad de la custodia del token
10 L 6 2 2 [L.6.2.2] Difícil de clonar
10 L 6 2 3 [L.6.2.3] Cuando no se emplea, el token se guarda en lugar separado seguro
10 L 6 2 4 [L.6.2.4] El mecanismo se inhabilita cuando se ve comprometido o hay sospecha de ello
10 L 6 3 _ [L.6.3] Tarjeta + PIN
10 L 6 3 1 [L.6.3.1] Alto que se tiene - tarjeta
10 L 6 3 2 [L.6.3.2] Clave (PIN)
10 L 6 4 _ [L.6.4] Algo que se es - biometría
10 L 6 4 1 [L.6.4.1] {xor} Mecanismo
10 L 6 4 _ [L.6.5] Tarjeta + biometría
10 L 6 4 1 [L.6.5.1] Alto que se tiene - tarjeta
10 L 6 4 2 [L.6.5.2] {xor} Biometría
2 10 L AC _ _ [L.AC] Control de los accesos físicos

10 L AC 1 _ [L.AC.1] El acceso tiene que ser a través de un área de recepción
10 L AC 2 _ [L.AC.2] Control de los accesos
10 L AC 2 1 [L.AC.2.1] Se dispone de normativa de control de accesos
10 L AC 2 2 [L.AC.2.2] Se dispone de procedimientos para el control de accesos
10 L AC 2 3 [L.AC.2.3] Se definen y documentan las autorizaciones de acceso
10 L AC 2 4 [L.AC.2.4] La autorización para acceder se verifica antes de conceder el acceso
10 L AC 2 5 [L.AC.2.5] Se mantiene un registro de los accesos
10 L AC 2 6 [L.AC.2.6] El registro de accesos se revisa periódicamente
10 L AC 2 7 [L.AC.2.7] Se investiga cualquier sospecha o intento de acceso físico no autorizado
10 L AC 2 8 [L.AC.2.8] Los admitidos están acompañados permanentemente (escoltas) según política
10 L AC 2 9 [L.AC.2.9] Se realiza un registro (examen minucioso) a la entrada
10 L AC 2 a [L.AC.2.a] Se realiza un registro (examen minucioso) a la salida
10 L AC 2 b [L.AC.2.b] Sistema automático de control de accesos
10 L AC 2 c [L.AC.2.c] Se dispone de un sistema de cámaras de vigilancia
[L.AC.2.d] Los procedimientos de emergencia garantizan que solo el personal autorizado
10 L AC 2 d pueda acceder a las instalaciones
10 L AC 3 _ [L.AC.3] Control de las visitas
[L.AC.3.1] Se requiere autorización previa para el acceso de visitas, personal de
10 L AC 3 1 mantenimiento, o personal de empresas contratistas
10 L AC 3 2 [L.AC.3.2] Se comprueba la identidad de las visitas
[L.AC.3.3] Se mantiene un registro de entrada / salida (nombre, empresa, fecha y horas
10 L AC 3 3 de entrada y salida, objeto del acceso, y persona que recibe)
10 L AC 3 4 [L.AC.3.4] Se revisa regularmente el registro de visitas
10 L AC 4 _ [L.AC.4] Pases o identificadores
[L.AC.4.1] Se dispone de procedimientos para la emisión, control, registro, baja y
10 L AC 4 1 cancelación de los pases
10 L AC 4 2 [L.AC.4.2] Se requiere que la identificación de las personas sea visible
10 L AC 4 3 [L.AC.4.3] Es obligatorio empleo de un pase (ej. tarjeta) en el interior del recinto
[L.AC.4.4] Se usan diferentes tipos de pases según la categoría del personal (personal
10 L AC 4 4 propio, visitas, etc.)
10 L AC 4 5 [L.AC.4.5] El diseño es difícil de falsificar
10 L AC 4 6 [L.AC.4.6] Los pases incluyen una fotografía de la persona identificada
[L.AC.4.7] Los pases permiten reconocer visualmente el tipo de áreas a las que puede
10 L AC 4 7 acceder su portador
[L.AC.4.8] Los pases no contienen datos que permitan, en caso de pérdida, obtener
10 L AC 4 8 información acerca de su finalidad (simplemente contiene una dirección para su envío)
10 L AC 5 _ [L.AC.5] Los accesos permanecen cerrados fuera de las horas de trabajo
10 L AC 6 _ [L.AC.6] Las áreas de trabajo se cierran y controlan periódicamente cuando están vacías
[L.AC.7] Se evita que el acceso físico para operación y mantenimiento abra el acceso a
10 L AC 7 _ otros activos
[L.AC.8] Las salidas de emergencia garantizan que solo el personal autorizado pueda
10 L AC 8 _ acceder a las instalaciones
10 L AC 9 _ [L.AC.9] Se exige que los puestos de trabajo están despejados
10 L AC a _ [L.AC.a] Se evita el trabajo no supervisado
[L.AC.b] Se prohíben equipos de registro (fotografía, video, audio, telefonía, etc.) salvo
10 L AC b _ autorización especial
10 L AC c _ [L.AC.c] Control de llaves, combinaciones o dispositivos de seguridad
10 L AC c 1 [L.AC.c.1] Se dispone de un inventario
[L.AC.c.2] Las áreas de seguridad disponen de algún tipo de llave, combinación o
10 L AC c 2 dispositivo de seguridad para acceder a las mismas
10 L AC c 3 [L.AC.c.3] Solamente el personal autorizado puede usarlos
10 L AC c 4 [L.AC.c.4] Se custodian de forma segura, incluidos los duplicados
[L.AC.c.5] Las llaves se cambian cuando se hayan comprometido o exista sospecha de
10 L AC c 5 ello
[L.AC.c.6] Las combinaciones se cambian o modifican cuando han sido comprometidas o
10 L AC c 6 exista sospecha de ello
[L.AC.c.7] Las combinaciones se cambian o modifican cuando haya cambios de personal
10 L AC c 7 que haya tenido acceso a las mismas
10 L AC c 8 [L.AC.c.8] Las combinaciones se cambian o modifican al menos cada seis meses
10 L AC c 9 [L.AC.c.9] Periódicamente, se realiza un auditoría
2 10 L 8 _ _ [L.8] Protección del perímetro
10 L 8 1 _ [L.8.1] El perímetro está claramente definido con una valla, muro o similar
10 L 8 2 _ [L.8.2] {xor} La construcción es resitente frente a ataques de fuerza bruta
[L.8.2.1] Se dispone de una barrera de alta seguridad: alta resistencia a la escalada y
10 L 8 2 1 apertura de brechas
[L.8.2.2] Se dispone de una barrera de seguridad: resistente a la escalada y apertura de
10 L 8 2 2 brechas
[L.8.2.3] Se dispone de una valla anti-intrusión: resistente a la escalada y apertura de
10 L 8 2 3 brechas frente a intrusos con determinación pero escasos medios
[L.8.2.4] Se dispone de una valla anti-intrusión: resistente a la escalada y apertura de
10 L 8 2 4 brechas frente a intrusos oportunistas, sin recursos ni formación
10 L 8 3 _ [L.8.3] Se dispone de un sistema de detección de intrusión perimetral
10 L 8 3 1 [L.8.3.1] El sistema de detección de intrusión está centralizado
10 L 8 3 2 [L.8.3.2] El instalador es una empresa autorizada
10 L 8 3 3 [L.8.3.3] La alimentación es redundante
10 L 8 3 4 [L.8.3.4] {xor} Personal de atención
10 L 8 3 5 [L.8.3.5] Se dispone de protección anti sabotage
10 L 8 3 6 [L.8.3.6] Periódicamente se comprueba que funciona adecuadamente
10 L 8 3 7 [L.8.3.7] Periódicamente se revisa y se realizan las actividades de mantenimiento
10 L 8 4 _ [L.8.4] Se dispone de cámaras de vídeo de vigilancia
10 L 8 4 1 [L.8.4.1] espectro visible
10 L 8 4 2 [L.8.4.2] infrarrojos
[L.8.5] El personal está concienciado y recibe formación en lo relativo a detección y
10 L 8 5 _ reacción frente actividades sospechosas en las cercanías del recinto
2 10 L 9 _ _ [L.9] Vigilancia
[L.9.1] Se realizan rondas aleatorias de vigilancia en el perímetro del recinto, fuera de las
10 L 9 1 _ horas de trabajo
[L.9.2] Se realizan rondas aleatorias de vigilancia en el interior de los edificios, fuera de
10 L 9 2 _ las horas de trabajo
[L.9.3] La vigilancia se realiza desde un centro de control en el que se centralizan todos
10 L 9 3 _ los sistemas de seguridad
10 L 9 4 _ [L.9.4] El personal de vigilancia tiene instrucciones específicas de actuación
[L.9.5] La subcontratación del personal de vigilancia se realiza según lo establecido en la
10 L 9 5 _ normativa de Seguridad Privada
2 10 L a _ _ [L.a] Iluminación de seguridad

10 L a 1 _ [L.a.1] cubre las áreas interiores al perímetro del recinto
10 L a 2 _ [L.a.2] no existen zonas con poca visibilidad (oscuras) interiores al recinto
10 L a 3 _ [L.a.3] cubre perímetro del recinto
10 L a 4 _ [L.a.4] cubre las potenciales zonas de paso de un intruso
10 L a 5 _ [L.a.5] la iluminación se activa por el sistema de detección de intrusos
2 10 L b _ _ [L.b] Protección frente a desastres

[L.b.1] La iluminación de emergencia cubre todas las áreas necesarias para garantizar la
10 L b 1 _ continuidad de las misiones críticas
10 L b 2 _ [L.b.2] Protección frente a incendios
10 L b 2 1 [L.b.2.1] La instalación contra incendios cumple la normativa industrial
10 L b 2 2 [L.b.2.2] Las áreas están compartimentadas (por sectores)
10 L b 2 3 [L.b.2.3] Existen vías de evacuación
10 L b 2 4 [L.b.2.4] Están debidamente señalizadas las vías de evacuación
10 L b 2 5 [L.b.2.5] Se dispone de un sistema de iluminación de emergencia
10 L b 2 6 [L.b.2.6] Se dispone de un sistema de evacuación de humos
[L.b.2.7] Se revisan regularmente las áreas riesgo especial (cuarto de basuras, cuadros
10 L b 2 7 de alimentación, etc.)
[L.b.2.8] Se revisan regularmente las instalaciones por los bomberos o personal
10 L b 2 8 especializado
10 L b 2 9 [L.b.2.9] Existe un plan de prevención de incendios (formación, concienciación, etc.)
10 L b 2 a [L.b.2.a] Se dispone de un plan de autoprotección
10 L b 2 b [L.b.2.b] Se dispone de pulsadores de alarma
10 L b 2 c [L.b.2.c] Se dispone de un sistema automático de detección de incendios
10 L b 2 d [L.b.2.d] {xor} Medios de extinción de incendios
10 L b 2 e [L.b.2.e] Se ha identificado el personal para emergencias / intervención / evacuación
[L.b.2.f] Se sigue un plan de mantenimiento y verificación de los dispositivos y los
10 L b 2 f sistemas contra incendios
[L.b.2.g] Se notifica automáticamente a los servicios de ayuda exterior de cualquier
10 L b 2 g activación del sistema automático de detección de incendios
[L.b.2.h] Se garantizan las condiciones adecuadas de aproximación para las fuerzas de
10 L b 2 h ayuda exterior
10 L b 2 i [L.b.2.i] Se realizan regularmente simulacros internos
10 L b 2 j [L.b.2.j] Se realizan regularmente simulacros con las fuerzas de ayuda exterior
10 L b 3 _ [L.b.3] Protección frente a inundaciones
[L.b.3.1] Se ha diseñado la instalación garantizando que no hay canalizaciones cercanas
10 L b 3 1 de agua
10 L b 3 2 [L.b.3.2] Se dispone de llaves de paso que permiten el corte del suministro de agua
[L.b.3.3] Se dispone de un sistema de evacuación de agua (canalizaciones, motobomba,
10 L b 3 3 etc.)
10 L b 3 4 [L.b.3.4] Se dispone de un sistema de detección de inundación
10 L b 3 5 [L.b.3.5] Se dispone de normativa de reacción en caso de emergencia
[L.b.3.6] Se realizan pruebas regularmente y se actualizan los procedimientos según los
10 L b 3 6 resultados
10 L b 4 _ [L.b.4] Protección frente a accidentes naturales e industriales
10 L b 4 1 [L.b.4.1] Se han identificado los posibles accidentes naturales
10 L b 4 2 [L.b.4.2] Se han identificado los posibles accidentes industriales
[L.b.4.3] Se selecciona el emplazamiento para minimizar el riesgo de accidentes naturales
10 L b 4 3 o industriales
[L.b.4.4] Se mantienen contactos periódicos con los responsables de las fuerzas de apoyo
10 L b 4 4 exterior
10 L b 5 _ [L.b.5] Protección frente a contaminación medioambiental
10 L b 5 1 [L.b.5.1] Se ha previsto protección frente a vibraciones
10 L b 5 2 [L.b.5.2] Se ha previsto protección frente a polvo
10 L b 6 _ [L.b.6] Se ha previsto protección frente a contaminación electromagnética
10 L b 7 _ [L.b.7] Protección frente a explosivos
[L.b.7.1] El personal recibe información específica (obtención de información, respuesta a
10 L b 7 1 la amenaza, etc.)
[L.b.7.2] Se mantienen contactos con las Fuerzas y Cuerpos de Seguridad del Estado
10 L b 7 2 para conocer el nivel de alerta o de amenaza
10 L b 7 3 [L.b.7.3] Se dispone de medios técnicos para la detección de metales y explosivos
[L.b.7.4] Las actividades o misiones críticas se llevan a cabo lejos de cualquier punto
10 L b 7 4 vulnerable
[L.b.7.5] Los puntos vulnerables de la instalación han sido identificados por personal
10 L b 7 5 experto en la materia
10 L b 7 6 [L.b.7.6] Se dispone de normativa para la detección de artefactos explosivos
10 L b 8 _ [L.b.8] Seguros
10 L b 8 1 [L.b.8.1] Se ha contratado una póliza de continente (edificios)
10 L b 8 2 [L.b.8.2] Se ha contratado una póliza de contenido
2 10 L conf _ _ [L.cont] Continuidad de operaciones

10 L conf 1 _ [L.cont.1] Se analizan las implicaciones para la continuidad del negocio
10 L conf 2 _ [L.cont.2] Se establece un protocolo de actuación en caso de contingencia
10 L conf 3 _ [L.cont.3] Se dispone de instalaciones alternativas
[L.cont.4] Las instalaciones alternativas están sujetas a las mismas garantías de
10 L conf 4 _ protección que las habituales
2 10 L end _ _ [L.end] Desmantelamiento

10 L end 1 _ [L.end.1] Se dispone de normativa para el cierre de instalaciones
2 10 L end _ _ [L.e] La seguridad de la instalación no es responsabilidad de un único guarda
1 1 11 PS
[PS] Gestión del Personal
2 11 H 1 _ _ [PS.1] Se dispone de normativa relativa a la gestión de personal (en materia de seguridad)
[PS.2] Se dispone de procedimientos para la gestión de personal (en materia de
2 11 H 2 _ _ seguridad)
2 11 H 3 _ _ [PS.3] Relación de personal

11 H 3 1 _ [PS.3.1] Se dispone de una relación de personal propio
11 H 3 2 _ [PS.3.2] Se dispone de una relación de personal subcontratado
11 H 3 3 _ [PS.3.3] Se identifica el responsable
11 H 3 4 _ [PS.3.4] Se revisa periódicamente
2 11 H ST _ _ [H.ST] Segregación de tareas

11 H ST 1 _ [H.ST.1] Todos los procesos críticos requieren al menos 2 personas
11 H ST 2 _ [H.ST.2] Se definen roles con autorización exclusiva para realizar tareas
11 H ST 2 1 [H.ST.2.1] Usuario del sistema
11 H ST 2 2 [H.ST.2.2] Entrada de datos
11 H ST 2 3 [H.ST.2.3] Autorización de datos
11 H ST 2 4 [H.ST.2.4] Administrador del sistema
11 H ST 2 5 [H.ST.2.5] Administrador de comunicaciones (redes)
11 H ST 2 6 [H.ST.2.6] Administrador de Seguridad
11 H ST 2 7 [H.ST.2.7] Desarrollo y mantenimiento de sistemas
11 H ST 2 8 [H.ST.2.8] Administración de cambios
11 H ST 2 9 [H.ST.2.9] Auditoría de seguridad
11 H ST 2 a [H.ST.2.a] Se proporciona formación en las funciones de cada rol del sistema
11 PS ST 3 _ [H.ST.3] Se controla la efectividad de la estructura de segregación
11 PS ST 3 1 [H.ST.3.1] Se registran todas las operaciones
11 PS ST 3 2 [H.ST.3.2] Se monitorizan todas las operaciones
11 PS ST 3 3 [H.ST.3.3] Se impide que alguien pueda autorizarse a sí mismo
11 PS ST 3 4 [H.ST.3.4] Se impide que los operadores puedan modificar datos de explotación
11 PS ST 3 5 [H.ST.3.5] Se impide que los operadores puedan realizar transacciones
11 PS ST 3 6 [H.ST.3.6] Se designa personal específico para la realización de transferencias de fondos
11 PS ST 3 7 [H.ST.3.7] Los desarrolladores no pueden pasar aplicaciones a producción
11 PS ST 3 8 [H.ST.3.8] Los desarrolladores no pueden configurar aplicaciones en producción
11 PS ST 3 9 [H.ST.3.9] Los operadores ni desarrollan ni pueden modificar los desarrollos
11 PS ST 3 a [H.ST.3.a] Los usuarios ni desarrollan ni pueden modificar los desarrollos
11 PS ST 3 b [H.ST.3.b] Los usuarios ni configuran ni pueden modificar la configuración
11 PS ST 3 c [H.ST.3.c] Se revisan los periodos de vacaciones previstos
11 PS ST 3 d [H.ST.3.d] Se rotan de los turnos de trabajo
11 PS ST 3 e [H.ST.3.e] Hay seguridad de que en todo momento hay más de un operador
11 PS ST 3 f [H.ST.3.f] Se supervisan las operaciones críticas
2 11 PS 5 _ _ [PS.5] Puestos de trabajo

11 PS 5 1 _ [PS.5.1] Se dispone de un inventario de puestos de trabajo
11 PS 5 2 _ [PS.5.2] Se especifican las funciones de los puestos de trabajo
[PS.5.3] Se han determinado las responsabilidades en materia de seguridad de los
11 PS 5 3 _ puestos de trabajo
11 PS 5 4 _ [PS.5.4] Se tienen en cuenta los requisitos de seguridad de los puestos de trabajo
[PS.5.5] Se dispone de normativa de obligado cumplimiento en el desempeño del puesto
11 PS 5 5 _ de trabajo
11 PS 5 5 1 [PS.5.5.1] ... de gestión de la propiedad intelectual (IPR)
11 PS 5 5 2 [PS.5.5.2] ... de tratamiento de datos personales
11 PS 5 5 3 [PS.5.5.3] ... de tratamiento de datos clasificados
[PS.5.6] Se mide el desempeño efectivo, en materia de seguridad, del personal asignado
11 PS 5 6 _ al puesto
11 PS 5 7 _ [PS.5.7] Se revisa periódicamente la especificación del puesto
2 11 PS 6 _ _ [PS.6] Contratación
11 PS 6 1 _ [PS.6.1] Se dispone de normativa para la contratación de personal
11 PS 6 2 _ [PS.6.2] Se dispone de procedimientos para la contratación de personal
11 PS 6 3 _ [PS.6.3] Selección de personal
[PS.6.3.1] Personal propio: se comprueba previamente que el personal cumple los
11 PS 6 3 1 requisitos del puesto
[PS.6.3.2] Personal subcontratado: se comprueba previamente que el personal cumple los
11 PS 6 3 2 requisitos del puesto
[PS.6.3.3] Periódicamente se vuelve a comprobar para el caso de personal con puestos
11 PS 6 3 3 de gran responsabilidad
[PS.6.3.4] Se requiere una habilitación de seguridad de acuerdo al grado de clasificación
11 PS 6 3 4 de la información que se maneja
11 PS 6 4 _ [PS.6.4] Términos y condiciones de la relación laboral
[PS.6.4.1] Inclusión del ámbito, el alcance y el periodo de las responsabilidades en
11 PS 6 4 _ materia de seguridad
11 PS 6 4 _ [PS.6.4.2] Inclusión de obligaciones y derechos legales de ambas partes
[PS.6.4.3] Compromiso escrito de cumplimiento de la política y la normativa
11 PS 6 4 _ correspondiente
11 PS 6 4 _ [PS.6.4.4] Acuerdos de confidencialidad
11 PS 6 4 _ [PS.6.4.5] Procedimiento disciplinario
11 PS 6 5 _ [PS.6.5] Finalización de la relación laboral
11 PS 6 5 1 [PS.6.5.1] Entrevista previa a la finalización
11 PS 6 5 2 [PS.6.5.2] Recuperación de los elementos de seguridad a devolver (llaves, tarjetas, etc.)
[PS.6.5.3] Comunicación de la baja a los responsables de seguridad, y administradores
11 PS 6 5 3 del sistema
2 11 PS 7 _ _ [PS.7] Cambio de puesto de trabajo

11 PS 7 1 _ [PS.7.1] Se revisan sus requisitos y su satisfacción por el empleado
11 PS 7 2 _ [PS.7.2] Se actualizan los acuerdos de confidencialidad
2 11 PS AT _ _ [PS.AT] Formación y concienciación

11 PS AT 1 _ [PS.AT.1] La Política de Seguridad contempla los aspectos de formación y concienciación
[PS.AT.2] Se dispone de normativa relativa a las actividades de formación y
11 PS AT 2 _ concienciación
[PS.AT.3] Se dispone de procedimientos relativos a las tareas de formación y
11 PS AT 3 _ concienciación
11 PS AT 4 _ [PS.AT.4] Concienciación
11 PS AT 4 1 [PS.AT.4.1] Previa al uso de los sistemas
11 PS AT 4 2 [PS.AT.4.2] Cuando se requiere por cambios en el sistema
11 PS AT 4 3 [PS.AT.4.3] Reforzamiento regular
11 PS AT 5 _ [PS.AT.5] Formación
11 PS AT 5 _ [PS.AT.5.1] Se establecen las necesidades de formación según roles y responsabilidades
11 PS AT 5 _ [PS.AT.5.2] Previa al acceso a los sistemas
11 PS AT 5 _ [PS.AT.5.3] Cuando se requiere por cambios en el sistema
11 PS AT 5 _ [PS.AT.5.4] Reforzamiento regular
11 PS AT 6 _ [PS.AT.6] Se dispone de un registro de las actividades de formación y concienciación
11 PS AT 7 _ [PS.AT.7] Evaluación y revisión del plan de formación y concienciación
2 11 PS 9 _ _ [PS.9] Procedimientos de prevención y reacción

11 PS 9 1 _ [PS.9.1] frente a software dañino
11 PS 9 2 _ [PS.9.2] frente a phishing
11 PS 9 3 _ [PS.9.3] frente a extorsión
11 PS 9 4 _ [PS.9.4] frente a ataques de ingeniería social
11 PS a _ _ [PS.a] Protección del usuario frente a coacciones
11 PS a 1 _ [PS.a.1] Se identifican los riesgos y potenciales objetivos
11 PS a 2 _ [PS.a.2] Procedimientos operativos
11 PS a 2 _ [PS.a.2.1] ... de detección
11 PS a 2 _ [PS.a.2.2] ... de reacción
2 11 PS cont _ _ [PS.cont] Aseguramiento de la disponibilidad

11 PS cont 1 _ [PS.cont.1] Se prevé suficiente holgura en el dimensionamiento de los equipos de trabajo
11 PS cont 2 _ [PS.cont.2] Se monitorizan continuamente los incidentes de disponibilidad de personal
11 PS cont 3 _ [PS.cont.3] Redundancia
11 PS cont 3 1 [PS.cont.3.1] Otro personal propio con formación de urgencia
11 PS cont 3 2 [PS.cont.3.2] Otro personal propio ya formado
11 PS cont 3 3 [PS.cont.3.3] Contrato con proveedor de recursos humanos
[PS.cont.4] El personal alternativo está sujeto a las mismas garantías de seguridad que el
11 PS cont 4 _ habitual
2 11 PS c _ _ [PS.c] Personal subcontratado

11 PS c 1 _ [PS.c.1] Se establecen los deberes y obligaciones del personal subcontratado
11 PS c 2 _ [PS.c.2] Se establecen los deberes y obligaciones de la parte contratada
11 PS c 3 _ [PS.c.3] Se establecen los deberes y obligaciones de la parte contratante
[PS.c.4] Se dispone de un procedimiento de resolución de incidentes relacionados con el
11 PS c 4 _ incumplimiento de sus obligaciones
1 1 12 H.IR
[H.IR] Gestión de incidentes
2 12 H.IR 1 _ _ [H.IR.1] Se dispone de normativa de actuación para la gestión de incidentes
2 12 H.IR 2 _ _ [H.IR.2] Se dispone de procedimientos para la gestión de incidentes

12 H.IR 2 1 _ [H.IR.2.1] Actuación frente a código dañino
12 H.IR 2 1 1 [H.IR.2.1.1] Están definidas las responsabilidades en la gestión de código dañino
12 H.IR 2 1 2 [H.IR.2.1.2] Están definidas las medidas de protección contra código dañino
[H.IR.2.1.3] Se dispone de normativa para la recogida de información sobre nuevos virus
12 H.IR 2 1 3 (listas de correos, consulta de páginas web, etc.)
12 H.IR 2 1 4 [H.IR.2.1.4] Se realizan revisiones periódicas de software, datos y sistemas críticos
12 H.IR 2 1 5 [H.IR.2.1.5] Se realizan revisiones periódicas de software y ficheros no autorizados
12 H.IR 2 1 6 [H.IR.2.1.6] Concienciación: ¿cómo actuar frente al código dañino?
12 H.IR 2 1 7 [H.IR.2.1.7] Formación: ¿cómo actuar frente al código dañino?
[H.IR.2.1.8] Los planes de continuidad tienen en cuenta posibles infecciones por código
12 H.IR 2 1 8 dañino
12 H.IR 2 2 _ [H.IR.2.2] Actuación frente a ataques de denegación de servicio (DoS)
12 H.IR 2 3 _ [H.IR.2.3] Actuación ante fallos del sistema e interrupciones del servicio
[H.IR.2.4] Actuación ante errores que resulten de datos del negocio inexactos o
12 H.IR 2 4 _ incompletos
12 H.IR 2 5 _ [H.IR.2.5] Actuación frente a violaciones de la confidencialidad
12 H.IR 2 6 _ [H.IR.2.6] Actuación frente a alarmas de los sistemas de detección de intrusión
12 H.IR 2 7 _ [H.IR.2.7] Actuación frente a alarmas de los sistemas de prevención de intrusión
[H.IR.2.8] Actuación frente a alarmas de los sistemas de monitorización de integridad de
12 H.IR 2 8 _ los ficheros
12 H.IR 2 9 _ [H.IR.2.9] Actuación frente a alarmas de uso no autorizado del sistema
12 H.IR 2 a _ [H.IR.2.a] Actuación frente a fallos del software
12 H.IR 2 b _ [H.IR.2.b] Actuación frente a estaciones base wifi no auorizadas
12 H.IR 2 c _ [H.IR.2.c] Detección y reacción frente a actividades de espionaje industrial
12 H.IR 2 d _ [H.IR.2.d] Detección y reacción frente a actividades de robo de datos de carácter personal
12 H.IR 2 e _ [H.IR.2.e] Actuación frente a otros incidentes
12 H.IR 2 f _ [H.IR.2.f] Coordinación con otros sistemas de información afectados
2 12 H.IR 3 _ _ [H.IR.3] El personal designado cubre las 24h los 7 días de la semana
2 12 H.IR 4 _ _ [H.IR.4] El fallo del sistema deja a este en un estado controlado

12 H.IR 4 1 _ [H.IR.4.1] Se previene la fuga de información
12 H.IR 4 2 _ [H.IR.4.2] Se garantiza la integridad de la información
12 H.IR 4 3 _ [H.IR.4.3] Se previenen daños colaterales sobre otros sistemas
12 H.IR 4 4 _ [H.IR.4.4] Se previenen daños colaterales sobre personas afectadas
2 12 H.IR 5 _ _ [H.IR.5] Gestión del incidente

12 H.IR 5 1 _ [H.IR.5.1] Se suspenden cautelarmente los trabajos en el sistema afectado
12 H.IR 5 2 _ [H.IR.5.2] Se identifica y analiza la causa
12 H.IR 5 3 _ [H.IR.5.3] Se analiza el impacto del incidente
12 H.IR 5 3 _ [H.IR.5.3.1] Daños sobre la misión o negocio del sistema
12 H.IR 5 3 _ [H.IR.5.3.2] Daños sobre los activos del sistema
12 H.IR 5 3 _ [H.IR.5.3.3] Perjuicios a terceros
12 H.IR 5 3 _ [H.IR.5.3.4] Daños colaterales
12 H.IR 5 4 _ [H.IR.5.4] Se planifica la implantación de medidas correctoras
12 H.IR 5 5 _ [H.IR.5.5] Hay comunicación con los afectados por el incidente
12 H.IR 5 5 1 [H.IR.5.5.1] internos
12 H.IR 5 5 2 [H.IR.5.5.2] externos
12 H.IR 5 6 _ [H.IR.5.6] Hay comunicación con los implicados en la recuperación del incidente
12 H.IR 5 6 1 [H.IR.5.6.1] internos
12 H.IR 5 6 2 [H.IR.5.6.2] externos
12 H.IR 5 7 _ [H.IR.5.7] Se informa de las acciones a la autoridad respectiva de la organización
12 H.IR 5 8 _ [H.IR.5.8] Evidencias
12 H.IR 5 8 1 [H.IR.5.8.1] Se recogen pistas de auditoría, atendiendo a su validez, calidad y completitud
12 H.IR 5 8 2 [H.IR.5.8.2] Las evidencias recogidas se almacenan de forma segura
12 H.IR 5 8 3 [H.IR.5.8.3] Evidencias en documentos en papel
12 H.IR 5 8 4 [H.IR.5.8.4] Evidencias en medios electrónicos
2 12 H.IR 6 _ _ [H.IR.6] Ayuda a los afectados
2 12 H.IR 7 _ _ [H.IR.7] Cooperación con otras organizaciones

12 H.IR 7 1 _ [H.IR.7.1] Se mantienen contactos con las autoridades
12 H.IR 7 2 _ [H.IR.7.2] Se mantienen contactos con los organismos reguladores
12 H.IR 7 3 _ [H.IR.7.3] Se mantienen contactos con los proveedores de servicios de información
12 H.IR 7 4 _ [H.IR.7.4] Se mantienen contactos con los operadores de telecomunicaciones
12 H.IR 7 5 _ [H.IR.7.5] Se participa en foros de seguridad
2 12 H.IR 8 _ _ [H.IR.8] Comunicación de los incidentes de seguridad

12 H.IR 8 1 _ [H.IR.8.1] Hay canales establecidos para la comunicación de los incidentes
12 H.IR 8 2 _ [H.IR.8.2] Hay canales establecidos para dar respuesta a los incidentes
2 12 H.IR 9 _ _ [H.IR.9] Comunicación de las deficiencias de seguridad

12 H.IR 9 1 _ [H.IR.9.1] Se han establecido canales para la comunicación de las deficiencias
2 12 H.IR a _ _ [H.IR.a] Comunicación de los fallos del software

12 H.IR a 1 _ [H.IR.a.1] Se han establecido canales para la comunicación de los fallos de SW
[H.IR.a.1.1] Se han definido criterios para interpretar síntomas y mensajes que aparezcen
12 H.IR a 1 1 en pantalla
12 H.IR a 1 2 [H.IR.a.1.2] Hay instrucciones de cómo actuar frente a sistemas que fallan
2 12 H.IR b _ _ [H.IR.b] Se dispone de un registro de incidentes

12 H.IR b 1 _ [H.IR.b.1] Tipo de incidente
12 H.IR b 2 _ [H.IR.b.2] Momento en que se ha producido
12 H.IR b 3 _ [H.IR.b.3] Persona que realiza la notificación
12 H.IR b 4 _ [H.IR.b.4] A quién se le comunica
12 H.IR b 5 _ [H.IR.b.5] Efectos derivados de la misma
12 H.IR b 6 _ [H.IR.b.6] Acciones tomadas
2 12 H.IR c _ _ [H.IR.c] Los fallos y las medidas correctoras se registran y se revisan

12 H.IR c 1 _ [H.IR.c.1] Se registra toda comunicación sobre fallos en el sistema
[H.IR.c.2] Se revisan los registros de fallos para asegurar que todos han sido resueltos
12 H.IR c 2 _ satisfactoriamente
12 H.IR c 3 _ [H.IR.c.3] Se revisan las medidas correctoras para comprobar que son efectivas
12 H.IR c 4 _ [H.IR.c.4] Se retienen los registros de fallos durante el periodo establecido
2 12 H.IR d _ _ [H.IR.d] Control formal del proceso de recuperación ante el incidente

12 H.IR d 1 _ [H.IR.d.1] Se ha identificado el personal que va a gestionar el incidente
12 H.IR d 2 _ [H.IR.d.2] Se requiere autorización previa del personal que va a gestionar el incidente
12 H.IR d 3 _ [H.IR.d.3] Queda registro de todas las acciones realizadas
12 H.IR d 4 _ [H.IR.d.4] Cada acción de emergencia es aprobada por la Dirección
[H.IR.d.5] Se comprueba la integridad de los sistemas y de las medidas de control de
12 H.IR d 5 _ seguridad
2 12 H.IR e _ _ [H.IR.e] Formación y concienciación

12 H.IR e 1 _ [H.IR.e.1] Concienciación en la detección y reporte de incidentes
12 H.IR e 2 _ [H.IR.e.2] Formación del personal en detección y gestión de incidentes
12 H.IR e 3 _ [H.IR.e.3] Se tiene en cuenta la singularidad del sistema
12 H.IR e 3 1 [H.IR.e.3.1] Requisitos de seguridad
12 H.IR e 3 2 [H.IR.e.3.2] Responsabilidades legales y contractuales
12 H.IR e 3 3 [H.IR.e.3.3] Amenazas potenciales
12 H.IR e 3 4 [H.IR.e.3.4] Vulnerabilidades identificadas
12 H.IR e 3 5 [H.IR.e.3.5] Incidentes ocurridos
12 H.IR e 4 _ [H.IR.e.4] Se prueban regularmente los procedimientos de gestión de incidentes
2 12 H.IR f _ _ [H.IR.f] Se aprende de los incidentes

[H.IR.f.1] Se han definido indicadores para la cuantificación y monitorización de los
12 H.IR f 1 _ incidentes
[H.IR.f.2] Se actualizan los procedimientos de usuario para incorporar o mejorar la
12 H.IR f 2 _ identificación y forma de reaccionar ante el mismo incidente o incidentes similares
[H.IR.f.3] Se actualizan, extienden, mejoran u optimizan los procedimientos de resolución
12 H.IR f 3 _ de incidentes
2 12 H.IR g _ _ [H.IR.g] Se toman medidas para prevenir la repetición
1 1 13 BC [BC] Continuidad del negocio

2 13 BC 1 _ _ [BC.1] Se dispone de normativa relativa a la continuidad del negocio
13 BC 1 1 _ [BC.1.1] Marco administrativo
[BC.1.1.1] Están definidos el objeto y el alcance (funciones, procesos y plataformas
13 BC 1 1 1 afectadas)
13 BC 1 1 2 [BC.1.1.2] Se dispone de normativa de valoración de daños
13 BC 1 1 3 [BC.1.1.3] Información de referencia
13 BC 1 1 4 [BC.1.1.4] Se tienen en cuenta los requisitos legales y contractuales
13 BC 1 1 5 [BC.1.1.5] Se definen roles y responsabilidades
2 13 BC 2 _ _ [BC.2] El inventario se actualiza regularmente

13 BC 2 1 _ [BC.2.1] Cuando entran nuevos sistemas de información en producción
13 BC 2 2 _ [BC.2.2] Cuando se retiran sistemas de información de producción
13 BC 2 3 _ [BC.2.3] Cuando entran servicios en producción
13 BC 2 4 _ [BC.2.4] Cuando hay cambios en los servicios
13 BC 2 5 _ [BC.2.5] Cuando se retiran servicios de producción
13 BC 2 6 _ [BC.2.6] Cuando entran aplicaciones (SW) en producción
13 BC 2 7 _ [BC.2.7] Cuando hay cambios en las aplicaciones (SW)
13 BC 2 8 _ [BC.2.8] Cuando se retiran aplicaciones (SW) de producción
13 BC 2 9 _ [BC.2.9] Cuando entra equipamiento (HW) en producción
13 BC 2 a _ [BC.2.a] Cuando hay cambios en el equipamiento (HW)
13 BC 2 b _ [BC.2.b] Cuando se retira equipamiento (HW) de producción
13 BC 2 c _ [BC.2.c] Cuando entran en producción servicios de comunicaciones
13 BC 2 d _ [BC.2.d] Cuando hay cambios en los servicios de comunicaciones
13 BC 2 e _ [BC.2.e] Cuando se retiran servicios de comunicaciones de producción
13 BC 2 f _ [BC.2.f] Cuando se estrenan nuevas instalaciones
13 BC 2 g _ [BC.2.g] Cuando hay cambios en las instalaciones
13 BC 2 h _ [BC.2.h] Cuando se cierran instalaciones
13 BC 2 i _ [BC.2.i] Cuando hay cambios en el personal adscrito
2 13 BC BIA _ _ [BC.BIA] Se ha realizado un análisis de impacto (BIA)

13 BC BIA 1 _ [BC.BIA.1] Se identifican y priorizan los procesos críticos
13 BC BIA 2 _ [BC.BIA.2] Se identifican los activos involucrados en los procesos críticos
13 BC BIA 3 _ [BC.BIA.3] Se establecen objetivos de recuperación para cada proceso crítico (RTO)
13 BC BIA 4 _ [BC.BIA.4] Se establecen objetivos de recuperación para cada información crítica (RPO)
13 BC BIA 5 _ [BC.BIA.5] Se identifican eventos posibles y su potencialidad de producir una interrupción
[BC.BIA.6] Se identifican los impactos en términos de tiempo de interrupción, daños y
13 BC BIA 6 _ tiempo de recuperación
2 13 BC 4 _ _ [BC.4] Actividades preparatorias

13 BC BIA 1 _ [BC.4.1] Se adoptan medidas preventivas
13 BC BIA 2 _ [BC.4.2] Se dispone de seguros contra interrupciones en el negocio
[BC.4.3] Se identifican las necesidades de copias de seguridad (backup) y su
13 BC BIA 3 _ almacenamiento
13 BC BIA 4 _ [BC.4.4] Se identifican las necesidades de equipamiento alternativo
13 BC BIA 5 _ [BC.4.5] {xor} Se identifican las necesidades de un centro alternativo
13 BC BIA 5 1 [BC.4.5.1] "Cold site"
13 BC BIA 5 2 [BC.4.5.2] "Warm site"
13 BC BIA 5 3 [BC.4.5.3] "Hot site"
13 BC BIA 5 4 [BC.4.5.4] "Mirrored site"
2 13 BC 5 _ _ [BC.5] Reacción (gestión de crisis)

13 BC 5 1 _ [BC.5.1] Se han designado responsables
13 BC 5 2 _ [BC.5.2] Se dispone de un plan de gestión de crisis
13 BC 5 3 _ [BC.5.3] Todas las áreas de la organización están coordinadas
2 13 BC DRP _ _ [BC.DRP] Plan de Recuperación de Desastres (DRP)

13 BC DRP 1 _ [BC.DRP.1] Se han designado responsables
13 BC DRP 2 _ [BC.DRP.2] Todas las áreas de la organización están coordinadas
13 BC DRP 3 _ [BC.DRP.3] Documentación
13 BC DRP 3 1 [BC.DRP.3.1] La documentación se aprueba y se garantiza que llegue a los afectados
13 BC DRP 3 2 [BC.DRP.3.2] Los planes se mantienen al día dentro de un proceso de mejora continua
13 BC DRP 4 _ [BC.DRP.4] Notificación y activación
13 BC DRP 4 1 [BC.DRP.4.1] Se dispone de un procedimiento de notificación
13 BC DRP 4 2 [BC.DRP.4.2] Se dispone de un procedimiento de activación del plan
13 BC DRP 5 _ [BC.DRP.5] Se dispone de un plan de recuperación
13 BC DRP 5 1 [BC.DRP.5.1] Están detalladas las actividades de recuperación
13 BC DRP 5 2 [BC.DRP.5.2] Están detallados los procedimientos de recuperación
13 BC DRP 5 3 [BC.DRP.5.3] Se han previsto los recursos necesarios
13 BC DRP 5 4 [BC.DRP.5.4] Están previstas instalaciones alternativas
13 BC DRP 5 5 [BC.DRP.5.5] Las copias de seguridad (backup) se realizan con la frecuencia acordada
[BC.DRP.5.6] Están previstos los medios alternativos de almacenamiento de la
13 BC DRP 5 6 información
13 BC DRP 5 7 [BC.DRP.5.7] Están previstos los medios alternativos de procesamiento de la información
13 BC DRP 5 8 [BC.DRP.5.8] Están previstos medios alternativos de comunicación
13 BC DRP 5 9 [BC.DRP.5.9] Está previsto personal alternativo
13 BC DRP 5 a [BC.DRP.5.a] Están previstos los lugares alternativos de trabajo
13 BC DRP 6 _ [BC.DRP.6] Se ejecuta un plan de formación
13 BC DRP 7 _ [BC.DRP.7] Los planes se prueban regularmente
13 BC DRP 7 1 [BC.DRP.7.1] Las pruebas incluyen varios escenarios
13 BC DRP 7 2 [BC.DRP.7.2] Se simulan situaciones de crisis
13 BC DRP 7 3 [BC.DRP.7.3] Se realizan pruebas de recuperación técnica
13 BC DRP 7 4 [BC.DRP.7.4] Se realizan pruebas de recuperación en un centro alternativo
13 BC DRP 7 5 [BC.DRP.7.5] Se realizan pruebas de los recursos y servicios de los proveedores
[BC.DRP.7.6] Se registran las lecciones aprendidas y se aplican dentro del proceso de
13 BC DRP 7 6 mejora continua
2 13 BC 7 _ _ [BC.7] Restitución (retorno a condiciones normales de trabajo)

13 BC 7 1 _ [BC.7.1] Se dispone de normativa para la vuelta a la normalidad
13 BC 7 2 _ [BC.7.2] Se evalúa el proceso de retorno al terminarlo
1 1 14 G [G] Organización
2 14 G 1 _ _ [G.1] Organización interna
14 G 1 1 _ [G.1.1] Comité de seguridad de la información
14 G 1 1 1 [G.1.1.1] Está respaldado por la dirección
14 G 1 1 2 [G.1.1.2] Define claramente las funciones de seguridad
14 G 1 1 3 [G.1.1.3] Aprueba las designaciones de responsables de seguridad
14 G 1 1 4 [G.1.1.4] Identifica los objetivos de seguridad
14 G 1 1 5 [G.1.1.5] Revisa, evalúa y aprueba la normativa de seguridad
14 G 1 1 6 [G.1.1.6] Asegura la coordinación en materia de seguridad dentro de la organización
14 G 1 2 _ [G.1.2] Coordinación interna
14 G 1 2 1 [G.1.2.1] Representación de todos los áreas de la organización
[G.1.2.2] Se garantiza que todas las actividades de seguridad se llevan a cabo según la
14 G 1 2 2 política
14 G 1 2 3 [G.1.2.3] Se identifican no conformidades e incumplimientos
14 G 1 2 4 [G.1.2.4] Se aprueban metodologías, procedimientos, normas, etc
14 G 1 3 _ [G.1.3] Roles identificados
14 G 1 3 1 [G.1.3.1] Responsable(s) de la información
14 G 1 3 2 [G.1.3.2] Responsable(s) de los servicios
14 G 1 3 3 [G.1.3.3] Responsable de la seguridad de la información
14 G 1 3 4 [G.1.3.4] Responsable del sistema
14 G 1 4 _ [G.1.4] Asignación de responsabilidades para la seguridad de la información
14 G 1 4 1 [G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con
cada sistema específico
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con
14 G 1 4 2 cada sistema específico
14 G 1 4 3 [G.1.4.3] Se documentan los detalles de cada responsabilidad
14 G 1 4 4 [G.1.4.4] Se definen y documentan claramente los niveles de autorización
14 G 1 5 _ [G.1.5] Se dispone de asesoramiento especializado en seguridad
2 14 G 2 _ _ [G.2] Documentación técnica (componentes)

14 G 2 _ _ [G.2.1] Documentación de los componentes del sistema
14 G 2 1 _ [G.2.1.1] Documentación de las instalaciones
14 G 2 1 _ [G.2.1.2] Documentación de las comunicaciones
14 G 2 1 _ [G.2.1.3] Puntos de interconexión (entre zonas de confianza)
14 G 2 1 _ [G.2.1.4] Documentación de los puntos de acceso lógico al sistema
14 G 2 1 _ [G.2.1.5] Documentación del control de acceso
14 G 2 2 _ [G.2.2] Criterios de aceptación para versiones o sistemas nuevos
14 G 2 2 1 [G.2.2.1] Se revisa la documentación del sistema (nueva o actualizada)
14 G 2 2 2 [G.2.2.2] Se revisan las medidas de seguridad a implantar
14 G 2 2 3 [G.2.2.3] Se revisa la documentación de seguridad
14 G 2 2 4 [G.2.2.4] Se revisan los procedimientos de operación del sistema
14 G 2 2 5 [G.2.2.5] Se revisan los procedimientos de recuperación ante errores y de reinicio
14 G 2 2 6 [G.2.2.6] Se comrpueba la facilidad de uso
14 G 2 2 7 [G.2.2.7] Se comprueba el rendimiento y capacidad de procesamiento
14 G 2 2 8 [G.2.2.8] Se estudian los efectos en el rendimiento y en la seguridad de su implantación
14 G 2 2 9 [G.2.2.9] Se realizan pruebas de aceptación
14 G 2 2 a [G.2.2.a] Se forma a los afectados
14 G 2 2 b [G.2.2.b] Los operadores y usuarios son consultados en el proceso de desarrollo
14 G 2 2 c [G.2.2.c] Se dispone de certificación independiente
14 G 2 3 _ [G.2.3] Seguridad de la documentación del sistema
14 G 2 3 1 [G.2.3.1] El acceso se limita a quien necesita conocer
[G.2.3.2] El propietario del sistema sólo concede acceso a un número restringidos de
14 G 2 3 1 personas
14 G 2 3 1 [G.2.3.3] Almacenamiento seguro
14 G 2 3 1 [G.2.3.4] Transferencia segura
14 G 2 3 1 [G.2.3.5] Norma de copias de seguridad (backup)
14 G 2 3 1 [G.2.3.6] Norma de retención de versiones previas
2 14 G 3 _ _ [G.3] Documentación organizativa (normas y procedimientos)

14 G 3 1 _ [G.3.1] Marco de referencia
14 G 3 1 1 [G.3.1.1] Se identifican los requisitos legales
14 G 3 1 2 [G.3.1.2] Se identifican los requisitos reglamentarios (sectoriales)
14 G 3 1 3 [G.3.1.3] Se identifican los requisitos contractuales
14 G 3 1 4 [G.3.1.4] Se dispone de asesoría legal
14 G 3 1 5 [G.3.1.5] Se han identificado los roles y responsabilidades requeridas
14 G 3 1 6 [G.3.1.6] Se revisa regularmente
14 G 3 2 _ [G.3.2] Política de Seguridad de la Organización
14 G 3 2 1 [G.3.2.1] Está coordinada con la Política de Seguridad Global de la Organización
14 G 3 2 2 [G.3.2.2] Recoge los objetivos y la misión de la Organización
14 G 3 2 3 [G.3.2.3] Está aprobada y respaldada por la Dirección
14 G 3 2 4 [G.3.2.4] Todo el personal de la organización tiene acceso al documento
14 G 3 2 5 [G.3.2.5] Es conocida y aceptada por los afectados
14 G 3 2 6 [G.3.2.6] Incluye referencias normativas y procedimientos específicos
14 G 3 2 7 [G.3.2.7] El documento se gestiona formalmente
14 G 3 3 _ [G.3.3] Normas de seguridad
14 G 3 3 1 [G.3.3.1] Emanan y están aprobadas por el responsable de seguridad
14 G 3 3 2 [G.3.3.2] Se precisa lo que es uso adecuado y uso indebido
[G.3.3.3] Se precisa la responsabilidad de las personas respecto de su cumplimiento y
14 G 3 3 3 violación
14 G 3 3 4 [G.3.3.4] Todo el personal de la organización tiene acceso a los documentos
14 G 3 3 5 [G.3.3.5] Son conocidas y aceptadas por los afectados
14 G 3 3 6 [G.3.3.6] Se revisan regularmente
14 G 3 4 _ [G.3.4] Procedimientos operativos de seguridad (POS)
14 G 3 4 1 [G.3.4.1] Emanan y están aprobados por el responsable del sistema
14 G 3 4 2 [G.3.4.2] Están aprobados por el responsable de seguridad
14 G 3 4 3 [G.3.4.3] Se tiene en cuenta el análisis de riesgos
14 G 3 4 4 [G.3.4.4] Se detalla quién es responsable de cada actividad
14 G 3 4 5 [G.3.4.5] Se detallan los pasos a seguir para realizar la actividad
14 G 3 4 6 [G.3.4.6] Se detallan los registros que deben quedar de la actuación
14 G 3 4 7 [G.3.4.7] Cada persona tiene acceso a los documentos que le competen
14 G 3 4 8 [G.3.4.8] Son conocidos y aceptadas por los afectados
14 G 3 4 9 [G.3.4.9] Se revisan regularmente
14 G 3 5 _ [G.3.5] Se revisa periódicamente el cumplimiento por parte del personal
2 14 RM _ _ _ [RM] Gestión de riesgos

14 RM 1 _ _ [RM.1] Se dispone de normativa en materia de gestión de riesgos
14 RM 1 1 _ [RM.1.1] Se dispone de criterios de valoración de activos
14 RM 1 2 _ [RM.1.2] Se dispone de criterios de valoración de amenazas y vulnerabilidades
14 G 1 3 _ [RM.1.3] Se dispone de criterios de valoración de la eficacia de las salvaguardas
14 G 1 4 _ [RM.1.4] Se tienen en cuenta los requisitos legales y contractuales
14 G 1 5 _ [RM.1.5] Se definen roles y responsabilidades
14 G 1 6 _ [RM.2] Se han designado responsables
14 G 2 _ _ [RM.2] Se han designado responsables
[RM.3] Se dispone de procedimientos para llevar a cabo las tareas de análisis y gestión
14 G 3 _ _ de riesgos
14 G 4 _ _ [RM.4] Activos
74 G 4 1 _ [RM.4.1] Se identifican los activos más valiosos
74 G 4 2 _ [RM.4.2] Se valoran los activos más valiosos
74 G 4 3 _ [RM.4.3] Se identifican y valoran todos los activos del sistema
14 G 5 _ _ [RM.5] Amenazas
14 G 5 1 _ [RM.5.1] Se identifican las amenazas más probables
14 G 5 2 _ [RM.5.2] Se valoran las amenazas más probables
14 G 5 3 _ [RM.5.3] Se identifican las amenazas con un impacto notable
14 G 5 4 _ [RM.5.4] Se valoran las amenazas con un impacto notable
14 G 5 5 _ [RM.5.5] Se identifican y valoran todas las amenazas posibles
14 G 5 6 _ [RM.5.6] Se identifican las vulnerabilidades del sistema
14 RM 6 _ _ [RM.6] Salvaguardas
14 RM 6 1 _ [RM.6.1] Se identifican las principales salvaguardas
14 RM 6 2 _ [RM.6.2] Se valoran las principales salvaguardas
14 RM 6 3 _ [RM.6.3] Se identifican y valoran todas las salvaguardas aplicables
14 RM 7 _ _ [RM.7] Evaluación de riesgos
14 RM 7 1 _ [RM.7.1] Se identifican los pricipales riesgos residuales
14 RM 7 2 _ [RM.7.2] Se evalúan los principales riesgos residuales
14 RM 7 3 _ [RM.7.3] Se identifica y evalúa el riesgo residual
14 RM 8 _ _ [RM.8] Se revisa periódicamente
14 RM 8 1 _ [RM.8.1] Se revisan periódicamente los activos
14 RM 8 2 _ [RM.8.2] Se revisan periódicamente las amenazas
14 RM 8 1 _ [RM.8.3] Se revisan periódicamente las vulnerabilidades
14 RM 8 1 _ [RM.8.4] Se evalúa periódicamente la idoneidad de los controles implantados
2 14 G 6 _ _ [G.plan] Planificación de la seguridad

14 G plan 6 _ [G.plan.1] Se dispone de normativa de planificación (de seguridad)
14 G plan 6 _ [G.plan.2] Procedimientos de planificación (de seguridad)
14 G plan 6 _ [G.plan.3] Planificación de capacidades
14 G plan 6 _ [G.plan.4] Componentes críticos: carentes de suministradores alternativos
14 G plan 6 _ [G.plan.5] Planificación de actividades de seguridad
2 14 G exam _ _ [G.exam] Inspecciones de seguridad

[G.exam.1] Se dispone de normativa de certificación, acreditación y revisiones de
14 G exam 1 _ seguridad
[G.exam.2] Se dispone de procedimientos de certificación, acreditación y revisiones de
14 G exam 2 _ seguridad
[G.exam.3] Revisión del cumplimiento de los requisitos técnicos de los sistemas de
14 G exam 3 _ información
14 G exam 3 _ [G.exam.3.1] Revisión por un equipo de auditoría interna
14 G exam 3 _ [G.exam.3.2] Revisión por un auditor / empresa especializado e independiente
14 G exam 4 _ [G.exam.4] Plan de acción
[G.exam.4.1] Se reparan urgentemente los defectos descubiertos que implican un alto
14 G exam 4 1 riesgo
[G.exam.4.2] Se reparan con diligencia los defectos descubiertos que implican un cierto
14 G exam 4 2 riesgo
[G.exam.4.3] Se planifica la reparación de los defectos descubiertos que implican un
14 G exam 4 3 riesgo bajo
14 G exam 5 _ [G.exam.5] Certificación o acreditación del sistema
14 G exam 6 _ [G.exam.6] Actualización de la evaluación
14 G exam 6 1 [G.exam.6.1] Regular (periodicidad establecida)
14 G exam 6 2 [G.exam.6.2] Tras efectuar cambios significativos
2 14 G 8 _ _ [G.8] Salvaguarda de los registros de la Organización (vital records)

14 G 8 1 _ [G.8.1] Se dispone de un inventario
14 G 8 1 1 [G.8.1.1] títulos de la organización
14 G 8 1 2 [G.8.1.2] formas de ago: pagarés, letras de cambio, etc.
14 G 8 1 3 [G.8.1.3] evidencias: registros de actividad
14 G 8 1 4 [G.8.1.4] registros de auditoría
14 G 8 2 _ [G.8.2] El almacenamiento se realiza de forma segura
14 G 8 2 1 [G.8.2.1] Se protege la integridad: frente a manipulaciones
14 G 8 2 2 [G.8.2.2] Se protege la disponibilidad: frente a pérdidas
14 G 8 3 _ [G.8.3] Se tienen en cuenta los requisitos legales y contractuales
14 G 8 4 _ [G.8.4] Se cumplen los requisitos de continuidad de negocio
[G.8.5] Se dispone de guías sobre retención, almacenamiento, tratamiento y eliminación
14 G 8 5 _ de los registros
14 G 8 6 _ [G.8.6] Se retienen los registros durante el periodo establecido
1 1 15 E
[E] Relaciones Externas
2 15 E 1 _ _ [E.1] Acuerdos para intercambio de información y software
15 E 1 1 _ [E.1.1] Se define la propiedad de la información y del software
15 E 1 2 _ [E.1.2] Se definen responsabilidades de custodia
15 E 1 3 _ [E.1.3] Se definen responsabilidades sobre datos de carácter personal
[E.1.4] IPR: Se definen responsabilidades sobre protección de la propiedad intelectual /
15 E 1 4 _ industrial
15 E 1 5 _ [E.1.5] Se definen responsabilidades en materia de legislación
[E.1.6] Se definen responsabilidades para el control y notificación del envío, transmisión y
15 E 1 6 _ entrega
15 E 1 7 _ [E.1.7] Se definen responsabilidades y obligaciones en caso de incidente de seguridad
15 E 1 8 _ [E.1.8] Se protege el derecho de auditar directamente o por terceros el cumplimiento de

las responsabilidades contractuales
15 E 1 9 _ [E.1.9] Se establecen restricciones en la copia o divulgación de la información
15 E 1 a _ [E.1.a] Se garantiza la confidencialidad de la información
15 E 1 b _ [E.1.b] Se garantiza la integridad de la información
15 E 1 c _ [E.1.c] Se garantiza la disponibilidad de la información
15 E 1 d _ [E.1.d] Se establecen controles para asegurar la recuperación de información cuando se

requiera
[E.1.e] Se establecen controles para asegurar la destrucción de la información cuando se
15 E 1 e _ requiera
15 E 1 f _ [E.1.f] Se dispone de procedimientos para la notificación del envío, transmisión y

recepción
15 E 1 g _ [E.1.g] Se dispone de procedimientos que aseguren la trazabilidad y el no repudio
15 E 1 h _ [E.1.h] Se determinan los estándares técnicos adecuados para el encapsulado de la

información y su transmisión
15 E 1 i _ [E.1.i] Se dispone de normativa para la identificación del mensajero
15 E 1 j _ [E.1.j] Se determina un sistema de etiquetado adecuado para la información sensible o
crítica
15 E 1 k _
[E.1.k] Se dispone de normativa para la grabación y lectura de información y software
15 E 1 l _ [E.1.l] Se revisa regularmente el cumplimiento de acuerdos y contratos
2 15 E 1 _ _ [E.2] Acceso externo

15 E 2 1 _ [E.2.1] Se identifican los riesgos
15 E 2 2 _ [E.2.2] Se determinan los método(s) de acceso autorizados
15 E 2 3 _ [E.2.3] Se usan identificadores únicos y se controla su uso
15 E 2 4 _ [E.2.4] Se dispone de una relación de usuarios autorizados
15 E 2 5 _
[E.2.5] Se dispone de normativa para la autorización del acceso y concesión de privilegios
15 E 2 6 _ [E.2.6] Se garantiza el derecho para controlar (y suspender en su caso) la actividad de los

usuarios
1 1 16 NEW
[NEW] Adquisición / desarrollo
2 16 NEW S _ _ [NEW.S] Servicios: Adquisición o desarrollo
16 NEW S 1 _ [NEW.S.1] Se asignan recursos suficientes
16 NEW S 2 _ [NEW.S.2] Se establecen previamente los requisitos funcionales
16 NEW S 3 _ [NEW.S.3] Se identifican los requisitos de seguridad de acuerdo a los condicionantes del
negocio
16 NEW S 3 1 [NEW.S.3.1] Se tienen en cuenta las obligaciones legales
16 NEW S 3 2 [NEW.S.3.2] Se tienen en cuenta las obligaciones contractuales
16 NEW S 3 3 [NEW.S.3.3] Se tienen en cuenta los estándares aplicables
16 NEW S 3 4 [NEW.S.3.4] Se tiene en cuenta la política de seguridad de la organización
16 NEW S 3 5
[NEW.S.3.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEW S 4 _ [NEW.S.4] Se identifican los requisitos técnicos de seguridad
16 NEW S 4 1 [NEW.S.4.1] Se tienen en cuenta los requisitos de control de acceso
16 NEW S 4 2 [NEW.S.4.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEW S 4 3 [NEW.S.4.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEW S 4 4 [NEW.S.4.4] Se tienen en cuenta los requisitos de integridad
16 NEW S 4 5 [NEW.S.4.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEW S 4 6 [NEW.S.4.6] Se tienen en cuenta los requisitos de autenticidad
16 NEW S 4 7 [NEW.S.4.7] Se tienen en cuenta los requisitos de trazabilidad (accounting)
2 16 NEW SW _ _ [NEW.SW] Aplicaciones: Adquisición o desarrollo

16 NEW SW 1 _ [NEW.SW.1] Se establecen previamente los requisitos funcionales
[NEW.SW.2] Se identifican los requisitos de seguridad de acuerdo a los condicionantes
16 NEW SW 2 _ del negocio
16 NEW SW 2 1 [NEW.SW.2.1] Se tienen en cuenta las obligaciones legales
16 NEW SW 2 2 [NEW.SW.2.2] Se tienen en cuenta las obligaciones contractuales
16 NEW SW 2 3 [NEW.SW.2.3] Se tienen en cuenta los estándares aplicables
16 NEW SW 2 4 [NEW.SW.2.4] Se tiene en cuenta la política de seguridad de la organización
16 NEW SW 2 5
[NEW.SW.2.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEW SW 3 _ [NEW.SW.3] Se identifican los requisitos técnicos de seguridad
16 NEW SW 3 1 [NEW.SW.3.1] Se tienen en cuenta los requisitos de control de acceso
16 NEW SW 3 2 [NEW.SW.3.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEW SW 3 3 [NEW.SW.3.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEW SW 3 4 [NEW.SW.3.4] Se tienen en cuenta los requisitos de integridad
16 NEW SW 3 5 [NEW.SW.3.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEW SW 3 6 [NEW.SW.3.6] Se tienen en cuenta los requisitos de auditoría
16 NEW SW 3 7 [NEW.SW.3.7] Se tienen en cuenta los requisitos de registro
16 NEW SW 4 _ [NEW.SW.4] Adquisición de aplicaciones SW
16 NEW SW 4 1 [NEW.SW.4.1] Adquisición de SW solamente de fuentes reputables
16 NEW SW 4 2 [NEW.SW.4.2] Se usan productos certificados / evaluados
16 NEW SW 5 _ [NEW.SW.5] Desarrollo
16 NEW SW 5 1 [NEW.SW.5.1] Metodología de desarrollo
16 NEW SW 5 2 [NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
16 NEW SW 5 3 [NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
2 16 NEW HW _ _ [NEW.HW] Equipos: Adquisición o desarrollo

16 NEW HW 1 _ [NEW.HW.1] Se establecen previamente los requisitos funcionales
[NEW.HW.2] Se identifican los requisitos de seguridad de acuerdo a los condicionantes
16 NEW HW 2 _ del negocio
16 NEW HW 2 1 [NEW.HW.2.1] Se tienen en cuenta las obligaciones legales
16 NEW HW 2 2 [NEW.HW.2.2] Se tienen en cuenta las obligaciones contractuales
16 NEW HW 2 3 [NEW.HW.2.3] Se tienen en cuenta los estándares aplicables
16 NEW HW 2 4 [NEW.HW.2.4] Se tiene en cuenta la política de seguridad de la organización
16 NEW HW 2 5 [NEW.HW.2.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEW HW 3 _ [NEW.HW.3] Se identifican los requisitos técnicos de seguridad
16 NEW HW 3 1 [NEW.HW.3.1] Se tienen en cuenta los requisitos de control de acceso
16 NEW HW 3 2 [NEW.HW.3.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEW HW 3 3 [NEW.HW.3.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEW HW 3 4 [NEW.HW.3.4] Se tienen en cuenta los requisitos de integridad
16 NEW HW 3 5 [NEW.HW.3.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEW HW 4 _ [NEW.HW.4] Adquisición de HW
[NEW.HW.4.1] IPR: Se establecen acuerdos sobre los derechos de propiedad intelectual
16 NEW HW 4 1 del producto
16 NEW HW 4 2 [NEW.HW.4.2] Se dispone de un protocolo de pruebas del producto
16 NEW HW 4 3 [NEW.HW.4.3] Se exigen garantías sobre actualización del producto
16 NEW HW 4 4 [NEW.HW.4.4] Se establecen acuerdos para hacerse cargo en el caso de fallo de terceros
16 NEW HW 4 5 [NEW.HW.4.5] Se establecen cláusulas de penalización
16 NEW HW 5 _ [NEW.HW.5] Desarrollo de HW
16 NEW HW 5 1 [NEW.HW.5.1] Metodología de desarrollo
16 NEW HW 5 2 [NEW.HW.5.2] Protocolo de pruebas
16 NEW HW 5 3 [NEW.HW.5.3] Desarrollo
16 NEW HW 6 _ [NEW.HW.6] Se tienen en cuenta las necesidades de formación
16 NEW HW 7 _ [NEW.HW.7] Se tienen en cuenta las necesidades de repuestos
16 NEW HW 8 _ [NEW.HW.8] Documentación del HW
16 NEW HW 8 1 [NEW.HW.8.1] Esquema hardware
16 NEW HW 8 2 [NEW.HW.8.2] Existe una descripción detallada de componentes
16 NEW HW 8 3 [NEW.HW.8.3] Existe una descripción de las herramientas de desarrollo
16 NEW HW 8 4 [NEW.HW.8.4] Existe una descripción de las herramientas de verificación
[NEW.HW.9] Se disponen derechos de acceso para auditar la calidad y exactitud del
16 NEW HW 9 _ trabajo realizado
[NEW.HW.a] La calidad y exactitud del trabajo realizado se certifica según los estándares
16 NEW HW a _ requeridos
16 NEW HW b _ [NEW.HW.b] Entorno de pruebas
16 NEW HW b 1 [NEW.HW.b.1] Se controla el acceso al entorno de pruebas
2 16 NEWCOM _ _ [NEW.COM] Comunicaciones: Adquisición o contratación

16 NEWCOM 1 _ [NEW.COM.1] Se establecen previamente los requisitos funcionales
16 NEWCOM 2 _ [NEW.COM.2] Se identifica el tipo de conexión a establecer
[NEW.COM.3] Se revisan las características de la solución propuesta (sobre red pública o
16 NEWCOM 3 _ privada, de datos, de voz y datos, etc.)
[NEW.COM.4] Se identifican los requisitos de seguridad de acuerdo a los condicionantes
16 NEWCOM 4 _ del negocio
16 NEWCOM 4 1 [NEW.COM.4.1] Se tienen en cuenta las obligaciones legales
16 NEWCOM 4 2 [NEW.COM.4.2] Se tienen en cuenta las obligaciones contractuales
16 NEWCOM 4 3 [NEW.COM.4.3] Se tienen en cuenta los estándares aplicables
16 NEWCOM 4 4 [NEW.COM.4.4] Se tiene en cuenta la política de seguridad de la organización
16 NEWCOM 4 5 [NEW.COM.4.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEWCOM 5 _ [NEW.COM.5] Se identifican los requisitos técnicos de seguridad
16 NEWCOM 5 1 [NEW.COM.5.1] Se tienen en cuenta los requisitos de control de acceso
16 NEWCOM 5 2 [NEW.COM.5.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEWCOM 5 3 [NEW.COM.5.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEWCOM 5 4 [NEW.COM.5.4] Se tienen en cuenta los requisitos de integridad
16 NEWCOM 5 5 [NEW.COM.5.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEWCOM 5 6 [NEW.COM.5.6] Se tienen en cuenta los requisitos de autenticidad
16 NEWCOM 5 7 [NEW.COM.5.7] Se tienen en cuenta los requisitos de trazabilidad (accounting)
16 NEWCOM 6 _ [NEW.COM.6] Se revisa la arquitectura de la red de la organización
[NEW.COM.6.1] Tipos de redes existentes (redes de área local, de área metropolitana, de
16 NEWCOM 6 _ área extensa)
16 NEWCOM 6 _ [NEW.COM.6.2] Protocolos empleados
16 NEWCOM 6 _ [NEW.COM.6.3] Aplicaciones de red (emulación de terminales, cliente-servidor, ...)
[NEW.COM.7] Se identifican los riesgos de la solución propuesta, y las salvaguardas
16 NEWCOM 7 _ necesarias
16 NEWCOM 8 _ [NEW.COM.8] La solución propuesta está completamente documentada
2 16 NEW MP _ _ [NEW.MP] Soportes de Información: Adquisición

16 NEW MP 1 _ [NEW.MP.1] Se dispone de normativa de adquisición
16 NEW MP 2 _ [NEW.MP.2] Se planifican las necesidades de soportes de información
[NEW.MP.3] Se identifican los requisitos de retención (según necesidades de legislación,
16 NEW MP 3 _ contratos, etc.)
16 NEW MP 4 _ [NEW.MP.4] Requisitos solicitados a los fabricantes
16 NEW MP 4 1 [NEW.MP.4.1] Cumplimiento de normas o estándares de fabricación
16 NEW MP 4 2 [NEW.MP.4.2] Manual de conservación y de protección física de los diversos soportes
16 NEW MP 4 3 [NEW.MP.4.3] Certificados de durabilidad de los soportes
16 NEW MP 4 4 [NEW.MP.4.4] Tiempo medio de funcionamiento entre fallos
16 NEW MP 4 5 [NEW.MP.4.5] Vida útil de la unidad
16 NEW MP 4 6 [NEW.MP.4.6] Vida útil de las unidades grabadas
2 16 NEW C _ _ [NEW.C] Productos certificados o acreditados

16 NEW C 1 _ [NEW.C.1] Se verifica la idoneidad para la misión encomendada
[NEW.C.1.1] Las amenazas a las que está expuesto están consideradas en el proceso de
16 NEW C 1 1 certificación
16 NEW C 1 2 [NEW.C.1.2] Aseguramiento de la disponibilidad
16 NEW C 1 3 [NEW.C.1.3] Aseguramiento de la integridad
16 NEW C 1 4 [NEW.C.1.4] Aseguramiento de la confidencialidad
16 NEW C 1 5 [NEW.C.1.5] Aseguramiento de la autenticidad
16 NEW C 1 6 [NEW.C.1.6] Aseguramiento de la trazabilidad
16 NEW C 1 7 [NEW.C.1.7] Capacidad de resitir frente al potencial del atacante
16 NEW C 2 _ [NEW.C.2] Se verifica la vigencia del certificado
16 NEW C 3 _ [NEW.C.3] Se satisfacen las presunciones del producto respecto del entorno
AMENAZAS DESCRIPCION Dimension de analisis
C D I
Origen:
1 [N] Desastres naturales Natural (accidental)
[N.1] Fuego incendios: posibilidad de que el fuego acabe con recursos del sistema. _ D _
[N.2] Daños por agua inundaciones: posibilidad de que el agua acabe con recursos del sistema. _ D _
Se excluyen desastres específicos tales como incendios e inundaciones .
[N.*] Desastres naturales _ D involuntaria
Se excluye al personal por cuanto se ha previsto una amenaza específica para cubrir la indisponibilidad _ del personal s
1 [I] De origen industrial
[I.1] Fuego incendio: posibilidad de que el fuego acabe con los recursos del sistema. _ D _
Entorno (accidental)
[I.2] Daños por agua Humano (accidental o deliberado) _ D _
sobrecarga eléctrica, fluctuaciones eléctricas, ...
[I.*] Desastres industriales accidentes de tráfico, ... _ D _
[I.3] Contaminación mecánica vibraciones, polvo, suciedad, … _ D _
[I.4] Contaminación electromagnética interferencias de radio, campos magnéticos, luz ultravioleta, ... _ D _
fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen o sobrevenida durante el funcionamient
[I.5] Avería de origen físico o lógico _ peroDpara _las consecuencias qu
En sistemas de propósito específico, a veces es difícil saber si el origen del fallo es físico o lógico;
[I.6] Corte del suministro eléctrico cese a la alimentacion de potencia _ D _
[I.7] Condiciones inadecuadas de temperatura o
humedad deficiencias en la aclimatación de los locales, excediendo los márgenes de trabajo de los equ _ D _
[I.8] Fallo de servicios de comunicaciones cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se debe a la destrucci _ D _
[I.9] Interrupción de otros servicios o suministros
esenciales otros servicios o recursos de los que depende la operación de los equipos; por ejemplo, papel pa_ D _
[I.10] Degradación de los soportes de almacenamiento
de la información como consecuencia del paso del tiempo _ D _
[I.11] Emanaciones electromagnéticas hecho de poner vía radio datos internos a disposición de terceros. Es una amenaza donde el e C _ _
Origen:
1 [E] Errores y fallos no intencionados Humano (accidental)
[E.1] Errores de los usuarios equivocaciones de las personas cuando usan los servicios, datos, etc. C D I
[E.2] Errores del administrador equivocaciones de personas con responsabilidades de instalación y operación C D I
[E.3] Errores de monitorización (log) inadecuado registro de actividades: falta de registros, registros incompletos, registros incorr _ _ I
introducción
envío de datos adetravés
de información configuración erróneos.
de un sistema o una red usando, accidentalmente, una ruta incorrecta que lleveI la información a don
[E.4] Errores de configuración _ _
Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujo
cuando no está claro quién tiene que hacer exactamente qué y cuándo, incluyendo tomar medidas sobre los activos o informar a l
[E.7] Deficiencias en la organización Acciones descoordinadas, errores por omisión, etc. _ D _
[E.8] Difusión de software dañino propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc. C D I
Es particularmente destacable el caso de que el error de encaminamiento suponga un error de
[E.9] Errores de [re-]encaminamiento entrega, acabando la información en manos de quien no se espera. C _ _
[E.10] Errores de secuencia alteración accidental del orden de los mensajes transmitidos. _ _ I
[E.15] Alteración Accidental de la información Alteración accidental de la información Esta amenaza sólo se identifica sobre datos e _ _ I
[E.18] Destrucción de la información Pérdida accidental de información Esta amenaza sólo se identifica sobre datos en genera _ D _
[E.19] Fuga de información revelación por indiscreción Incontinencia verbal, medios electrónicos, soporte papel, etc. C _ _
[E.20] Vulnerabilidades de los programas (software) defectos en el código que dan pie a una operación defectuosa sin intención por parte del usua C D I
[E.21] Errores de mantenimiento / actualización de
programas (software) defectos en los procedimientos o controles de actualización del código que permiten que sigan _ D I
[E.23] Errores de mantenimiento / actualización de
equipos (hardware) defectos en los procedimientos o controles de actualización de los equipos que permiten que s _ D _
[E.24] Caída del sistema por agotamiento de recursos la
la pérdida
carenciade
deequipos provoca
recursos directamente
suficientes lacaída
provoca la carencia
del de un medio
sistema paralaprestar
cuando lostrabajo
carga de servicios,
e es_ decirDuna indisponibilidad.
_
Se puede perder todo tipo de equipamiento, siendo la pérdida de equipos y soportes de información los más habituales.
[E.25] Pérdida de equipos En el caso de equipos que hospedan datos, además se puede sufrir una fuga de información. C D _
[E.28] Indisponibilidad del personal ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden público, guerra ba_ D _
Origen:
1 [A] Ataques deliberados Humano (deliberado)
[A.3] Manipulación de los registros de actividad(log) _ _ I
[A.4] Manipulación de la configuración prácticamente todos los activos dependen de su configuración y ésta de la diligencia del adminisC D I
cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios.
[A.5] Suplantación de la identidad del usuario Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organización C o por_ personal
I contratado temp
utilización de los recursos del sistema para fines no previstos, típicamente de interés
[A.6] Abuso de privilegios de acceso cada usuario disfruta de un nivel de privilegios para un determinado propósito; cuando un usua C
personal: D I
juegos, consultas personales en Internet, bases de datos personales, programas personales,
[A.7] Uso no previsto almacenamiento de datos personales, etc. C D I
[A.8] Difusión de software dañino propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc. C D I
[A.9] [Re-]encaminamiento de mensajes envío de información a un destino incorrecto a través de un sistema o una red, que llevan la C _
[A.10] Alteración de secuencia alteración del orden de los mensajes transmitidos. Con ánimo de que el nuevo orden altere el s _ _ I
[A.11] Acceso no autorizado el atacante consigue acceder a los recursos del sistema sin tener autorización para ello, típica C _ I
negación a posteriori de actuaciones o compromisos adquiridos en el pasado.
[A.12] Análisis de tráfico Repudio de origen:
el atacante, negación
sin necesidad de de ser el
entrar remitente
a analizar el ucontenido
origen dede
unlas
mensaje es capaz de C
o comunicación.
comunicaciones, _
Repudio de recepción: negación de haber recibido un mensaje o comunicación.
[A.13] Repudio _ _ I
[A.14] Interceptación de información (escucha) el atacante llega a tener acceso a información que no le corresponde, sin que la información e _ _ I
[A.15] Modificación deliberada de información alteración intencional de la información, con ánimo de obtener un beneficio o causar un perjuici _ _ I
[A.18] Destrucción de la información eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuici _ D _
[A.19] Divulgación de información Revelación de información C _ _
[A.22] Manipulación de programas alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio indirec C D I
[A.23] Manipulación de Equipos alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio indirec C D _
[A.24] Denegación de servicio la carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo e _ D _
[A.25] Robo de equipos la sustracción de equipamiento provoca directamente la carencia de un medio para prestar los seC D _
[A.26] Ataque destructivo Vandalismo, ataque destructivo Esta amenaza puede ser perpetrada por personal interno, p _ D _
[A.27] Ocupación enemiga cuando los locales han sido invadidos y se carece de control sobre los propios medios de traba C D _
ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de los accesos, ...
[A.28] Indisponibilidad del personal _ D _
[A.29] Extorsión presión que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinad C D I
[A.30] Ingeniería social (picaresca) abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero C D I
imension de analisis
A T
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ T
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
A _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
CLASIFICACIÓN TIPOS DE AMENAZAS
[E] ERRORES Y
ANÁLISIS DE VAL [N] DESASTRES [I] DE ORIGEN
ID ID ACTIVO FALLOS NO
RIESGO PARA: ACTIVO NATURALES INDUSTRIAL
INTENCIONADOS
1 DT 1 HARDWARE Equipo de Computo 2 [N.2] (D)Daños por ag [I.6] (D) Corte d [E.23] (D) Erro
2 DT 4.1 SERVICIO Servidor AD 2 [N.*] (D)Desastres nat [I.10] (D) Degr [E.2] (CDI) Erro
3 DT 4.2 SERVICIO Servidor DHCP 2 [N.*] (D)Desastres nat [I.10] (D) Degr [E.4] (I) Errores de configuración
6 DT 4.3 HARDWARE Servidor DELL Powe 2 [N.*] (D)Desastres nat [I.7](D) Cond [E.4] (I) Errores de configuración
7 DT 4.4 HARDWARE Servidor DELL Powe 2 [N.*] (D)Desastres nat [I.7](D) Cond [E.4] (I) Errores de configuración
8 DT 4.5 HARDWARE Servidor DELL Powe 2 [I.7](D) Cond [E.4] (I) Errores de configuración
9 DT 8 RRHH Jefe DTIC

Ip, Accesos 2 [E.18] (D) Dest
10 DT 8.1 INFO DIGITAL Password JefeDe

Programador DTI 3 [E.18] (D) Dest
11 DT 9 RRHH Sistemas DTI

Administrador De 2 [E.8] (CDI) Difusión de software dañino
12 DT 10 RRHH Sistema DTI De

Administracion 2 [E.2] (CDI) Erro
13 DT 10.1 INFO DIGITAL Sistema DTI De

Administracion 3 [I.9] (D) Interr [E.2] (CDI) Errores del administrador
14 DT 10.2 INFO DIGITAL Redes

Administrador De 2 [E.21] (DI) Errores de mantenimiento / actualización de program
15 DT 10.3 HARDWARE Sistema

Configuraciones 2 [I.5] (D) Avería [E.15] (I) Alter
16 DT 10.4 SOFTWARE Firewall

Documentos 2 [I.5] (D) Avería [E.4] (I) Errores
17 DT 11 INFO DIGITAL Digitales (Archivos) 2 [E.19] (C ) F

262
263
[N] Desastres naturales
[N.1] (D)Fuego
[N.2] (D)Daños por agua
[N.*] (D)Desastres naturales
[I] De origen industrial
[I.1] (D) Daños por fuego
[I.2] (D) Daños por agua
[I.*] (D) Desastres industriales
[I.3] (D) Contaminación mecánica
[I.4] (D) Contaminación electromagnética
[I.5] (D) Avería de origen físico o lógico
[I.6] (D) Corte del suministro eléctrico
[I.7](D) Condiciones inadecuadas de temperatura o humedad
[I.9] (D) Interrupción de otros servicios o suministros esenciales
[I.10] (D) Degradación de los soportes de almacenamiento de la información
[I.11] (D) Emanaciones electromagnéticas
[E] Errores y fallos no intencionados
[E.1] (CDI) Errores de los usuarios
[E.2] (CDI) Errores del administrador
[E.3] (I) Errores de monitorización (log)
[E.4] (I) Errores de configuración
[E.7] (D) Deficiencia en la organización
[E.8] (CDI) Difusión de software dañino
[E.9] (C) Errores de [re-]encaminamiento
[E.10] (I) Errores de secuencia
[E.15] (I) Alteración Accidental de la información
[E.18] (D) Destrucción de la información
[E.19] (C ) Fuga de información
[E.20] (CDI) Vulnerabilidades de los programas (software)
[E.21] (DI) Errores de mantenimiento / actualización de programas (software)
[E.23] (D) Errores de mantenimiento / actualización de equipos (hardware)
[E.24] (D) Caída del sistema por agotamiento de recursos
[E.25] (CD) Pérdida de equipos
[E.28] (D) Indisponibilidad del personal
[A] Ataques deliberados
[A.3] (I) Manipulación de los registros de actividad(log)
[A.4] (CDI) Manipulación de la configuración
[A.5] (CIA) Suplantación de la identidad del usuario
[A.6] (CDI) Abuso de privilegios de acceso

[A.7] (CDI) Uso no previsto
[A.8] (CDI) Difusión de software dañino
[A.9] (C ) [Re-]encaminamiento de mensajes
[A.10] (I) Alteración de secuencia
[A.11] (CI) Acceso no autorizado
[A.12] (C ) Análisis de tráfico
[A.13] ( I) Repudio
[A.14] (I) Interceptación de información (escucha)
[A.15] (I) Modificación deliberada de información
[A.18] (D ) Destrucción de la información
[A.19] (C ) Divulgación de información
[A.23] (CD ) Manipulación de Equipos
[A.24] (D) Denegación de servicio
[A.25] (CD) Robo de equipos
[A.26] (D) Ataque destructivo
[A.27] (CD) Ocupación enemiga
[A.28] (D) Indisponibilidad del personal
[A.29] (CDI) Extorsión
[A.30] (CDI) Ingeniería social (picaresca)

[A] ATAQUES DELIBERADOS
[A.4] (CDI) Manipulación de la configuración
[A.3] (I) Manipulación de los registros de actividad(log)
[A.12] (C ) Análisis de tráfico
[A.30] (CDI) Ingeniería social (picaresca)

AMENAZAS
[N.2] (D)Daños por agua
[I.7](D) Condiciones inadecuadas de temperatura o humedad
[I.9] (D) Interrupción de otros servicios o suministros esenciales
[E.19] (C ) Fuga de información
_
MAX
DEGRADACIÓN IMPACTO
DEGRADACIÓN
Control Existente
C I D
se mantiene el equipo en un lugar adecuado, tambien se tiene barras de multic 3 3 3 3 2
Servidor de respaldo en caso de fallas
_ _ 3 3 2.0
accesos restringidos
3_ 2 3 2
el ambiente cuenta con sistema de filtrado de agua y sitema de control de incendiosy tambien
extintores 2 3 3 2
extintores 2 3 3 2
extintores 2 3 3 2
copias de la informacion y control de accesos biometrico
3 1 2 2 1
alta gerencia tiene copia de los password del jefe de dtic
3 2 2 2 1
se cuenta con bitacoras y registros manuales, identificacion con foto
4 3 3 3 2
se tiene un sistema PAM(gestion de acceso con prilegios)que garantiza que las p 4 4.0 3 4 2
Establecimiento de normas, políticas y procedimientos para acceder a los sistemas y 5 1 3 3 2
_ 1 2 2 1
La pc tiene que solo puede ser usada por el adminitrados con credenciales de acceso
respectiva y no se debe conectar dispositivos externos 4 1 2 2 1
se tiene un Firewall de software que
suele ser muy útil para crear una defensa en profundidad al aislar los puntos finales de red
4 2 2 3 2
individuales entre sí
tener copias de la informacion y si es posible contar con los docuemtos de manera fisica
4 3_ 4 2
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
PROBABILIDAD
RIESGO NR
DE OCURRENCIA
CONTROLES
ADICIONALES
2 3 ALTO
2.0 1.0 BAJO
1 2 MEDIO
aceso restringido a l CPD
1 2 MEDIO solo personal autorizado
1 1 BAJO
reespaldo de informacion en
1 1 BAJO servidores externos
2 3 ALTO
2 3 ALTO
respaldo de informacion en
3 3 ALTO servidores externos
2 2 MEDIO
mantenimiento de hadware
2 2 MEDIO y software mensualmente
backups de configuraciones
1 2 MEDIO
respaldos guardados
2 3 ALTO periodicamente
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
BAJO
INFORMACIÓN DE LOS ACTIVOS DE INFORMACIÓN VALORACION DE AC
PROM
ID NOMBRE DE ACTIVOS DESCRIPCIÓN / OBSERVACIONES PROCESO / ÁREA TIPO DE ACTIVO

CLASIFICACIÓN DE
I D
E
INFORMACIÓN
PROPIETARIO ACTIVO CUSTODIO ACTIVO UBICACIÓN VAL Justificación VAL
procesar información de una forma

2 DT 1 Equipo de Computo principalmente
útil. LDAP, DNS, DTI HARDWARE CONFIDENCIAL GERENCIA GENERAL JEFE DE DTIC DTIC 1 El hadware en si n 2
2 DT 4.1 Servidor AD DHCP
direccionamiento IP de los DTI SERVICIO CONFIDENCIAL GERENCIA GENERAL JEFE DE DTIC DTIC 1 El daño o modifica 3
2 DT 4.2 Servidor DHCP equipos conectados a la red DTI SERVICIO CONFIDENCIAL GERENCIA GENERAL JEFE DE DTIC DTIC 2 2
2 DT 4.3 Servidor DELL Power Edge 1800 Intel CORMAN TI HARDWARE CONFIDENCIAL JEFE TICS ADMINISTRADOR TICS DTIC 2 el daño puede afec 2
2 DT 4.4 Servidor DELL Power Edge 1800 Intel SQL Server, SINADI TI HARDWARE CONFIDENCIAL JEFE TICS ADMINISTRADOR TICS DTIC 2 el daño puede afec 2
2 DT 4.5 Servidor DELL Power Edge 1800 Intel X Endpoint,
UBUNTU Siic,Aplicaciones
Gis, Acciones TI HARDWARE CONFIDENCIAL JEFE TICS ADMINISTRADOR TICS DTIC 2 el daño puede afec 2
2 DT 8 Jefe DTI Y Otros
Vital Para Resguardar La DTI RRHH CONFIDENCIAL GERENTE GENERAL GERENTE GENERAL DTIC 1 Una mala gestión 2
3 DT 8.1 Ip, Accesos Password Jefe DTI Informacion
Monitoreo De Datacenter, DTI INFO_DIGITAL CONFIDENCIAL JEFE DE UTIC JEFE DE DTIC DTIC 2 3
2 DT 9 Programador De Sistemas DTI Administracion
Administrador DeSistema
Voip
Archivos DondeDeContengan DTI RRHH CONFIDENCIAL GERENTE GENERAL GERENTE GENERAL DTIC 1 2
2 DT 10 Administrador
Ip, De Sistema
Accesos, Password DTIC
Administracion De Informatico
Vital Para
Claves I
Resguardar
Asimismo, esteLapuede DTI RRHH CONFIDENCIAL GERENTE GENERAL GERENTE GENERAL DTIC 1 2
3 DT 10.1 Sistema DTIC Informacion
ser denominado
mantenimiento Dede
Ladatos.
Compañia
fichero, el DTI INFO_DIGITAL CONFIDENCIAL
ADMINISTRADOR DE SISTEMA
ADMINISTRADOR
UTIC DE SISTEMA DTIC 2 3
2 DT 10.2 Sistema De Administracion De Redes cual equivale
Valiosa ComoaBase
una unidad
De Datos,de DTI INFO_DIGITAL CONFIDENCIAL JEFE DE UTIC ADMINISTRADOR DE SISTEMA DTIC 2 2
Configuracion de filtros y
2 DT 10.3 Pc Portatil Del Administrador De Sistema datos
Planosque
privacion
puede
Dede ser
Redes,
accesos
utilizada
Claves
a Etc.
sitios DTI HARDWARE PRIVADO JEFE DE UTIC ADMINISTRADOR DE SISTEMA DTIC 2 si es dañado el e 2
por medio de aplicaciones
2 DT 10.4 Configuraciones Firewall no autorizados
instaladas en una DTI SOFTWARE CONFIDENCIAL JEFE DE UTIC ADMINISTRADOR DE SISTEMA DTIC 1 en caso de daño s 2
2 DT 11 Documentos Digitales (Archivos) computadora. DTI INFO_DIGITAL RESTRINGIDO JEFE DE UTIC JEFE DTIC DTIC 2 Puede que un usua 2
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
###
ORACION DE ACTIVO
D C OBSERVACIONES
Justificaci Justificació
VAL
ón n
Afecta a la 3 Son equipos 2

En el caso 2 solo tendra 2
en caso de 2 la informac 2
solo afecta 2 solo pueden 2
si tiene fa 2 solo pueden 2
la falla af 2 solo pueden 2
en caso de 3 Tiene conoc 2
indispensab 3 solo el pers 3
en caso de 3 la informaci 2
3 la informaci 2
en caso de 3 3
2 2
en caso de 3 el es el uni 2
debera est 2 la informaci 2
debera est 3 son de gran 2
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
Valor del CRITICIDAD Descripción
Activo
[1-3] BAJA Activo de información que no es prioritario para el proceso o el negocio (c
[4-6] MEDIA Activo de información que se considera importante para el proceso o el n
[7-9] ALTA Activo de información que se considera impresindible para el proceso o e
a el proceso o el negocio (consecusión de objetivos).
ante para el proceso o el negocio (consecusión de objetivos)
indible para el proceso o el negocio (consecusión de objetivos)
Valor del Activo - Confidencialidad
Valor del Activo Clasificación Descripción
Información, sistemas o instalaciones a disposición
1-BAJO Pública
del público. sistemas o instalaciones se restringe
Información,
2-MEDIO Interna
exclusivamente para uso
Información sensible de lainterno del negocio.
organización, restringida a
3-ALTO Confidencial
un grupo limitado de personas
Valor del Activo - Disponibilidad

Disponibilidad consecución de los objetivos del negocio y/o la
1-BAJO
Baja
Disponibilidad perdida de niveles
consecusión de los de serviciodel
objetivos denegocio
procesosy/o
criticos
incide
2-MEDIO
Disponibilidad de interrumpir el negocio o afectar gravementepor
Media en la perdida de niveles de servicio prestados al un
3-ALTO
Alta niveles de servicios prestados por procesos criticos
Valor del Activo - Integridad

El daño o modificación no autorizada de información
1-BAJO Integridad Baja no es critica para las aplicaciones del negocio y su
Integridad El
daño o modificación no autorizada de información
2-MEDIO impacto
es es insignificante
criticao para o menor.
las aplicaciones del negocio y su
Media El daño modificación no autorizada de información
3-ALTO impacto en el negocio es importante.
Integridad Alta es critico afectando a las principales operaciones del
negocio, el impacto en el negocio es grave.
Clasificación
Confidencial -de la información
Información que sólo puede ser conocida y utilizada por un grupo Valoración
muy reducido de empleados, generalmente de la alta dirección de la entidad, y cuya 3 A
Privada - Información restringida a un proceso, unidad organizacional o un grupo de
divulgación o uso no autorizado tiene el potencial de ocasionar perdidas graves.
personas, que necesiten la información para realizar su trabajo, y cuya divulgación o 2 M
uso no autorizados
Pública - Información
podría
de carácter
ocasionar
publico,
pérdidas
cualquier
significativas
personalade
entidad.
la entidad o terceros
1 B
pueden conocer la información sin restricciones ni consecuencias para el negocio.
Activo Tipo Amenaza Vulnerabilidad
PC Hardware Condiciones ambientales adversas Sensibilidad a la humedad, polvo, suciedad

PC Hardware Condiciones ambientales adversas Sensibilidad a variaciones de tensión
PC Hardware Condiciones ambientales adversas Sensibilidad a la temperatura
Fuente de alimentación Inestable (Fuente Primaria de Energía
PC Hardware Condiciones ambientales adversas Inestabe)
PC Hardware Falla del hardware Mantenimiento deficiente
La falta de un programa sustitución periódica rutinaria (obsolecencia
PC Hardware Falla del hardware tecnologíca programada)
Deficiencias en el resguardo y proteccion del activo (Expuesto, al
PC Hardware Robo o pérdida del hardware paso)
PC Hardware Robo o pérdida del hardware Deficiente procedimiento eliminación/descarte o baja del activo
Mecanismos de control de acceso físico a edificios zonas de exclusion
PC Hardware Robo o pérdida del hardware (carentes o deficientes)
La falta de mecanismos de protección física en el edificio, las puertas
PC Hardware Robo o pérdida del hardware
y ventanas
PC Hardware Condiciones ambientales adversas Sensibilidad a la radiación electromagnética
La ausencia de un control eficiente para cambios de configuración en
PC Hardware Falla del hardware
equipos o dispositivos sensibles
PC Hardware Divulgación Deficiente procedimiento eliminación/descarte o baja del activo
1 INFO LOGICA (PERFIInf Lógica Acceso no Autorizado La falta de procedimientos para el manejo de información clasificada
Capacitación y sensibilización insuficiente en seguridad de
INFO LOGICA (PERFIInf. Lógica Divulgación
información
Carencia de Politicas y Procedimientos para la destruccion controlada
INFO LOGICA (PERFIInf. Lógica Divulgación
de medios impresos y/o digitales
INFO LOGICA (PERFIInf. Lógica Divulgación Copias no controladas de los archivos confidenciales
INFO LOGICA (PERFIInf. Lógica Divulgación La falta de conciencia de la amenaza que la ingeniería social
INFO LOGICA (PERFIInf. Lógica Divulgación La falta de condiciones de seguridad en los contratos de personal
INFO LOGICA (PERFIInf Lógica Perdida información Fallas de medio de almacenamiento
INFO LOGICA (PERFIInf Lógica Robo y Fraude Deficiencias en el resguardo y proteccion del activo
1 FIREWALL Hardware
Acceso no Autorizado vulnerabilidades conocidas del hardware
FIREWALL Hardware
Acceso no autorizado Login o password por defecto del hardware
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la humedad, polvo, suciedad
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la radiación electromagnética
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a variaciones de tensión
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la temperatura
FIREWALL Hardware
Fuente de alimentación Inestable (Fuente Primaria de Energía
Condiciones ambientales adversas Inestable)
FIREWALL Hardware
Denegación de servicio Ciberamenaza (malware, troyanos)
FIREWALL Hardware
Denegación de servicio Atacantes informáticos
FIREWALL Hardware
Denegación de servicio Deficiente configuración
FIREWALL Hardware
Falla del hardware Mantenimiento deficiente
FIREWALL Hardware
La ausencia de un control eficiente para cambios de configuración en
Falla del hardware equipos o dispositivos sensibles
FIREWALL Hardware
Falla del hardware Único punto de error (falta de dispositivos de contingencia)
Puertos de comunicación y servicios inseguros / Carencia de
FIREWALL Hardware
Interceptación de información (escucha) actualizaciones de Seguridad
FIREWALL Hardware
Robo o pérdida del hardware y ventanas
Mecanismos de control de acceso físico a edificios zonas de exclusion
FIREWALL Hardware
Robo o pérdida del hardware (carentes o deficientes)
FIREWALL Hardware
Saturación / Desempeño deficiente Deficientes configuraciones
FIREWALL Hardware
Saturación / Desempeño deficiente Falencia del diseño de red
FIREWALL Hardware
Saturación / Desempeño deficiente Obsolecencia tecnológica de los equipos de red
No realizar la operacion de logout al dejar una estación de trabajo sin
1 SOFT NO CRITICO Software Acceso no autorizado
vigilancia
La falta de mecanismos de identificación y autenticación de usuarios,
SOFT NO CRITICO Software Acceso no autorizado
como ser (Login, Password, Tokens, Tarjetas, Aplicaciones.)
SOFT NO CRITICO Software Acceso no autorizado Deficiente gestión de contraseñas
La falta de procedimientos para garantizar el cumplimiento de los
SOFT NO CRITICO Software Copias Falsificadas o Software Ilegal
derechos de propiedad intelectual (Licencias Sofwatre)
SOFT NO CRITICO Software Cyber Amenazas Falta de actualización o parches de seguridad
SOFT NO CRITICO Software Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidad
SOFT NO CRITICO Software Fallo de Sistema Software distribuido ampliamente (vulnerabilidades conocidas)
SOFT NO CRITICO Software Fallo de Sistema Parámetros de configuración incorrecta
No realizar la opercion de logout al dejar una estación de trabajo sin
1 SOFTWARE CRITICOSoftware Acceso no autorizado
vigilancia
SOFTWARE CRITICOSoftware Acceso no autorizado Asignación errónea de los derechos de acceso
La falta de mecanismos de identificación y autenticación de usuarios,
SOFTWARE CRITICOSoftware Acceso no autorizado
como ser (Login, Password, Tokens, Tarjetas, Aplicaciones.)
SOFTWARE CRITICOSoftware Acceso no autorizado Deficiente gestión de contraseñas
El sistema no cumple con funcionalidades de privilegio minimo
(opciones en sistema, que no corresponden a la función del usuario)
SOFTWARE CRITICOSoftware Acceso no autorizado La falta de un procedimiento formal de registro y eliminación usuarios
La falta de un proceso formal para la revisión de los derechos de
acceso (supervisión)
SOFTWARE CRITICOSoftware Copias Falsificadas o Software Ilegal
SOFTWARE CRITICOSoftware Cyber Amenazas Spyware, Troyanos, Malware, etc.
SOFTWARE CRITICOSoftware Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidades
SOFTWARE CRITICOSoftware Errores de Software o Programación Procedimientos de pruebas de software inexistentes o insuficientes
SOFTWARE CRITICOSoftware Errores de Software o Programación Defectos conocidos de software
SOFTWARE CRITICOSoftware Errores de Software o Programación Especificaciones confusas o incompletas para desarrolladores
SOFTWARE CRITICOSoftware Fallo de Sistema Software distribuido ampliamente (vulnerabilidades conocidas)
Parámetros de configuración incorrecta (Idioma, moneda, tipo cambio,
SOFTWARE CRITICOSoftware Fallo de Sistema
etc.)
La falta de un control de cambio efectivo (inexistencia de controles de
SOFTWARE CRITICOSoftware Fraude / Robo
versiones y cambios en el sistema)
Ausencia de registros de auditoría ("logs") de los administradores y
SOFTWARE CRITICOSoftware Fraude / Robo
operadores
Utilizar software o aplicativos con datos incorrectos (corrupción de
SOFTWARE CRITICOSoftware Integridad de Información
datos)
SOFTWARE CRITICOSoftware Integridad de Información Interfaz de usuario complicada
SOFTWARE CRITICOSoftware Integridad de Información Documentación inexistente (Manuales Usuario)
SOFTWARE CRITICOSoftware Fallo del Provedor Carencia de Niveles de Servicio (SLA) en contratos
1 Base de datos Software Acceso no autorizado Asignación errónea de los derechos de acceso
Base de datos Software Acceso no autorizado Tablas contraseñas desprotegidas (sin encriptación)
Base de datos Software Acceso no autorizado Deficiente gestión de contraseñas
Base de datos Software Acceso no autorizado La falta de un procedimiento formal de registro y eliminación usuarios
La falta de un proceso formal para la revisión de los derechos de
Base de datos Software Acceso no autorizado
acceso (supervisión)
Base de datos Software Copias Falsificadas o Software Ilegal
Base de datos Software Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidades
Parámetros de configuración incorrecta (Idioma, moneda, tipo cambio,
Base de datos Software Fallo de Sistema
etc.)
Base de datos Software Fraude / Robo
y ventanas (Puede deribar en robo de medios de soporte de software)
Ausencia de registros de auditoría ("logs") de los administradores y
Base de datos Software Fraude / Robo
operadores
Base de datos Software Perdida información Carencia de archivos de respaldo para información sensible
1 SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Contrato carente de niveles de Servicio (SLA)
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Falta de pago por servicio a terceros
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Ausencia/ Falla de Planes de Contingencia
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Fallo de hardware que soporta el servicio
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Carencia de servicio alterno de contingencia
1 INFORMACION IMInf. Impresa Acceso no autorizado La falta de procedimientos para el manejo de información clasificada
INFORMACION IMInf. Impresa Daño Fisico La susceptibilidad a la humedad, el polvo, la suciedad
INFORMACION IMInf. Impresa Daño Fisico (Fuego) La susceptibilidad a las fluctuaciones de temperatura
Capacitación y sensibilización insuficiente en seguridad de
INFORMACION IMInf. Impresa Divulgación
información
Carencia de Politicas y Procedimientos para la destruccion controlada
de medios impresos y/o digitales
INFORMACION IMInf. Impresa Divulgación Copias no controladas de los archivos confidenciales
La falta de condiciones de seguridad de información, en los contratos
de personal
INFORMACION IMInf. Impresa Perdida información Carencia de archivos de respaldo para información sensible
INFORMACION IMInf. Impresa Perdida información Resguardo deficiente de información confidencial
INFORMACION IMInf. Impresa Robo y Fraude Carencia de firmas y sellos
Carencia de Politicas y Procedimientos para Mesas de trabajo y
INFORMACION IMInf. Impresa Robo y Fraude
escritorios limpios
INFORMACION IMInf. Impresa Robo y Fraude La falta de conciencia de la amenaza que la ingeniería social
INFORMACION IMInf. Impresa Robo y Fraude La falta de controles y carencia de seguridad física
1 Energía Eléctrica Servicio

Fallas / Interrupcion del Servicio Ausencia/ Falla de Planes de Contingencia
Energía Eléctrica Servicio
Fallas / Interrupcion del Servicio Carencia de servicio alterno de contingencia
Fallas / Interrupcion del Servicio Contrato carente de niveles de Servicio (SLA)
Fallo del Provedor Contrato de Soporte Tecnico con Niveles de Servicio (SLA)
1 Servicio de RED Servicio Acceso no autorizado Carencia de un procedimiento y medios de control de acceso a redes
Servicio de RED Servicio Acceso no autorizado Deficiente configuración (VLANS, Active Directory)
Servicio de RED Servicio
Denegación de servicio Atacantes informáticos
Denegación de servicio Defectos o falla de hardware de red
Denegación de servicio Deficiente configuración
Denegación de servicio Deficiente configuración de direcciones IP
Fallas / Interrupcion del Servicio Ausencia/ Falla de Planes de Contingencia
Fallas / Interrupcion del Servicio Carencia de servicio alterno de contingencia
Fallas / Interrupcion del Servicio Fallo de hardware que soporta el servicio
Carencia de mecanismos de encriptación en servicios de redes y
Interceptación de información (escucha) comunicaciones
Interceptación de información (escucha) Carencia de mecanismos de prevencion y detección de instrusiones
Interceptación de información (escucha) Puertos de comunicación y servicios inseguros
Monitoréo de tráfico Carencia de mecanismos de prevencion y detección de instrusiones
Monitoréo de tráfico Carencia de un procedimiento de control de acceso a redes
Monitoréo de tráfico Carencia de un programa de analisis de vulnerabilidades
Deficiente planificación para la implementación de la infraestructura de
Saturación / Desempeño deficiente redes y comunicaciones
Saturación / Desempeño deficiente Deficientes configuraciones
Saturación / Desempeño deficiente Equipos con características técnicas insuficientes
Saturación / Desempeño deficiente Falencia del diseño de red
Saturación / Desempeño deficiente Obsolecencia tecnológica de los equipos
1 RRHH R.R.H.H Ausencia repentina Falta de un esquema de respaldo de funciones / conocimiento
RRHH R.R.H.H Ausencia repentina Personal desmotivado
RRHH R.R.H.H Divulgación no autorizada de información Falta de acuerdos de confidencialidad
RRHH R.R.H.H Divulgación no autorizada de información Falta de capacitación y sensibilización en seguridad de la información
RRHH R.R.H.H Fraude / Coacción al personal Falta / falla en segregación de funciones
RRHH R.R.H.H Fraude / Coacción al personal Medidas disciplinarias inexistentes o inadecuadas
RRHH R.R.H.H Fraude / Coacción al personal Personal con problemas financieros
RRHH R.R.H.H Fraude / Coacción al personal Personal Insatisfecho
RRHH R.R.H.H Fraude / Coacción al personal Selección inadecuada de personal

Analisis de Riesgo 2-2022

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Analisis de Riesgo 2-2022

Uploaded by

Copyright:

Available Formats

27002 codigo de buenas practicas para gestion de seguridad de informacion

RD 1720 CODIGO DE BUENAS PRACTICA PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION

[PS.AT.5.1] Se establecen las necesidades de formación según roles y responsabilidades

[PS.9.1] frente a software dañino

[PS.a.1] Se identifican los riesgos y potenciales objetivos

[PS.cont.1] Se prevé suficiente holgura en el dimensionamiento de los equipos de trabajo

[PS.c.1] Se establecen los deberes y obligaciones del personal subcontratado

[G.1] Organización interna

[E.1.d] Se establecen controles para asegurar la recuperación de información cuando se requiera

[E.1.f] Se dispone de procedimientos para la notificación del envío, transmisión y recepción

[E.1.j] Se determina un sistema de etiquetado adecuado para la información sensible o crítica

[E.1.k] Se dispone de normativa para la grabación y lectura de información y software

[E.2.5] Se dispone de normativa para la autorización del acceso y concesión de privilegios

[NEW.S.3.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación

2 1 H AC _ _ Control de acceso logico

2 1 H tools _ _ Herramientas de seguridad

2 2 D5 backup_ _ Copias de seguridad de los datos (backup)

2 2 D 9 DS _ _ Uso de Firma electronica

2 2 D 6 TS _ _ Fechado electronico (time stamping)

2 3 S VOIP _ _ Voz sobre IP

2 3 S 2 _ _ Prestacion de los servicios

2 4 SW 2 _ _ Se dispone de normativa relativa a las apliaciones

2 4 SW 3 _ _ se dispone de procedimientos de uso de aplicaciones

2 4 SW 4 _ _ Se protegen los derechos de propiedad intelectual de las aplicaciones

2 4 SW 5 _ _ Copias de seguridad (backup) (SW)

2 4 SW a _ _ Cambios (Actualizaciones y mantenimientos)

2 5 HW 2 _ _ Se dispone de normativa relativasobre el uso correcto de los equipos

2 5 HW 3 _ _ se dispone de procedimientos de uso del equipamiento

2 5 HW start _ _ puesta en produccion

2 5 HW sc _ _ Se aplican perfiles de seguridad

2 5 HW7 cont _ _ Aseguramiento de la disponibilidad

2 5 HW 7 _ _ Contenedores Criptograficos( HW, SW virtual)

2 6 HW 8 _ _ Prevencion de emanaciones electromagneticas (TEMPEST EQUIPMENT ZONING)

2 5 HW CM _ _ Cambios (actuliazaciones y mantenimiento)

2 5 HW end _ _ Terminacion desmantelamiento

2 5 PCD _ _ Informatica movil

2 5 HW print _ _ Reprodiccion de documentos

2 5 HW pabx _ _ Proteccion de la centralita telefonica (PABX)

2 5 HW h _ _ Voz, facsimil y video

1 1 6 COM _ [COM] Protección de las Comunicaciones

2 6 COM 1 _ _ Se disponde de un inventario de servicios de comunicación

2 6 COM 2 _ _ Se dispone de normativa para el uso correcto de las comunicaciones

2 6 COM 3 _ _ se dispone de procedimientos de uso de las comunicaciones

2 6 COM start _ _ Entrada en servicio

2 6 COM sc _ _ Se aplican perfiles de seguridad

2 6 COM cont _ _ Aseguramiento de la disponibilidad

2 6 COM aut _ _ Autenticacion del canal

2 6 COM I _ _ Proteccion de la integridad de los datos intercambiados

2 6 COM 9 _ _ Se toman medidas frente a la inyeccion de informacion espuria

2 6 COM C _ _ Proteccion criptografica de la confidencialidad de los dato intercambiados

2 6 COM CM _ _ Cambios (actualizaciones y mantenimiento)

2 6 COM end _ _ Desmantelamiento

2 6 COM wifi _ _ Seguridad (wifi)

2 6 COM DS _ _ Segregacion de las redes en dominios

2 7 IP SPP _ _ Trafico: Intercambo de datos

2 7 IP 4 _ _ Arquitectura de proteccion : red local LAN

7 IP 4 1 1 Todo el trafico atraviesa el filtro

2 7 IP BS _ _ Proteccion de los equipos de frontera

2 8 MP 2 _ _ Se dispone de procedimientos relativos a soportes de informacion

2 8 MP 3 _ _ Se dispone de un inventario de soportes

2 8 MP 5 _ _ Se controla la conexión de dispositivos removibles

2 8 MP 7 _ _ Seguridad de los soportes fuera de las instalaciones

2 8 MP cont _ _ Aseguramiento de la disponibilidad