EJERCICIO

ID.
ITEM CARGO ITEM
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
POLITICAS DE SEGURIDAD DE
AD.1 Responsable de SI
LA INFORMACIÓN
Documento de la política de
AD.1.1 Responsable de SI seguridad y privacidad de la
Información
AD.1.2 Responsable de SI Revisión y evaluación
RESPONSABILIDADES Y ORGANIZACIÓN SEGURIDAD INFORMACIÓN
ORGANIZACIÓN DE LA
A2 Responsable de SI SEGURIDAD DE LA
INFORMACIÓN
AD.2.1 Responsable de SI Organización Interna

Roles y responsabilidades
AD.2.1.1 Responsable de SI para la seguridad de la
información
Separación de deberes /
AD.2.1.2 Responsable de SI
tareas
AD.2.1.3 Responsable de SI Contacto con las autoridades.

AD.2.1.4 Responsable de SI Contacto con grupos de
interés especiales
Seguridad de la información
en la gestión de proyectos
Dispositivos Móviles y
AD.2.2 Responsable de SI Teletrabajo
Política para dispositivos
móviles
AD.2.2.2 Responsable de TICs Teletrabajo
SEGURIDAD DE LOS RECURSOS HUMANOS

Responsable de SI/Gestión
SEGURIDAD DE LOS
AD.3 Humana/Líderes de los procesos
RECURSOS HUMANOS
AD.3.1 Responsable de SI Antes de asumir el empleo

Selección e investigación de
AD.3.1.1 Gestión Humana
antecedentes
Términos y condiciones del

AD.3.1.2 Gestión Humana
empleo
Responsable de SI/Líderes de los Durante la ejecución del

AD.3.2
procesos empleo
Responsabilidades de la
dirección
Responsable de SI/Líderes de los Toma de conciencia,
AD.3.2.2 procesos educación y formación en la
seguridad de la información
AD.3.2.3 Responsable de SI Proceso disciplinario
Terminación y cambio de
AD.3.3 Responsable de SI
empleo
AD.5.1.3 Responsable de SI Terminación o cambio de
responsabilidades de empleo
GESTIÓN DE ACTIVOS
AD.4 Responsable de SI GESTIÓN DE ACTIVOS
Responsabilidad de los
activos
AD.4.1.1 Responsable de SI Inventario de activos
AD.4.1.2 Responsable de SI Propiedad de los activos
AD.4.1.3 Responsable de SI Uso aceptable de los activos

AD.4.1.4 Responsable de SI Devolución de activos
AD.4.2 Responsable de SI Clasificación de información

Clasificación de la
información
AD.4.2.2 Responsable de SI Etiquetado de la información
AD.4.2.3 Responsable de SI Manejo de activos
AD.4.3 Responsable de TICs Manejo de medios

Gestión de medios
AD.4.3.1 Responsable de TICs
removibles
AD.4.3.2 Responsable de TICs Disposición de los medios
Transferencia de medios
físicos
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
ASPECTOS DE SEGURIDAD DE
LA INFORMACIÓN DE LA
AD.5 Responsable de la Continuidad
GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
AD.5.1 Responsable de la Continuidad Continuidad de la seguridad

de la información
Planificación de la
AD.5.1.1 Responsable de la Continuidad continuidad de la seguridad
de la información
Implementación de la
AD.5.1.2 Responsable de la Continuidad continuidad de la seguridad
de la información
Verificación, revisión y
evaluación de la continuidad
AD.5.1.3 Responsable de la Continuidad
de la seguridad de la
información.
AD.5.2 Responsable de la Continuidad Redundancias

Disponibilidad de
instalaciones de
AD.5.2.1 Responsable de la Continuidad
procesamiento de
información
CUMPLIMIENTO
Responsable de SI/Responsable de
AD.6 CUMPLIMIENTO
TICs/Control Interno
Cumplimiento de requisitos
legales y contractuales
Identificación de la legislación
AD.6.1.1 Responsable de SI aplicable y de los requisitos
contractuales.
Derechos de propiedad
intelectual.
AD.6.1.3 Responsable de SI Protección de registros.
Protección de los datos y
privacidad de la información
relacionada con los datos
personales.
Reglamentación de controles
AD.6.1.5 n/a
criptográficos.
Revisiones de seguridad de la
AD.6.2 Control interno
información
Revisión independiente de la
AD.6.2.1 Control interno
Cumplimiento con las
AD.6.2.2 Control interno políticas y normas de
seguridad.
Revisión de cumplimiento
técnico.
RELACIONES CON LOS PROVEEDORES

AD.7 Responsable de compras y adquisiciones RELACIONES CON LOS
PROVEEDORES
Seguridad de la información
AD.7.1 Responsable de compras y adquisiciones en las relaciones con los
proveedores
Gestión de la prestación de
AD.7.2 Responsable de compras y adquisiciones
servicios de proveedores
DESCRIPCIÓN ISO MSPI CIBERSEG
URIDAD
Orientación de la dirección Componente planificación y

para gestión de la seguridad de A.5 modelo de madurez nivel
la información gestionado
Se debe definir un conjunto de

políticas para la seguridad de la
información aprobada por la Componente planificación y
A.5.1.1 ID.GV-1
dirección, publicada y modelo de madurez inicial
comunicada a los empleados y
a la partes externas pertinentes
Las políticas para seguridad de

la información se deberían
revisar a intervalos planificados
o si ocurren cambios A.5.1.2 componente planificación
significativos, para asegurar su
conveniencia, adecuación y
eficacia continuas.
Marco de referencia de gestión

para iniciar y controlar la
implementación y la operación
información dentro de la A.6
organización
Garantizar la seguridad del
teletrabajo y el uso de los
dispositivos móviles
Marco de referencia de gestión

para iniciar y controlar la
Componente planificación y
implementación y la operación
A.6.1 modelo de madurez
información dentro de la gestionado
organización
ID.AM-6
ID.GV-2
PR.AT-2
Se deben definir y asignar todas PR.AT-3
las responsabilidades de la A.6.1.1 Componente planificación
PR.AT-4
PR.AT-5
DE.DP-1
RS.CO-1
Los deberes y áreas de
responsabilidad en conflicto se
debe separar para reducir las PR.AC-4
posibilidades de modificación A.6.1.2 PR.DS-5
no autorizada o no intencional, RS.CO-3
o el uso indebido de los activos
de la organización.
Las organizaciones deben tener

procedimientos establecidos
que especifiquen cuándo y a
través de que autoridades se
debe contactar a las
autoridades (por ejemplo, las
encargadas de hacer cumplir la
ley, los organismos de
A.6.1.3 RS.CO-2
reglamentación y las
autoridades de supervisión), y
cómo se debe reportar de una
manera oportuna los incidentes
de seguridad de la información
identificados (por ejemplo, si se
sospecha una violación de la
ley).
Se deben mantener contactos
apropiados con grupos de
interés especial u otros foros y
asociaciones profesionales A.6.1.4 ID.RA-2
especializadas en seguridad.
Por ejemplo a través de una
membresía
La seguridad de la información
se debe integrar al(los)
método(s) de gestión de
proyectos de la organización,
para asegurar que los riesgos de
seguridad de la información se
identifiquen y traten como PR.IP-2
parte de un proyecto. Esto se A.6.1.5
aplica generalmente a cualquier
proyecto, independientemente
de su naturaleza, por ejemplo,
un proyecto para un proceso
del negocio principal, TI, gestión
de instalaciones y otros
procesos de soporte.
Garantizar la seguridad del

Modelo de Madurez
teletrabajo y uso de A.6.2 Gestionado
dispositivos móviles
Se deberían adoptar una
política y unas medidas de
seguridad de soporte, para
A.6.2.1
gestionar los riesgos
introducidos por el uso de
dispositivos móviles.
Se deberían implementar una
política y unas medidas de
seguridad de soporte, para
proteger la información a la que
A.6.2.2 PR.AC-3
se tiene acceso, que es
procesada o almacenada en los
lugares en los que se realiza
teletrabajo.
A.7
Asegurar que el personal y

contratistas comprenden sus
Modelo de Madurez
responsabilidades y son A.7.1
idóneos en los roles para los Definido
que son considerados.
Las verificaciones de los
antecedentes de todos los
candidatos a un empleo se
deben llevar a cabo de acuerdo
con las leyes, reglamentos y PR.DS-5
A.7.1.1
ética pertinentes, y deberían PR.IP-11
ser proporcionales a los
requisitos de negocio, a la
clasificación de la información a
que se va a tener acceso, y a los
riesgos percibidos.
Los acuerdos contractuales con

empleados y contratistas,
deben establecer sus
A.7.1.2 PR.DS-5
responsabilidades y las de la
organización en cuanto a la
seguridad de la información.
Asegurar que los funcionarios y

contratistas tomen consciencia
Modelo de Madurez
de sus responsabilidades sobre A.7.1.2
Definido
la seguridad de la información
y las cumplan.
La dirección debe exigir a todos
los empleados y contratistas la
aplicación de la seguridad de la
información de acuerdo con las A.7.2.1 ID.GV-2
políticas y procedimientos
establecidos por la
organización.
Todos los empleados de la
Entidad, y en donde sea
pertinente, los contratistas, PR.AT-1
deben recibir la educación y la Componente planeación PR.AT-2
formación en toma de A.7.2.2 PR.AT-3
Modelo de Madurez Inicial
conciencia apropiada, y PR.AT-4
actualizaciones regulares sobre PR.AT-5
las políticas y procedimientos
pertinentes para su cargo.
Se debe contar con un proceso

disciplinario formal el cual
debería ser comunicado, para
emprender acciones contra A.7.2.3
empleados que hayan cometido
una violación a la seguridad de
la información.
Proteger los intereses de la

Entidad como parte del Modelo de Madurez
A.7.3
proceso de cambio o Definido
terminación de empleo.
Las responsabilidades y los
deberes de seguridad de la
información que permanecen
válidos después de la
terminación o cambio de A.7.3.1 PR.DS-5
PR.IP-11
contrato se deberían definir,
comunicar al empleado o
contratista y se deberían hacer
cumplir.
A.8
Identificar los activos
organizacionales y definir las Modelo de Madurez
A.8.1
responsabilidades de Gestionado
protección apropiadas.
Se deben identificar los activos
asociados con la información y
las instalaciones de Componente Planificación ID AM-1
A.8.1.1 ID AM-2
procesamiento de información, Modelo de madurez inicial
ID.AM-5
y se debe elaborar y mantener
un inventario de estos activos.
Los activos mantenidos en el ID AM-1
inventario deben tener un A.8.1.2
ID AM-2
propietario.
Se deben identificar,
documentar e implementar
reglas para el uso aceptable de
información y de activos A.8.1.3
asociados con información e
instalaciones de procesamiento
de información.
Todos los empleados y usuarios
de partes externas deben
devolver todos los activos de la
A.8.1.4 PR.IP-11
organización que se encuentren
a su cargo, al terminar su
empleo, contrato o acuerdo.
Asegurar que la información

recibe un nivel apropiado de
A.8.2
protección, de acuerdo con su
importancia para la Entidad.
La información se debería
clasificar en función de los
requisitos legales, valor,
A.8.2.1 Modelo de Madurez Inicial
criticidad y susceptibilidad a
divulgación o a modificación no
autorizada.
PR.DS-5
A.8.2.2
PR.PT-2
PR.DS-1
PR.DS-2
PR.DS-3
A.8.2.3
PR.DS-5
PR.IP-6
PR.PT-2
Evitar la divulgación, la
modificación, el retiro o la
destrucción no autorizados de A.8.3
la información almacenada en
los medios.
PR.DS-3
A.8.3.1 PR.IP-6
PR.PT-2
A.8.3.2 PR.DS-3
PR.IP-6
PR.DS-3
A.8.3.3
PR.PT-2
LA CONTINUIDAD DEL NEGOCIO
A.17
La continuidad de la seguridad
de la información debe incluir
en los sistemas de gestión de la A.17.1
continuidad del negocio de la
Entidad.
Modelo de Madurez ID.BE-5
A.17.1.1
Gestionado PR.IP-9
La organización debe
establecer, documentar,
implementar y mantener
ID.BE-5
procesos, procedimientos y PR.IP-4
controles para garantizar el A.17.1.2 Modelo de Madurez Definido
PR.IP-9
nivel necesario de continuidad
para la seguridad de la PR.IP-9
información durante una
situación adversa,
Modelo de Madurez PR.IP-4
A.17.1.3
Optimizado PR.IP-10
Asegurar la disponibilidad de
las instalaciones de
A.17.2
procesamiento de la
información.
A.17.2.1 ID.BE-5
A.18
Evitar el incumplimiento de las

obligaciones legales,
estatutarias, de
reglamentación o contractuales A.18.1 ID.GV-3
relacionadas con seguridad de
la información y de cualquier
requisito de seguridad.
Modelo de Madurez
A.18.1.1 Gestionado
Cuantitativamente
A.18.1.2
Se deben proteger los registros
importantes de una
organización de pérdida,
destrucción y falsificación, en
A.18.1.3 PR.IP-4
concordancia con los
requerimientos estatutarios,
reguladores, contractuales y
comerciales
Se deben asegurar la protección
y privacidad de la información
personal tal como se requiere
en la legislación relevante, las A.18.1.4 DE.DP-2
regulaciones y, si fuese
aplicable, las cláusulas
contractuales.
A.18.1.5
Modelo de Madurez
A.18.2 Gestionado
Cuantitativamente
A.18.2.1
Asegurar el cumplimiento de los
sistemas con las políticas y
A.18.2.2 PR.IP-12
estándares de seguridad
organizacional.
Los sistemas de información
deben chequearse
regularmente para el
A.18.2.3 ID.RA-1
cumplimiento con los
estándares de implementación
de la seguridad.
A.15
Asegurar la protección de los
activos de la entidad que sean A.15.1 Modelo de Madurez Definido
accesibles para los proveedores
Mantener el nivel acordado de
seguridad de la información y
de prestación del servicio en A.15.2 Modelo de Madurez Definido
línea con los acuerdos con los
proveedores
NIVEL DE
CUMPLI
PRUEBA EVIDENCI BRECHA MIENTO
RECOMENDACIÓN
A ANEXO A
ISO
27001
20
para manejar
las
desviaciones y
las
excepciones.
Indague sobre
los 20
responsables
designados
formalmente
por la dirección
para
desarrollar,
actualizar y
revisar las
políticas.
Verifique cada
cuanto o bajo
que 60
circunstancias
se revisan y
actualizan,
verifique la
ultima fecha de
emisión de la
#DIV/0!
20
detección de
incidentes
Solicite el acto
administrativo
a través del
cual se crea o
se modifica las
funciones del
comité gestión
institucional (o
e que haga sus
veces), en
donde se
incluyan los
temas de
seguridad de la
información en
la entidad,
revisado y
aprobado por
la alta
Dirección.
Revise la
estructura del 20
SGSI:
1) Tiene el SGSI
suficiente
apoyo de la
alta dirección?,
esto se ve
reflejado en
comités donde
se discutan
temas como la
política de SI,
los riesgos o
incidentes.
2) Están
claramente
definidos los
roles y
responsabilida
des y asignados
a personal con
las
competencias
requeridas?,
Indague como
evitan que una
persona pueda
acceder,
modificar o
usar activos sin
autorización ni
detección. La
mejor práctica
dicta que el
inicio de un
evento deber
estar separado
de su
autorización. Al
diseñar los
controles se
debería
considerar la
posibilidad de
confabulación.
Tenga en 20
cuenta que
para las
organizaciones
pequeñas la
separación de
deberes puede
ser difícil de
lograr, en estos
casos se deben
considerar
controles
compensatorio
s como revisión
periódica de,
los rastros de
auditoría y la
supervisión de
cargos
superiores.
Solicite los
procedimiento
s establecidos
que
especifiquen
cuándo y a
través de que
autoridades se
debería
contactar a las
autoridades, 20
verifique si de
acuerdo a
estos
procedimiento
s se han
reportado
eventos o
incidentes de SI
de forma
consistente.
Pregunte sobre
las
membrecías en
grupos o foros
de interés
especial en
seguridad de la
información en 40
los que se
encuentran
inscritos las
personas
responsables
de la SI.
de seguridad
de la
información se
identifiquen y
traten como
parte del
proyecto.
Tenga en
cuenta que
esto no
solamente
aplica para
proyectos de
TI, por ejemplo
puede aplicar
en proyectos
de traslado de
activos de
información,
gestión de
instalaciones,
personal en
outsourcing
que soporta 60
procesos de la
organización.
Las mejores
prácticas
sugieren:
a) Que los
objetivos de la
seguridad de la
información se
incluyan en los
objetivos del
proyecto;
b) Que la
valoración de
los riesgos de
seguridad de la
información se
lleve a cabo en
una etapa
temprana del
proyecto, para
identificar los
20
las versiones
de software de
dispositivos
móviles y para
aplicar
parches;
e) la restricción
de la conexión
a servicios de
información;
f) los controles
de acceso;
g) técnicas
criptográficas;
h) protección
contra
software
malicioso;
i) des
habilitación
remota,
borrado o
cierre;
j) copias de 20
respaldo;
k) uso de
servicios y
aplicaciones
web.
Cuando la
política de
dispositivos
móviles
permite el uso
de dispositivos
móviles de
propiedad
personal, la
política y las
medidas de
seguridad
relacionadas
también deben
considerar:
a) la separación
entre el uso
interno;
c) el suministro
de acceso al
escritorio
virtual, que
impide el
procesamiento
y
almacenamient
o de
información en
equipo de
propiedad
privada;
d) la amenaza
de acceso no
autorizado a
información o a
recursos, por
parte de otras
personas que
usan el mismo
equipo, por
ejemplo, 20
familia y
amigos;
e) el uso de
redes
domésticas y
requisitos o
restricciones
sobre la
configuración
de servicios de
red
inalámbrica;
e) acuerdos de
licenciamiento
de software de
tal forma que
las
organizaciones
puedan llegar a
ser
responsables
por el
licenciamiento
#DIV/0!
40
desempeñar el
rol de
seguridad;
e) sea confiable
para
desempeñar el
rol,
especialmente
si es crítico
para la
organización.
f) Cuando un
trabajo, ya sea
una asignación
o una
promoción,
implique que la
persona tenga
acceso a las
instalaciones
de
procesamiento
de
información, y 80
en particular, si
ahí se maneja
información
confidencial,
por ejemplo,
información
financiera o
información
muy
confidencial, la
organización
debería
también
considerar
verificaciones
adicionales
más detalladas
(por ejemplo
estudio de
seguridad,
polígrafo, visita
domiciliaria)
60
y contratistas:
a) Estén
debidamente
informados
sobre sus roles
y
responsabilida
des de
seguridad de la
información,
antes de que se
les otorgue el
acceso a
información o
sistemas de
información
confidenciales.
b) Se les
suministren las
directrices que
establecen las
expectativas de
seguridad de la
información de 60
sus roles
dentro de la
Entidad.
c) Logren un
nivel de toma
de conciencia
sobre
seguridad de la
información
pertinente a
sus roles y
responsabilida
des dentro de
la organización
y estén
motivados para
cumplir con las
políticas.
d) Tengan
continuamente
las habilidades
y calificaciones
por la alta
Dirección
c) Verifique
que nuevos
empleados y
contratistas
son objeto de
sensibilización
en SI.
d) Indague
cada cuanto o
con que
criterios se
actualizan los
programas de
toma de
conciencia.
e) Verifique
que en las
evidencias se
puede
establecer los
asistentes al
programa y el 60
tema
impartido.
f) Incluir en los
temas de toma
de conciencia
los
procedimiento
s básicos de
seguridad de la
información
(tales como el
reporte de
incidentes de
seguridad de la
información) y
los controles
de línea base
(tales como la
seguridad de
las
contraseñas,
los controles
del software
Pregunte cual
es el proceso
disciplinario
que se sigue
cuando se
verifica que ha
ocurrido una
violación a la 60
seguridad de la
información,
quien y como
se determina la
sanción al
infractor?
80
Revisar los
acuerdos de
confidencialida
d, verificando
que deben
acordar que
después de
terminada la 80
relación laboral
o contrato
seguirán
vigentes por un
periodo de
tiempo.
#DIV/0!
65
importancia
del activo
3) Que señale
el propietario
del activo
Indague
quien(es)
el(los)
encargado(s)
de actualizar y
revisar el
inventario de
activos y cada
cuanto se
realiza esta
revisión.
De acuerdo a
NIST se deben
considerar
como activos el
personal,
dispositivos,
sistemas e
instalaciones 80
físicas que
permiten a la
entidad
cumplir con su
misión y
objetivos, dada
su importancia
y riesgos
estratégicos.
Tenga en
cuenta para la
calificación:
1) Si Se
identifican en
forma general
los activos de
información de
la Entidad,
están en 40.
2) Si se cuenta
con un
inventario de
activos de
cuenta que la
propiedad se
debería asignar
cuando los
activos se
crean o cuando
son entregados
a la Entidad.
De acuerdo a
las mejores
prácticas el
propietario de
los activos
(individuo o
entidad, que es
responsable
por el activo)
tiene las
siguientes
responsabilida
des:
a) asegurarse
de que los
activos están 60
inventariados;
b) asegurarse
de que los
activos están
clasificados y
protegidos
apropiadament
e;
c) definir y
revisar
periódicament
e las
restricciones y
clasificaciones
de acceso a
activos
importantes,
teniendo en
cuenta las
políticas de
control de
acceso
Pregunte por la
política,
procedimiento,
directriz o
lineamiento
que defina el
uso aceptable
de los activos,
verifique que
es conocida 60
por los
empleados y
usuarios de
partes externas
que usan
activos de la
Entidad o
tienen acceso a
ellos.
información
(equipos,
llaves,
documentos ,
datos,
sistemas) , las
llaves físicas y
de cifrado, la
eliminación de
los derechos de
acceso, etc. En
caso de que un
funcionario o
tercero sea el
dueño del
activo indague
como se
asegura la
transferencia
de la
información a
la Entidad y el
borrado seguro
de la 60
información de
la Entidad.
En caso en que
un empleado o
usuario de una
parte externa
posea
conocimientos
que son
importantes
para las
operaciones
regulares, esa
información se
debería
documentar y
transferir a la
Entidad.
Durante el
período de
notificación de
la terminación,
la Entidad
80
cual se
clasifican los
activos de
información y
evalué:
1) Que las
convenciones y
criterios de
clasificación
sean claros y
estén
documentados
2) Que se
defina cada
cuanto debe
revisarse la
clasificación de
un activo
3) La
clasificación
debería
valorarse
analizando la
confidencialida 80
d, integridad y
disponibilidad.
Solicite
muestras de
inventarios de
activos de
información
clasificados y
evalué que se
aplican las
políticas y
procedimiento
s de
clasificación
definidos.
Evalué si los
procesos
seleccionados
aplican de
manera
consistente
estas políticas y
Solicite el
procedimiento
para el
etiquetado de
la información
y evalúe:
1) Aplica a
activos en
formatos
físicos y
electrónicos
(etiquetas
físicas,
metadatos)
2) Que refleje
el esquema de
clasificación
establecido 80
3) Que las
etiquetas se
puedan
reconocer
fácilmente
4) Que los
empleados y
contratistas
conocen el
procedimiento
de etiquetado
Revise en una
muestra de
activos el
correcto
etiquetado
con su
clasificación.
De acuerdo a
las mejores
prácticas
evidencie si se
han
considerado los
siguientes
asuntos:
a) Restricciones
de acceso que
soportan los
requisitos de
protección
para cada nivel
de
clasificación;
b) Registro
formal de los
receptores
autorizados de
los activos;
c) Protección 80
de copias de
información
temporal o
permanente a
un nivel
coherente con
la protección
de la
información
original;
d)
Almacenamien
to de los
activos de TI de
acuerdo con las
especificacione
s de los
fabricantes;
e) Marcado
claro de todas
las copias de
medios para la
60
de forma que
no sea
recuperable;
b) cuando
resulte
necesario y
práctico, se
debe solicitar
autorización
para retirar los
medios de la
organización, y
se debe llevar
un registro de
dichos retiros
con el fin de
mantener un
rastro de
auditoría;
d) si la
confidencialida
d o integridad
de los datos se
consideran 60
importantes, se
deben usar
técnicas
criptográficas
para proteger
los datos que
se encuentran
en los medios
removibles;
f) se deben
guardar varias
copias de los
datos valiosos
en medios
separados,
para reducir
aún más el
riesgo de daño
o pérdida
casuales de los
datos;
h) sólo se
deben habilitar
Solicite los
procedimiento
s existentes
para garantizar
que los medios
a desechar o
donar, no
contienen
información
confidencial
que pueda ser
consultada y 60
copiada por
personas no
autorizadas.
Verifique si se
ha realizado
esta actividad y
si existen
registros de la
misma.
servicios de
mensajería
confiables.
b)
Procedimientos
para verificar la
identificación
de los servicios
de mensajería.
c) Indague y
evidencie
como es el
embalaje el
cual debe
proteger el
contenido
contra
cualquier daño
físico que
pudiera
presentarse
durante el
tránsito, y de
acuerdo con las 60
especificacione
s de los
fabricantes,
por ejemplo,
protección
contra
cualquier
factor
ambiental que
pueda reducir
la eficacia de la
restauración
del medio, tal
como
exposición al
calor, humedad
o campos
electromagnéti
cos;
d) Solicite los
registros que
dejen
evidencia del
#DIV/0!
73
recuperación
de desastres, la
dirección de
seguridad de la
información
debería
suponer que
los requisitos
de seguridad
de la
información
siguen siendo
los mismos en
situaciones
adversas, en
comparación
con las
condiciones
operacionales
normales.
Como
alternativa,
una
organización 60
puede llevar a
cabo un
análisis de
impacto en el
negocio de los
aspectos de
seguridad de la
información,
para
determinar los
requisitos de
seguridad de la
información
aplicables a
situaciones
adversas.
De acuerdo a la
NIST también
se deben tener
planes de
respuesta a
incidentes y
recuperación
respuesta a
incidentes con
la
responsabilida
d, autoridad y
competencia
necesarias para
manejar un
incidente y
mantener la
seguridad de la
información.
c) Planes
aprobados,
procedimiento
s de respuesta
y recuperación
documentados,
en los que se
especifique en
detalle como la
organización
gestionará un
evento 80
contingente y
mantendrá su
seguridad de la
información en
un límite
predeterminad
o, con base en
los objetivos de
continuidad de
seguridad de la
información
aprobados por
la dirección.
Revise si los
controles de
seguridad de la
información
que se han
implementado
continúan
operando
durante un
la realización
de pruebas de
la
funcionalidad
de los
procesos,
procedimiento
s y controles de
continuidad de
la seguridad de
la información,
para asegurar
que son
coherentes con
los objetivos de
continuidad de
la seguridad de
la información;
Tenga en
cuenta que la
verificación de
los controles
de continuidad 80
de la seguridad
de la
información es
diferente de las
pruebas y
verificación
generales de
seguridad de la
información. Si
es posible, es
preferible
integrar la
verificación de
los controles
de continuidad
de negocio de
seguridad de la
información
con las pruebas
de
recuperación
de desastres y
de continuidad
80
Verifique si la
Entidad cuenta
con
arquitecturas
redundantes,
ya sea un
centro de
cómputo
principal y otro
alterno o
componentes
redundantes
en el único
centro de
cómputo.
Indague como
se han definido
las necesidades
de los procesos
para 80
seleccionar que
elementos
deben ser
redundantes.
Solicite si
aplica las
pruebas
aplicadas para
asegurar que
un
componente
redundante
funciona de la
forma prevista
durante una
emergencia o
falla.
#DIV/0!
De acuerdo a
la NIST: Los
requerimiento
s legales y
regulatorios
respecto de la
ciberseguridad
, incluyendo la 80
privacidad y
las libertades y
obligaciones
civiles, son
entendidos y
gestionados.
Solicite la
relación de
requisitos
legales,
reglamentarios
, estatutarios,
que le aplican a
la Entidad
(Normograma).
Indague si 80
existe un
responsable de
identificarlos y
se definen los
responsables
para su
cumplimiento.
software
patentados.
2) Verifique si
la Entidad
cuenta con una
política
publicada
sobre el
cumplimiento
de derechos de
propiedad
intelectual que
defina el uso
legal del
software y de
productos
informáticos.
Esta política
debe estar
orientada no
solo al
software, si no
también a
documentos 80
gráficos, libros,
etc.
3) Indague
como se
controla que
no se instale
software ilegal.
4) Indague si se
tiene un
inventario de
software
instalado y se
compara con el
número de
licencias
adquiridas para
asegurar que
no se
incumplen los
derechos de
propiedad
intelectual.
Revise si la
Entidad cuenta
con tablas de
retención
documental
que
especifiquen
los registros y
el periodo por
el cual se
deberían
retener,
además del
almacenamient
o, manejo y
destrucción.
Posibles tipos
de registros
pueden ser
registros
contables, 80
registros de
bases de datos,
logs de
transacciones,
logs de
auditoría y
procedimiento
s
operacionales,
los medios de
almacenamient
o permitidos
pueden ser
papel,
microfichas,
medios
magnéticos,
medios ópticos
etc.
Indague sobre
las
disposiciones
que ha definido
la Entidad para
cumplir con la
legislación de
privacidad de
los datos
personales, ley
estatutaria
1581 de 2012 y
decreto 1377
que
reglamenta la
ley de 2013.
1) Revise si
existe una
política para
cumplir con la
ley
2) Si están
definidos los
responsables 80
3) Si se tienen
identificados
los repositorios
de datos
personales
4) Si se ha
solicitado
consentimiento
al titular para
tratar los datos
personales y se
guarda registro
de este hecho.
5) Si se
adoptan las
medidas
técnicas
necesarias para
proteger las
bases de datos
donde reposan
estos datos.
n/a n/a
80
Investigue la
forma como se
realizan
revisiones
independientes
(por personas
diferentes o no
vinculadas a un
proceso o área
que se revisa),
de la
conveniencia,
la adecuación y
la eficacia
continuas de la
gestionar la
seguridad de la
información. 80
Para esto
solicite:
1) El plan de
auditorías del
año 2015
2) El resultado
de las
auditorías del
año 2015
3) Las
oportunidades
de mejora o
cambios en la
seguridad de la
información
identificados.
1) Verifique si
los gerentes
aseguran que
todos los
procedimiento
s de seguridad
dentro de su
área de
responsabilida
d se llevan a
cabo
correctamente
para lograr el
cumplimiento
de las políticas
y estándares
de seguridad.
2) Verifique la
revisión
periódica del
cumplimiento 80
del centro de
cómputo con
las políticas y
normas de
seguridad
establecidas.
3) Verifique si
los sistemas de
información
son revisados
regularmente
para asegurar
el
cumplimiento
de las normas
de seguridad
de la
información
Verifique si se
realizan
evaluaciones
de seguridad
técnicas por o
bajo la
supervisión de
personal
autorizado,
apoyado en
herramientas
automáticas o
con revisiones
manuales
realizadas por 80
especialistas.
Solicite
evidencia de
las últimas
pruebas
realizadas, sus
resultados y
seguimiento
para asegurar
que las brechas
de seguridad
fueron
solucionadas.
#DIV/0!
proveedores
con acceso a
los activos de
información
(no
necesariament
e son
proveedores
de tecnología
de la
información,
por ejemplo
pueden ser
proveedores
que tengan por
ejemplo un
proceso de
nomina en
outsourcing),
se hayan
suscrito
acuerdos (ANS)
formales
donde se 80
establezcan y
acuerden todos
los requisitos
de seguridad
de la
información
pertinentes
con cada
proveedor.
3) Verifique
para los
proveedores si
se tiene en
cuenta los
riesgos de SI
asociados a la
cadena de
suministro, por
ejemplo para
los
proveedores
en la nube es
muy común
seleccionada,
como la
entidad hace
seguimiento,
revisa y audita
con regularidad
de acuerdo a la
política la
prestación de
servicios de los
proveedores y
el
cumplimiento
de los
compromisos
respecto a la
seguridad de la
información.
2) Indague y
evidencie
como se
gestionan los
cambios en el
suministro de 80
servicios por
parte de los
proveedores,
incluido el
mantenimiento
y la mejora de
las políticas,
procedimiento
s y controles de
seguridad de la
información
existentes ,
teniendo en
cuenta la
criticidad de la
información,
sistemas y
procesos del
negocio
involucrados,
los incidentes
de seguridad
ID/ITEM CARGO ITEM DESCRIPCIÓN ISO MSPI
CONTROL DE ACCESO
Responsabl
e de CONTROL Componente planificación y modelo de
T.1 A.9
SI/Responsa DE ACCESO madurez nivel gestionado
ble de TICs
Se debe
REQUISITOS limitar el
DEL acceso a
T.1.1 Responsable NEGOCIO información A.9.1 Modelo de madurez definido
de SI PARA ya
CONTROL instalacione
DE ACCESO s de
procesamie
nto de
información
.
Se debe
establecer,
documentar
y revisar una
política de
control de
Responsable Política de acceso con
T.1.1.1 control de A.9.1.1
de SI base en los
acceso
requisitos
del negocio
y de
seguridad
de la
información.
Se debe
permitir
acceso de
los usuarios
Acceso a a la red y a
Responsable redes y a los servicios
T.1.1.2 A.9.1.2
de TICs servicios en de red para
red los que
hayan sido
autorizados
específicam
ente.
Se debe
asegurar el
acceso de
los usuarios
GESTIÓN DE
Responsable ACCESO DE autorizados Modelo de madurez gestionado
T.1.2 A.9.2
de SI
USUARIOS y evitar el
cuantitativamente
acceso no
autorizado a
sistemas y
servicios.
Se debe
implementa
r un proceso
formal de
registro y de
Registro y cancelación
Responsable cancelación de registro
T.1.2.1 A.9.2.1
de SI del registro de usuarios,
de usuarios para
posibilitar la
asignación
de los
derechos de
acceso.
Se debe
implementa
r un proceso
de
suministro
de acceso
formal de
Responsable Suministro usuarios
T.1.2.2 de acceso para asignar A.9.2.2
de SI
de usuarios o revocar
los derechos
de acceso a
todo tipo de
usuarios
para todos
los sistemas
y servicios.
Se debe
restringir y
Gestión de controlar la
Responsable derechos de asignación y
T.1.2.3 A.9.2.3
de SI acceso uso de
privilegiado derechos de
acceso
privilegiado.
La
asignación
de
información
Gestión de de
información autenticació
Responsable de n secreta se
T.1.2.4 A.9.2.4
de SI autenticació debe
n secreta de controlar
usuarios por medio
de un
proceso de
gestión
formal.
Los
propietarios
de los
activos
Revisión de
Responsable los derechos deben
T.1.2.5 revisar los A.9.2.5
de SI de acceso derechos de
de usuarios acceso de
los usuarios,
a intervalos
regulares.
Los
derechos de
acceso de
todos los
empleados y
de usuarios
externos a
la
información
y a las
instalacione
Retiro o s de
Responsable ajuste de los procesamie
T.1.2.6 A.9.2.6
de SI derechos de nto de
acceso información
se deben
retirar al
terminar su
empleo,
contrato o
acuerdo, o
se deben
ajustar
cuando se
hagan
cambios.
Hacer que
los usuarios
rindan
RESPONSAB cuentas por
la
Responsabl ILIDADES DE
T.1.3 salvaguarda A.9.3 Modelo de madurez definido
e de SI LOS
USUARIOS de su
información
de
autenticació
n.
Se debe
exigir a los
usuarios que
cumplan las
Uso de prácticas de
Responsable información la
T.1.3.1 de organización A.9.3.1
de SI
autenticació para el uso
n secreta de
información
de
autenticació
n secreta.
Se debe
CONTROL
evitar el
DE ACCESO
Responsable A SISTEMAS acceso no Modelo de madurez gestionado
T.1.4 autorizado a A.9.4
de SI Y cuantitativamente
sistemas y
APLICACION aplicaciones
ES .
El acceso a
la
información
y a las
funciones
de los
Restricción
Responsable de acceso a sistemas de
T.1.4.1 las A.9.4.1
de SI la
aplicaciones
información se debería
restringir de
acuerdo con
la política de
control de
acceso.
Cuando lo
requiere la
política de
control de
acceso, el
Procedimien acceso a
Responsable to de sistemas y
T.1.4.2 A.9.4.2
de SI ingreso aplicaciones
seguro se debe
controlar
mediante un
proceso de
ingreso
seguro.
Los sistemas
de gestión
de
contraseñas
Responsable Sistema de deben ser
T.1.4.3 gestión de interactivos A.9.4.3
de TICs
contraseñas y deben
asegurar la
calidad de
las
contraseñas.
Se debe
restringir y
controlar
estrictamen
te el uso de
programas
utilitarios
Uso de
Responsable programas que
T.1.4.4 pudieran A.9.4.4
de TICs utilitarios
tener
privilegiados capacidad
de anular el
sistema y los
controles de
las
aplicaciones
.
Se debe
Control de restringir el
Responsable acceso a acceso a los
T.1.4.5 códigos códigos A.9.4.5
de TICs
fuente de fuente de
programas los
programas.
CRIPTOGRAFÍA
Marco de
referencia
de gestión
para iniciar
y controlar
la
implementa
ción y la
operación
de la
seguridad
Responsabl CRIPTOGRA de la
T.2 A.10
e de SI FÍA información
dentro de la
organizació
n
Garantizar
la seguridad
del
teletrabajo
y el uso de
los
dispositivos
móviles
Asegurar el
uso
apropiado y
eficaz de la
criptografía
para
CONTROLES proteger la
Responsabl Modelo de madurez gestionado
T.2.1 CRIPTOGRÁ confidencial A.10.1
e de SI cuantitativamente
FICOS idad, la
autenticida
d y/o la
integridad
de la
información
.
Se debe
desarrollar e
implementa
r una
Política
política
Responsable sobre el uso sobre el uso
T.2.1.1 de controles A.10.1.1
de SI
criptográfico de controles
s criptográfico
s para la
protección
de la
información.
Se debe
desarrollar e
implementa
r una
política
sobre el uso,
Responsable Gestión de protección y
T.2.1.2 A.10.1.2
de SI llaves tiempo de
vida de las
llaves
criptográfica
s durante
todo su ciclo
de vida.
SEGURIDAD FÍSICA Y DEL ENTORNO
Responsabl
e de la
seguridad
SEGURIDAD
física/Respo FÍSICA Y DEL
T.3 A.11
nsable de ENTORNO
SI/Líderes
de los
procesos
Prevenir el
acceso físico
no
autorizado,
el daño y la
interferenci
a a la
Responsabl
e de la ÁREAS información
T.3.1 y a las A.11.1 Modelo de madurez definido
seguridad SEGURAS
instalacione
física
s de
procesamie
nto de
información
de la
organizació
n.
Se debe
definir y
usar
perímetros
de
seguridad, y
usarlos para
Responsable Perímetro
proteger
de la de
T.3.1.1 seguridad seguridad áreas que A.11.1.1
física física contengan
información
sensible o
crítica, e
instalacione
s de manejo
de
información.
Las áreas
seguras se
deben
proteger
mediante
controles de
entrada
Responsable Controles apropiados
T.3.1.2 físicos de A.11.1.2
de SI para
entrada
asegurar
que
solamente
se permite
el acceso a
personal
autorizado.
Se debe
diseñar y
Seguridad aplicar
Líderes de de oficinas, seguridad
T.3.1.3 recintos e física a A.11.1.3
los procesos instalacione oficinas,
s recintos e
instalacione
s.
Se debe
diseñar y
aplicar
Protección
protección
contra
Responsable amenazas física contra
T.3.1.4 A.11.1.4
de SI
externas y desastres
ambientales naturales,
ataques
maliciosos o
accidentes.
Se debe
diseñar y
aplicar
Responsable Trabajo en procedimien
T.3.1.5 áreas A.11.1.5 Componente planeación
de SI tos para
seguras
trabajo en
áreas
seguras.
Se debe
controlar los
puntos de
acceso tales
como áreas
de despacho
y de carga, y
otros puntos
en donde
pueden
entrar
Responsable
de la Áreas de personas no
T.3.1.6 despacho y autorizadas, A.11.1.6
seguridad carga
y si es
física posible,
aislarlos de
las
instalacione
s de
procesamie
nto de
información
para evitar
el acceso no
autorizado.
Prevenir la
pérdida,
daño, robo
o
compromiso
Responsabl de activos, y
T.3.2 EQUIPOS la A.11.2 Modelo de madurez definido
e de SI
interrupción
de las
operaciones
de la
organizació
n.
Los equipos
deben estar
ubicados y
protegidos
para reducir
los riesgos
Ubicación y
Responsable protección de
T.3.2.1 amenazas y A.11.2.1
de SI de los
peligros del
equipos entorno, y
las
oportunidad
es para
acceso no
autorizado.
Los equipos
se deben
proteger
contra fallas
de energía y
Responsable Servicios de otras
T.3.2.2 A.11.2.2
de TICs suministro interrupcion
es causadas
por fallas en
los servicios
de
suministro.
El cableado
de potencia
y de
telecomunic
aciones que
porta datos
o soporta
Responsable Seguridad servicios de
T.3.2.3 A.11.2.3
de TICs del cableado información
deben estar
protegido
contra
interceptaci
ón,
interferenci
a o daño.
Los equipos
se deben
mantener
correctame
Responsable Mantenimie nte para
T.3.2.4 nto de A.11.2.4
de TICs asegurar su
equipos
disponibilida
de
integridad
continuas.
Los equipos,
información
o software
Responsable Retiro de no se deben
T.3.2.5 A.11.2.5
de TICs activos retirar de su
sitio sin
autorización
previa.
Se debe
aplicar
medidas de
seguridad a
los activos
que se
encuentran
fuera de las
Seguridad
instalacione
de equipos y
Responsable activos s de la
T.3.2.6 organización A.11.2.6
de SI fuera de las , teniendo
instalacione en cuenta
s los
diferentes
riesgos de
trabajar
fuera de
dichas
instalacione
s.
Se debe
verificar
todos los
elementos
de equipos
que
contengan
medios de
almacenami
ento, para
asegurar
Disposición
Responsable segura o que
T.3.2.7 cualquier A.11.2.7
de TICs reutilización dato
de equipos sensible o
software
con licencia
haya sido
retirado o
sobrescrito
en forma
segura antes
de su
disposición
o reusó.
Los usuarios
deben
asegurarse
Equipos de
Responsable usuario de que a los
T.3.2.8 equipos A.11.2.8
de SI desatendido desatendido
s s se les dé
protección
apropiada.
Se debe
adoptar una
política de
escritorio
limpio para
los papeles
y medios de
Política de almacenami
Responsable escritorio ento
T.3.2.9 limpio y removibles, A.11.2.9
de SI
pantalla y una
limpia política de
pantalla
limpia en las
instalacione
s de
procesamie
nto de
información.
SEGURIDAD DE LAS OPERACIONES

Responsabl SEGURIDAD
e de DE LAS
T.4 A.12
TICs/Respon OPERACION
sable de SI ES
Asegurar las
operaciones
PROCEDIMI correctas y
seguras de
ENTOS
las
Responsabl OPERACION instalacione
T.4.1 A.12.1 Modelo de madurez definido
e de TICs ALES Y
s de
RESPONSAB
procesamie
ILIDADES
nto de
información
.
Los
procedimien
tos de
operación
Procedimien
se deben
Responsabl tos de documentar
T.4.1.1 operación A.12.1.1
e de TICs
documentad y poner a
os disposición
de todos los
usuarios que
los
necesiten.
Se debe
controlar los
cambios en
la
organización
, en los
procesos de
negocio, en
Responsable Gestión de las
T.4.1.2 instalacione A.12.1.2
de TICs cambios
s y en los
sistemas de
procesamie
nto de
información
que afectan
la seguridad
de la
información.
Para
asegurar el
desempeño
requerido
del sistema
se debe
hacer
seguimiento
Responsable Gestión de al uso de los
T.4.1.3 recursos, A.12.1.3
de TICs capacidad
hacer los
ajustes, y
hacer
proyeccione
s de los
requisitos
sobre la
capacidad
futura.
Se debe
separar los
ambientes
de
Separación desarrollo,
de los prueba y
Responsable ambientes operación,
T.4.1.4 de para reducir A.12.1.4
de TICs
desarrollo, los riesgos
pruebas y de acceso o
operación cambios no
autorizados
al ambiente
de
operación.
Asegurarse
de que la
información
y las
instalacione
PROTECCIÓ
N CONTRA s de
Responsabl CÓDIGOS procesamie
T.4.2 A.12.2
e de SI
MALICIOSO nto de
S información
estén
protegidas
contra
códigos
maliciosos.
Se debe
implementa
r controles
de
detección,
de
prevención
y de
recuperació
Controles n,
Responsabl contra combinados
T.4.2.1 A.12.2.1 Modelo de madurez gestionado
e de SI códigos con la toma
maliciosos de
conciencia
apropiada
de los
usuarios,
para
proteger
contra
códigos
maliciosos.
Proteger
Responsabl COPIAS DE contra la
T.4.3 A.12.3 Modelo de madurez gestionado
e de TICs RESPALDO pérdida de
datos.
Se debe
hacer copias
de respaldo
de la
información,
del software
e imágenes
de los
Responsable Respaldo de sistemas, y
T.4.3.1 la A.12.3.1
de TICs
información ponerlas a
prueba
regularment
e de
acuerdo con
una política
de copias de
respaldo
aceptada.
Registrar
Responsable REGISTRO Y eventos y Modelo de madurez gestionado
T.4.4 SEGUIMIEN generar A.12.4
de SI cuantitativamente
TO
evidencia.
Se debe
elaborar,
conservar y
revisar
regularment
e los
registros
Responsable Registro de acerca de Modelo de madurez gestionado
T.4.4.1 A.12.4.1
de SI eventos actividades cuantitativamente
del usuario,
excepciones
, fallas y
eventos de
seguridad
de la
información.
Las
instalacione
s y la
información
Protección
Responsable de la de registro
T.4.4.2 se deben A.12.4.2
de SI información proteger
de registro contra
alteración y
acceso no
autorizado.
Las
actividades
del
administrad
or y del
Registros
operador
del
Responsable administrad del sistema
T.4.4.3 A.12.4.3
de SI se debe
or y del
operador registrar, y
los registros
se deben
proteger y
revisar con
regularidad.
Los relojes
de todos los
sistemas de
procesamie
nto de
información
pertinentes
dentro de
Sincronizaci una
Responsable ón de
T.4.4.4 organización A.12.4.4
de SI
relojes o ámbito de
seguridad se
deben
sincronizar
con una
única fuente
de
referencia
de tiempo.
Asegurar la
CONTROL
integridad
DE
T.4.5 Responsabl SOFTWARE de los A.12.5 Modelo de madurez definido
e de TICs sistemas
OPERACION
AL operacional
es.
Se debe
implementa
r
Instalación procedimien
Responsable de software tos para
T.4.5.1 A.12.5.1
de TICs en sistemas controlar la
operativos instalación
de software
en sistemas
operativos.
Prevenir el
GESTIÓN DE
aprovecham
Responsabl LA iento de las
T.4.6 VULNERABI A.12.6 Modelo de madurez gestionado
e de SI vulnerabilid
LIDAD
TÉCNICA ades
técnicas.
Se debe
obtener
oportuname
nte
información
acerca de
las
vulnerabilid
ades
técnicas de
los sistemas
Gestión de de
Responsable las información
T.4.6.1 vulnerabilid que se usen; A.12.6.1
de SI
ades evaluar la
técnicas exposición
de la
organización
a estas
vulnerabilid
ades, y
tomar las
medidas
apropiadas
para tratar
el riesgo
asociado.
Se debe
establecer e
implementa
Restriccione
r las reglas
Responsable s sobre la
T.4.6.2 para la A.12.6.2
de TICs instalación instalación
de software de software
por parte de
los usuarios.
CONSIDERA Minimizar el
CIONES impacto de
SOBRE las
AUDITORÍA actividades
Responsabl Modelo de madurez gestionado
T.4.7 S DE de auditoría A.12.7
e de TICs cuantitativamente
SISTEMAS sobre los
DE sistemas
INFORMACI operacional
ÓN es.
Los
requisitos y
actividades
de auditoría
que
involucran
la
verificación
Controles de los
sobre sistemas
Responsable auditorías operativos
T.4.7.1 A.12.7.1
de TICs de sistemas se debe
de planificar y
información acordar
cuidadosam
ente para
minimizar
las
interrupcion
es en los
procesos del
negocio.
SEGURIDAD DE LAS COMUNICACIONES

Responsabl SEGURIDAD
e de DE LAS
T.5 A.13
TICs/Respon COMUNICA
sable de SI CIONES
Asegurar la
protección
de la
información
GESTIÓN DE
en las redes,
LA
Responsabl y sus
T.5.1 SEGURIDAD A.13.1 Modelo de madurez definido
e de TICs instalacione
DE LAS
s de
REDES
procesamie
nto de
información
de soporte.
Las redes se
deben
gestionar y
controlar
Responsable Controles de para
T.5.1.1 proteger la A.13.1.1
de TICs redes
información
en sistemas
y
aplicaciones
.
Se debe
identificar
los
mecanismos
de
seguridad,
los niveles
de servicio y
los
requisitos
de gestión
Seguridad de todos los
Responsable de los servicios de
T.5.1.2 A.13.1.2
de SI servicios de red, e
red incluirlos en
los acuerdos
de servicios
de red, ya
sea que los
servicios se
presten
internament
e o se
contraten
externamen
te.
Los grupos
de servicios
de
información,
Responsable Separación usuarios y
T.5.1.3 A.13.1.3
de TICs en las redes sistemas de
información
se deben
separar en
las redes.
Mantener la
seguridad
de la
información
TRANSFERE transferida
Responsabl NCIA DE dentro de
T.5.2 A.13.2 Modelo de madurez definido
e de TICs INFORMACI una
ÓN organizació
n y con
cualquier
entidad
externa.
Se debe
contar con
políticas,
procedimien
tos y
controles de
transferenci
Políticas y a formales
procedimien para
Responsable tos de proteger la
T.5.2.1 A.13.2.1
de TICs transferenci transferenci
a de a de
información información
mediante el
uso de todo
tipo de
instalacione
s de
comunicació
n.
Los
acuerdos
deben tener
en cuenta la
Acuerdos
transferenci
Responsable sobre a segura de
T.5.2.2 transferenci A.13.2.2
de TICs información
a de
información del negocio
entre la
organización
y las partes
externas.
Se debe
proteger
adecuadam
Responsable Mensajería ente la
T.5.2.3 información A.13.2.3
de TICs electrónica incluida en
la
mensajería
electrónica.
Se debe
identificar,
revisar
regularment
ey
documentar
los
requisitos
para los
Acuerdos de acuerdos de
Responsable confidenciali confidenciali
T.5.2.4 A.13.2.4
de SI dad o de no dad o no
divulgación divulgación
que reflejen
las
necesidades
de la
organización
para la
protección
de la
información.
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
ADQUISICIÓ
N,
Responsabl
DESARROLL
e de
T.6
SI/Responsa O Y
A.14
ble de TICs MANTENIMI
ENTO DE
SISTEMAS
Asegurar
que la
seguridad
de la
información
sea una
parte
integral de
REQUISITOS los sistemas
DE de
SEGURIDAD información
T.6.1 Responsabl DE LOS durante A.14.1 Modelo de madurez definido
e de SI SISTEMAS todo el ciclo
DE de vida.
INFORMACI Esto incluye
ÓN también los
requisitos
para
sistemas de
información
que prestan
servicios en
redes
públicas.
Los
requisitos
relacionados
con
seguridad
de la
Análisis y
información
especificació
se debe
n de
Responsable requisitos incluir en los
T.6.1.1 requisitos A.14.1.1
de SI de
para nuevos
seguridad sistemas de
de la información
información
o para
mejoras a
los sistemas
de
información
existentes.
La
información
involucrada
en los
servicios de
aplicaciones
que pasan
sobre redes
Seguridad
públicas se
de servicios
Responsable de las debe
T.6.1.2 proteger de A.14.1.2
de SI aplicaciones actividades
en redes fraudulentas
públicas , disputas
contractuale
sy
divulgación
y
modificació
n no
autorizadas.
La
información
involucrada
en las
transaccione
s de los
servicios de
las
aplicaciones
se debe
proteger
para evitar
la
Protección transmisión
de incompleta,
Responsable transaccione el
T.6.1.3 s de los enrutamient A.14.1.3
de SI
servicios de o errado, la
las alteración
aplicaciones no
autorizada
de
mensajes, la
divulgación
no
autorizada,
y la
duplicación
o
reproducció
n de
mensajes no
autorizada.
Asegurar de
que la
seguridad
de la
información
SEGURIDAD
esté
EN LOS
PROCESOS diseñada e
T.6.2 Responsabl DE implementa A.14.2 Modelo de madurez definido
e de SI
DESARROLL da dentro
del ciclo de
O Y DE
vida de
SOPORTE desarrollo
de los
sistemas de
información
.
Se debe
establecer y
aplicar
reglas para
el desarrollo
de software
Responsable Política de y de
T.6.2.1 desarrollo A.14.2.1
de SI sistemas, a
seguro
los
desarrollos
que se dan
dentro de la
organización
.
Los cambios
a los
sistemas
dentro del
ciclo de vida
Procedimien de
Responsable tos de desarrollo
T.6.2.2 control de se debe A.14.2.2
de TICs
cambios en controlar
sistemas mediante el
uso de
procedimien
tos formales
de control
de cambios.
Cuando se
cambian las
plataformas
de
operación,
se deben
Revisión revisar las
técnica de aplicaciones
las críticas del
aplicaciones negocio, y
Responsable después de ponerlas a
T.6.2.3 A.14.2.3
de TICs cambios en prueba para
la asegurar
plataforma que no haya
de impacto
operación adverso en
las
operaciones
o seguridad
de la
organización
.
Se deben
desalentar
las
modificacio
nes a los
paquetes de
software,
Restriccione
que se
Responsable s en los deben
T.6.2.4 cambios a A.14.2.4
de TICs
los paquetes limitar a los
de software cambios
necesarios,
y todos los
cambios se
deben
controlar
estrictamen
te.
Se deben
establecer,
documentar
y mantener
principios
para la
Principios de construcció
construcció n de
Responsable
T.6.2.5 n de sistemas A.14.2.5
de TICs
sistemas seguros, y
seguros aplicarlos a
cualquier
actividad de
implementa
ción de
sistemas de
información.
Las
organizacion
es deben
establecer y
proteger
adecuadam
ente los
ambientes
de
Ambiente desarrollo
Responsable de seguros
T.6.2.6 A.14.2.6
de TICs desarrollo para las
seguro tareas de
desarrollo e
integración
de sistemas
que
comprendan
todo el ciclo
de vida de
desarrollo
de sistemas.
La
organización
debe
supervisar y
hacer
Desarrollo
Responsable contratado seguimiento
T.6.2.7 de la A.14.2.7
de TICs externamen actividad de
te desarrollo
de sistemas
contratados
externamen
te.
Durante el
desarrollo
se debe
Pruebas de
Responsable llevar a cabo Modelo de madurez gestionado
T.6.2.8 seguridad A.14.2.8
de SI pruebas de cuantitativamente
de sistemas
funcionalida
d de la
seguridad.
Para los
sistemas de
información
nuevos,
actualizacio
nes y
nuevas
Prueba de versiones,
Responsable aceptación se debe
T.6.2.9 A.14.2.9
de TICs
de sistemas establecer
programas
de prueba
para
aceptación y
criterios de
aceptación
relacionados
.
Asegurar la
protección
Responsable DATOS DE
T.6.3 de los datos A.14.3 Modelo de madurez definido
de SI PRUEBA
usados para
pruebas.
Los datos de
ensayo se
deben
Responsable Protección seleccionar,
T.6.3.1 de datos de A.14.3.1
de SI proteger y
prueba
controlar
cuidadosam
ente.
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
GESTIÓN DE
INCIDENTES
Responsabl
DE
e de
T.7. SEGURIDAD A.16
SI/Responsa
ble de TICs DE LA
INFORMACI
ÓN
Asegurar un
enfoque
coherente y
eficaz para
la gestión
GESTIÓN DE
de
INCIDENTES
incidentes
Y MEJORAS
Responsabl EN LA de
T.7.1 seguridad A.16.1
e de SI SEGURIDAD
de la
DE LA
información
INFORMACI , incluida la
ÓN
comunicació
n sobre
eventos de
seguridad y
debilidades.
Se debe
establecer
las
responsabili
dades y
procedimien
tos de
gestión para
Responsabili asegurar
Responsable dades y una
T.7.1.1 de SI procedimien respuesta A.16.1.1
tos rápida,
eficaz y
ordenada a
los
incidentes
de
seguridad
de la
información.
Los eventos
de
seguridad
de la
información
Reporte de
se debe
Responsable eventos de informar a
T.7.1.2 seguridad A.16.1.2 Modelo de madurez definido
de SI través de los
de la
información canales de
gestión
apropiados,
tan pronto
como sea
posible.
Se debe
exigir a
todos los
empleados y
contratistas
que usan los
servicios y
sistemas de
información
Reporte de de la
debilidades organización
Responsable de , que
T.7.1.3 A.16.1.3 Modelo de madurez definido
de SI seguridad observen e
de la informen
información cualquier
debilidad de
seguridad
de la
información
observada o
sospechada
en los
sistemas o
servicios.
Los eventos
de
seguridad
de la
Evaluación información
de eventos se debe
de evaluar y se
Responsable seguridad debe decidir
T.7.1.4 A.16.1.4 Madurez Inicial
de SI de la si se van a
información clasificar
y decisiones como
sobre ellos incidentes
de
seguridad
de la
información.
Se debe dar
respuesta a
los
incidentes
Respuesta a de
incidentes seguridad
Responsable de de la Modelo de madurez gestionado
T.7.1.5 A.16.1.5
de SI seguridad información cuantitativamente
de la de acuerdo
información con
procedimien
tos
documentad
os.
El
conocimient
o adquirido
al analizar y
resolver
Aprendizaje incidentes
obtenido de de
los seguridad
Responsable incidentes de la Modelo de madurez gestionado
T.7.1.6 A.16.1.6
de TICs de información cuantitativamente
seguridad se debe usar
de la para reducir
información la
posibilidad o
el impacto
de
incidentes
futuros.
La
organización
debe definir
y aplicar
procedimien
tos para la
identificació
Responsable Recolección n, Modelo de madurez gestionado
T.7.1.7 recolección, A.16.1.7
de TICs de evidencia adquisición Modelo de madurez definido
y
preservació
n de
información
que pueda
servir como
evidencia.
CIBERSEGURIDAD PRUEBA EVIDENCIA BRECHA
Revisar que la política contenga lo siguiente:
a) los requisitos de seguridad para las aplicaciones
del negocio;
b) las políticas para la divulgación y autorización de
la información, y los niveles de seguridad de la
información y de clasificación de la información;
c) la coherencia entre los derechos de acceso y las
políticas de clasificación de información de los
sistemas y redes;
d) la legislación pertinente y cualquier obligación
contractual concerniente a la limitación del acceso a
datos o servicios;
e) la gestión de los derechos de acceso en un
entorno distribuido y en red, que reconoce todos los
PR.DS-5
tipos de conexiones disponibles;
f) la separación de los roles de control de acceso,
(solicitud de acceso, autorización de acceso,
administración del acceso);
g) los requisitos para la autorización formal de las
solicitudes de acceso;
h) los requisitos para la revisión periódica de los
derechos de acceso;
i) el retiro de los derechos de acceso;
j) el ingreso de los registros de todos los eventos
significativos concernientes al uso y gestión de
identificación de los usuarios, e información de
autenticación secreta, en el archivo permanente;
k) los roles de acceso privilegiado;
Revisar la política relacionada con el uso de redes y
de servicios de red y verificar que incluya:
a) las redes y servicios de red a los que se permite el
acceso;
b) los procedimientos de autorización para
determinar a quién se permite el acceso a qué redes
PR.AC-4 y servicios de red;
PR.DS-5 c) los controles y procedimientos de gestión para
PR.PT-3 proteger el acceso a las conexiones de red y a los
servicios de red;
d) los medios usados para acceder a las redes y
servicios de red ( uso de VPN o redes inalámbricas);
e) los requisitos de autenticación de usuarios para
acceder a diversos servicios de red;
f) el seguimiento del uso de servicios de red.
Revisar el proceso para la gestión y la identificación
de los usuarios que incluya:
a) Identificaciones únicas para los usuarios, que les
permita estar vinculados a sus acciones y mantener
la responsabilidad por ellas; el uso de
identificaciones compartidas solo se debe permitir
cuando sea necesario por razones operativas o del
negocio, y se aprueban y documentan;
PR.AC-1
b) deshabilitar o retirar inmediatamente las
identificaciones de los usuarios que han dejado la
organización;
c) identificar y eliminar o deshabilitar
periódicamente las identificaciones de usuario
redundantes;
d) asegurar que las identificaciones de usuario
redundantes no se asignen a otros usuarios.
Revisar el proceso para asignar o revocar los
derechos de acceso otorgados a las identificaciones
de usuario que incluya:
a) obtener la autorización del propietario del
sistema de información o del servicio para el uso del
sistema de información o servicio;
b) verificar que el nivel de acceso otorgado es
apropiado a las políticas de acceso y es coherente
con otros requisitos, tales como separación de
deberes;
c) asegurar que los derechos de acceso no estén
PR.AC-1 activados antes de que los procedimientos de
autorización estén completos;
d) mantener un registro central de los derechos de
acceso suministrados a una identificación de usuario
para acceder a sistemas de información y servicios;
e) adaptar los derechos de acceso de usuarios que
han cambiado de roles o de empleo, y retirar o
bloquear inmediatamente los derechos de acceso
de los usuarios que han dejado la organización;
f) revisar periódicamente los derechos de acceso
con los propietarios de los sistemas de información
o servicios.
privilegiado a través de un proceso de autorización
formal de acuerdo con la política de control de
acceso pertinente. el proceso debe incluir los
siguientes pasos:
a) Identificar los derechos de acceso privilegiado
asociados con cada sistema o proceso, (sistema
operativo, sistema de gestión de bases de datos, y
cada aplicación) y los usuarios a los que es necesario
asignar;
b) definir o establecer los derechos de acceso
privilegiado a usuarios con base en la necesidad de
uso y caso por caso, alineada con la política de
control de acceso;
c) mantener un proceso de autorización y un
registro de todos los privilegios asignados. Sólo se
debe suministrar derechos de acceso cuando el
proceso de autorización esté completo;
d) definir los requisitos para la expiración de los
PR.AC-4 derechos de acceso privilegiado;
PR.DS-5 e) establecer los derechos de acceso privilegiado a
través de una identificación de usuario diferente de
la usada para las actividades regulares del negocio.
Las actividades regulares del negocio no se ejecutan
desde una identificación privilegiada;
f) tener las competencias de los usuarios con
derechos de acceso privilegiado y su revisión
periódica para verificar si están en línea con sus
deberes;
g) establecer y mantener procedimientos genéricos
para evitar el uso no autorizado de identificaciones
de usuario de administración genérica, de acuerdo
con las capacidades de configuración del sistema;
h) establecer la confidencialidad de la información
de autenticación secreta, para las identificaciones
de usuario de administración genérica, cuando se
comparta (cambiar las contraseñas con frecuencia, y
cuando un usuario privilegiado ha dejado el trabajo
o cambia de trabajo, comunicarlas entre los usuarios
Revisar el proceso, que incluya:
a) establecer la firma de una declaración para
mantener confidencial la información de
autenticación secreta personal, y mantener la
información de autenticación secreta del grupo
(cuando es compartida) únicamente dentro de los
miembros del grupo; esta declaración firmada se
puede incluir en los términos y condiciones del
empleo para todos los que los usuarios ;
b) estipular que todos los usuarios deben mantener
su propia información de autenticación secreta, y se
les suministra una autentificación secreta temporal
segura, que se obligue a cambiar al usarla por
primera vez;
c) establecer procedimientos para verificar la
PR.AC-1 identidad de un usuario antes de proporcionarle la
nueva información de autenticación secreta de
reemplazo o temporal;
d) definir que la información de autenticación
secreta temporal se suministra a los usuarios de
una manera segura; y se evitar utilizar partes
externas o de mensajes de correo electrónico no
protegidos (texto claro);
e) establecer que la información de autenticación
secreta temporal es única para un individuo y no es
fácil de adivinar;
f) definir que los usuarios deben acusar recibo de la
información de autenticación secreta;
g) establecer que la información de autenticación
secreta por defecto, del fabricante, se modifica
después de la instalación de los sistemas o software.
Revisar los derechos de acceso que incluya:
a) examinar los derechos de acceso de los usuarios
periódicamente y después de cualquier cambio,
promoción, cambio a un cargo a un nivel inferior, o
terminación del empleo;
b) establecer que los derechos de acceso de usuario
se revisan y reasignan cuando pasan de un rol a otro
dentro de la misma organización;
c) definir las autorizaciones para los derechos de
acceso privilegiado y revisar periódicamente;
d) verificar las asignaciones de privilegios
periódicamente, para asegurar que no se hayan
obtenido privilegios no autorizados;
e) revisar y registrar los cambios a las cuentas
privilegiadas periódicamente.
Revisar los derechos de acceso a la información y a
los activos asociados con instalaciones de
procesamiento de información, antes de que el
empleo termine o cambie, dependiendo de la
evaluación de factores de riesgo que incluya:
a) terminación o cambio lo inicia el empleado, el
usuario de la parte externa o la dirección, y la razón
de la terminación;
b) revisar las responsabilidades actuales del
empleado, el usuario de la parte externa o cualquier
otro usuario;
c) verificar el valor de los activos accesibles en la
actualidad.
a) Mantener la confidencialidad de la información
de autenticación secreta, asegurándose de que no
sea divulgada a ninguna otra parte, incluidas las
personas con autoridad;
b) evitar llevar un registro (en papel, en un archivo
de software o en un dispositivo portátil) de
autenticación secreta, a menos que se pueda
almacenar en forma segura y que el método de
almacenamiento haya sido aprobado (una bóveda
para contraseñas);
c) cambiar la información de autenticación secreta
siempre que haya cualquier indicio de que se pueda
comprometer la información;
d) definir que cuando se usa contraseñas como
información de autenticación secreta, se debe
seleccionar contraseñas seguras con una longitud
mínima suficiente que:
1) sean fáciles de recordar;
PR.AC-1 2) no estén basadas en algo que otra persona pueda
adivinar fácilmente u obtener usando información
relacionada con la persona, (nombres, números de
teléfono y fechas de nacimiento, etc.);
3) no sean vulnerables a ataques de diccionario (es
decir, no contienen palabras incluidas en los
diccionarios);
4) estén libres de caracteres completamente
numéricos o alfabéticos idénticos consecutivos;
5) si son temporales, cambiarlos la primera vez que
se ingrese;
e) no compartir información de autenticación
secreta del usuario individual;
f) establecer una protección apropiada de
contraseñas cuando se usan éstas como
información de autenticación secreta en
procedimientos de ingreso automatizados, y estén
almacenadas;
g) no usar la misma información de autenticación
Revisar las restricciones de acceso a través de la
aplicación individual del negocio y de acuerdo con la
política de control de acceso definida; que incluya:
a) suministrar menús para controlar el acceso a las
funciones de sistemas de aplicaciones;
b) controlar a qué datos puede tener acceso un
usuario particular;
PR.AC-4 c) controlar los derechos de acceso de los usuarios,
PR.DS-5 (a leer, escribir, borrar y ejecutar);
d) controlar los derechos de acceso de otras
aplicaciones;
e) limitar la información contenida en los elementos
de salida;
f) proveer controles de acceso físico o lógico para el
aislamiento de aplicaciones, datos de aplicaciones o
sistemas críticos.
a) no visualizar los identificadores del sistema o de
la aplicación sino hasta que el proceso de ingreso se
haya completado exitosamente;
b) visualizar una advertencia general acerca de que
sólo los usuarios autorizados pueden acceder al
computador;
c) evitar los mensajes de ayuda durante el
procedimiento de ingreso, que ayudarían a un
usuario no autorizado;
d) validar la información de ingreso solamente al
completar todos los datos de entrada. ante una
condición de error, el sistema no debe indicar qué
parte de los datos es correcta o incorrecta;
e) proteger contra intentos de ingreso mediante
fuerza bruta;
f) llevar un registro con los intentos exitosos y
fallidos;
g) declarar un evento de seguridad si se detecta un
intento potencial o una violación exitosa de los
PR.AC-1
controles de ingreso;
h) visualizar la siguiente información al terminar un
ingreso seguro:
1) registrar la fecha y la hora del ingreso previo
exitoso;
2) registrar los detalles de cualquier intento de
ingreso no exitoso desde el último ingreso exitoso;
i) no visualizar una contraseña que se esté
ingresando;
j) no transmitir contraseñas en un texto claro en una
red;
k) terminar sesiones inactivas después de un
período de inactividad definido, especialmente en
lugares de alto riesgo tales como áreas públicas o
externas por fuera de la gestión de seguridad de la
organización o en dispositivos móviles;
l) restringir los tiempos de conexión para brindar
seguridad adicional para aplicaciones de alto riesgo
y para reducir la ventana de oportunidad para
Revisar el sistema de gestión de contraseñas que
incluya:
a) cumplir el uso de identificaciones y contraseñas
de usuarios individuales para mantener la rendición
de cuentas;
b) permitir que los usuarios seleccionen y cambien
sus propias contraseñas e incluyan un
procedimiento de confirmación para permitir los
errores de entrada;
c) Exigir por que se escojan contraseñas de calidad;
d) Forzar a los usuarios cambiar sus contraseñas
PR.AC-1 cuando ingresan por primera vez;
e) Exigir por que se cambien las contraseñas en
forma regular, según sea necesario:
f) llevar un registro de las contraseñas usadas
previamente, e impedir su reusó;
g) no visualizar contraseñas en la pantalla cuando se
está ingresando;
h) almacenar los archivos de las contraseñas
separadamente de los datos del sistema de
aplicaciones;
i) almacenar y transmitir las contraseñas en forma
protegida.
Revisar las directrices para el uso de programas
utilitarios con la capacidad de anular los controles
de sistemas y de aplicaciones, que incluyan.
a) utilizar procedimientos de identificación,
autenticación y autorización para los programas
utilitarios;
b) separar los programas utilitarios del software de
aplicaciones;
c) limitar el uso de programas utilitarios al número
mínimo práctico de usuarios confiables y
PR.AC-4 autorizados;
d) autorizar el uso adhoc de programas utilitarios;
PR.DS-5
e) limitar la disponibilidad de los programas
utilitarios;
f) registrar el uso de los programas utilitarios;
g) definir y documentar los niveles de autorización
para los programas utilitarios;
h) retirar o deshabilitar todos los programas
utilitarios innecesarios;
i) No poner a disposición los programas utilitarios a
los usuarios que tengan acceso a aplicaciones en
sistemas en donde se requiera la separación de
deberes.
Revisar el procedimiento para la gestión de códigos
fuente de los programas, que incluya:
a) definir en donde sea posible, las librerías de
fuentes de programas no se deben mantener en los
sistemas operativos;
b) gestionar los códigos fuente de los programas y
las librerías de las fuentes de los programas se
debería hacer de acuerdo con procedimientos
establecidos;
c) establecer que el personal de soporte deben
tener acceso restringido a las librerías de las fuentes
de los programas;
PR.DS-5
d) definir que la actualización de las librerías de
fuentes de programas y elementos asociados, y la
entrega de fuentes de programas a los
programadores sólo se deben hacer una vez que se
haya recibido autorización apropiada;
e) establecer que los listados de programas se
deben mantener en un entorno seguro;
f) conservar un registro de auditoría de todos los
accesos a la librerías de fuentes de programas;
g) mantener y copiar las bibliotecas de fuentes de
programas a través de procedimientos estrictos de
control de cambios.
Revisar la política sobre el uso de la criptográfica,
que incluya:
a) establecer el enfoque de la dirección con relación
al uso de controles criptográficos en toda la
organización, incluyendo los principios generales
bajo los cuales se deben proteger la información del
negocio;
b) realizar una valoración de riesgos, que identifique
el nivel de protección requerida, teniendo en cuenta
el tipo, fortaleza y calidad del algoritmo de
encriptación requerido.
c) utilizar la encriptación para la protección de
información transportada por dispositivos de
encriptación móviles o removibles, o a través de
líneas de comunicación;
d) gestionar las llaves y los métodos para la
protección de llaves criptográficas y la recuperación
de información encriptada, en el caso de llaves
perdidas, llaves cuya seguridad está comprometida,
o que están dañadas;
e) establecer roles y responsabilidades, quién es
responsable por:
1) la implementación de la política.
2) la gestión de llaves, incluida la generación de
llaves;
f) establecer las normas que se van a adoptar para
la implementación efectiva en toda la organización
(procesos del negocio);
g) definir el impacto de usar información encriptada
en los controles que dependen de la inspección del
contenido.
Revisar el sistema de gestión de llaves que debe
estar basado en un grupo establecido de normas,
procedimientos y métodos seguros para:
a) generar llaves para diferentes sistemas
criptográficos y diferentes aplicaciones;
b) generar y obtener certificados de llaves públicas;
c) distribuir llaves a las entidades previstas,
incluyendo la forma de recibir y activar las llaves;
d) almacenar las llaves, incluyendo la forma en que
los usuarios autorizados obtienen acceso a ellas;
e) cambiar o actualizar las llaves, incluyendo las
reglas sobre cuándo se deben cambiar y cómo
hacerlo;
f) dar tratamiento a las llaves cuya seguridad está
comprometida;
g) revocar las llaves, incluyendo la forma de
retirarlas o desactivarlas, cuando la seguridad de las
llaves ha estado comprometida, o cuando un
usuario deja la organización;
h) recuperar las llaves que estén perdidas o
dañadas;
i) hacer copias de respaldo de las llaves o
archivarlas;
j) destruir las llaves;
k) registrar y auditar las actividades relacionadas
con gestión de llaves.
seguridad de los activos dentro del perímetro y de
los resultados de una valoración de riesgos;
b) establecer los perímetros de una edificación o
sitio que contenga instalaciones de procesamiento
de la información debe ser físicamente seguros; el
techo exterior, las paredes y el material de los pisos
del sitio deben ser de construcción sólida, y todas
las paredes externas deben estar protegidas
adecuadamente contra acceso no autorizado con
mecanismos de control (barras, alarmas,
cerraduras); las puertas y ventanas deben estar
cerradas con llave cuando no hay supervisión, y se
debe considerar protección externa para ventanas,
particularmente al nivel del suelo;
c) definir un área de recepción con vigilancia u otro
medio para controlar el acceso físico al sitio o
edificación; el acceso a los sitios y edificaciones
debe estar restringido únicamente para personal
PR.AC-2 autorizado;
d) establecer cuando sea aplicable y construir
barreras físicas para impedir el acceso físico no
autorizado y la contaminación ambiental;
e) establecer que todas las puertas contra incendio
en un perímetro de seguridad deben tener alarmas,
estar monitoreadas y probadas junto con las
paredes, para establecer el nivel requerido de
resistencia de acuerdo con normas regionales,
nacionales e internacionales adecuadas; deben
funcionar de manera segura de acuerdo al código
local de incendios;
f) instalar sistemas adecuados para detección de
intrusos de acuerdo con normas nacionales,
regionales o internacionales y se deben probar
regularmente para abarcar todas las puertas
externas y ventanas accesibles; las áreas no
ocupadas deben tener alarmas en todo momento;
también deben abarcar otras áreas, tales como las
Revisar los controles de acceso físico y las siguientes
directrices:
a) tener un registro de la fecha y hora de entrada y
salida de los visitantes, y todos los visitantes deben
ser supervisados a menos que su acceso haya sido
aprobado previamente; solo se les debe otorgar
acceso para propósitos específicos autorizados y se
deben emitir instrucciones sobre los requisitos de
seguridad del área y de los propósitos de
emergencia. La identidad de los visitantes se deben
autenticar por los medios apropiados;
b) establecer que el acceso a las áreas en las que se
procesa o almacena información confidencial se
debería restringir a los individuos autorizados
solamente mediante la implementación de
controles de acceso apropiados, (mediante la
implementación de un mecanismo de autenticación
de dos factores, tales como una tarjeta de acceso y
PR.AC-2 un PIN secreto);
PR.MA-1
c) mantener y hacer seguimiento de un libro de
registro (physical log book) físico o un rastro de
auditoría electrónica de todos los accesos;
d) definir que todos los empleados, contratistas y
partes externas deben portar algún tipo de
identificación visible, y se deben notificar de
inmediato al personal de seguridad si se encuentran
visitantes no acompañados, y sin la identificación
visible;
e) establecer que el personal de servicio de soporte
de la parte externa se le debería otorgar acceso
restringido a áreas seguras o a instalaciones de
procesamiento de información confidencial solo
cuando se requiera; este acceso se deben autorizar
y se le debe hacer seguimiento;
f) definir los derechos de acceso a áreas seguras se
deben revisar y actualizar regularmente, y revocar
cuando sea necesario.
Revisar las siguientes directrices relacionadas con la
seguridad a oficinas, recintos e instalaciones:
a) establecer que las instalaciones clave deben estar
ubicadas de manera que se impida el acceso del
público;
b) definir donde sea aplicable, las edificaciones
deben ser discretas y dar un indicio mínimo de su
propósito, sin señales obvias externas o internas,
que identifiquen la presencia de actividades de
procesamiento de información;
c) establecer que las instalaciones deben estar
configuradas para evitar que las actividades o
información confidenciales sean visibles y audibles
desde el exterior. El blindaje electromagnético
también se debe ser el apropiado;
d) definir los directorios y guías telefónicas internas
que identifican los lugares de las instalaciones de
procesamiento de información confidencial no
deben ser accesibles a ninguna persona no
autorizada.
ID.BE-5 De acuerdo a la NIST deben identificarse los

PR.AC-2 elementos de resiliencia para soportar la entrega de
PR.IP-5 los servicios críticos de la entidad.
Revisar trabajo en área segura y las siguientes
directrices:
a) establecer que el personal solo debe conocer de
la existencia de un área segura o de actividades
dentro de un área segura, con base en lo que
necesita conocer;
b) definir que el trabajo no supervisado en áreas
seguras se debe evitar tanto por razones de
seguridad como para evitar oportunidades para
actividades malintencionadas;
c) establecer que las áreas seguras vacías deben
estar cerradas con llave y se revisan
periódicamente;
d) no se permite el ingreso y uso de equipo
fotográfico, de video, audio u otro equipo de
grabación, tales como cámaras en dispositivos
móviles, a menos que se cuente con autorización
para ello.
Revisar las siguientes directrices:
a) establecer que el acceso al área de despacho y de
carga desde el exterior de la edificación se debería
restringir al personal identificado y autorizado;
b) definir que el área de despacho y carga se debe
diseñar de manera que los suministros se puedan
cargar y descargar sin que el personal de despacho
tenga acceso a otras partes de la edificación;
c) establecer que las puertas externas de un área de
despacho y carga se aseguran cuando las puertas
internas están abiertas;
d) definir que el material que ingresa se inspecciona
y examina para determinar la presencia de
PR.AC-2
explosivos, químicos u otros materiales peligrosos,
antes de que se retiren del área de despacho y
carga;
e) establecer que el material que ingresa se registra
de acuerdo con los procedimientos de gestión de
activos al entrar al sitio;
f) definir que los despachos entrantes y salientes se
están separados físicamente, en donde sea posible;
g) establecer que el material entrante se
inspecciona para determinar evidencia de
manipulación durante el viaje. Si se descubre esta
manipulación, se debería reportar de inmediato al
personal de seguridad.
manera que se minimice el acceso innecesario a las
áreas de trabajo;
b) definir que las instalaciones de procesamiento de
la información que manejan datos sensibles están
ubicadas cuidadosamente para reducir el riesgo de
que personas no autorizadas puedan ver la
información durante su uso;
c) establecer que las instalaciones de
almacenamiento se aseguran para evitar el acceso
no autorizado;
d) definir que los elementos que requieren
protección especial se salvaguardan para reducir el
nivel general de protección requerida;
e) establecer los controles para minimizar el riesgo
de amenazas físicas y ambientales, (robo, incendio,
explosivos, humo, agua (o falla en el suministro de
agua, polvo, vibración, efectos químicos,
interferencia en el suministro eléctrico,
PR.IP-5 interferencia en las comunicaciones, radiación
electromagnética y vandalismo);
f) establecer directrices acerca de comer, consumir
líquidos y fumar en cercanías de las instalaciones de
procesamiento de información;
g) hacer seguimiento de las condiciones ambientales
tales como temperatura y humedad, para
determinar las condiciones que puedan afectar
adversamente las instalaciones de procesamiento
de información;
h) proteger contra descargas eléctricas atmosféricas
se debe aplicar a todas las edificaciones y se deben
colocar filtros a todas las líneas de comunicaciones y
de potencia entrantes, para la protección contra
dichas descargas;
i) considerar el uso de métodos de protección
especial, tales como membranas para teclados, para
equipos en ambientes industriales;
j) proteger los equipos para procesamiento de
Revisar los servicios de suministro (electricidad,
telecomunicaciones, suministro de agua, gas,
alcantarillado, ventilación y aire acondicionado)
para que cumplan:
a) cumplir con las especificaciones de los fabricantes
de equipos y con los requisitos legales locales;
ID.BE-4 b) evaluar regularmente en cuanto a su capacidad
para estar al ritmo del crecimiento e interacciones
PR.IP-5
del negocio con otros servicios de soporte;
c) inspeccionar y probar regularmente para asegurar
su funcionamiento apropiado;
d) si es necesario, contar con alarmas para detectar
mal funcionamiento;
e) si es necesario, tener múltiples alimentaciones
con diverso enrutado físico.
Revisar las siguientes directrices para seguridad del
cableado:
a) establecer que las líneas de potencia y de
telecomunicaciones que entran a instalaciones de
procesamiento de información deben ser
subterráneas en donde sea posible, o deben contar
con una protección alternativa adecuada;
b) establecer que los cables de potencia están
separados de los cables de comunicaciones para
ID.BE-4 evitar interferencia;
PR.AC-2 c) definir para sistemas sensibles o críticos los
PR.IP-5 controles adicionales que se deben considerar
incluyen:
1) la instalación de conduit apantallado y recintos o
cajas con llave en los puntos de inspección y de
terminación;
2) el uso de blindaje electromagnético para proteger
los cables;
3) el inicio de barridos técnicos e inspecciones físicas
de dispositivos no autorizados que se conectan a los
cables
Revisar las siguientes directrices para
mantenimiento de equipos:
a) mantener los equipos de acuerdo con los
intervalos y especificaciones de servicio
recomendados por el proveedor;
b) establecer que solo el personal de
mantenimiento autorizado debería llevar a cabo las
reparaciones y el servicio a los equipos;
c) llevar registros de todas las fallas reales o
sospechadas, y de todo el mantenimiento
preventivo y correctivo;
PR.MA-1 d) implementar los controles apropiados cuando el
equipo está programado para mantenimiento,
PR.MA-2
teniendo en cuenta si éste lo lleva a cabo el
personal en el sitio o personal externo a la
organización; en donde sea necesario, la
información confidencial se debe borrar del equipo,
o el personal de mantenimiento debería retirarse
(cleared) lo suficientemente de la información;
e) cumplir todos los requisitos de mantenimiento
impuestos por las políticas de seguros;
f) establecer que antes de volver a poner el equipo
en operación después de mantenimiento, se debería
inspeccionar para asegurarse de que no ha sido
alterado y que su funcionamiento es adecuado.
Revisar las siguientes directrices para el retiro de
activos:
a) identificar a los empleados y usuarios de partes
externas que tienen autoridad para permitir el retiro
de activos del sitio;
b) establecer los límites de tiempo para el retiro de
activos y verificar que se cumplen las devoluciones;
PR.MA-1 c) definir cuando sea necesario y apropiado,
registrar los activos se retiran del sitio y cuando se
hace su devolución;
d) documentar la identidad, el rol y la filiación de
cualquiera que maneje o use activos, y devolver esta
documentación con el equipo, la información y el
software.
Información adicional
De acuerdo a la NIST se deben catalogar los
sistemas de información externos.
Revisar las siguientes directrices para proteger los
equipos fuera de las instalaciones:
a) establecer que los equipos y medios retirados de
las instalaciones no se deben dejar sin vigilancia en
lugares públicos;
b) seguir en todo momento las instrucciones del
fabricante para proteger los equipos, (contra
exposición a campos electromagnéticos fuertes);
c) controlar los lugares fuera de las instalaciones,
tales como trabajo en la casa, teletrabajo y sitios
ID.AM-4
temporales se deben determinar mediante una
valoración de riesgos y se deben aplicar los
controles adecuados según sean apropiados,
(gabinetes de archivo con llave, política de escritorio
limpio, controles de acceso para computadores y
comunicación segura con la oficina);
d) establecer que cuando el equipo que se
encuentra afuera de las instalaciones es transferido
entre diferentes individuos y partes externas, llevar
un registro que defina la cadena de custodia para el
equipo, que incluya al menos los nombres y las
organizaciones de los responsables del equipo.
Revisar las siguientes directrices del proceso de
borrado de discos y de encriptación del disco (para
evitar la divulgación de la información confidencial
cuando se dispone del equipo o se le da un destino
diferente, siempre y cuando):
a) establecer que el proceso de encriptación sea
PR.DS-3 suficientemente fuerte y abarque todo el disco
PR.IP-6 (incluido el espacio perdido, archivos temporales de
intercambio, etc.);
b) definir que las llaves de encriptación sean lo
suficientemente largas para resistir ataques de
fuerza bruta;
c) establecer que las llaves de encriptación se
mantengan confidenciales.
Revisar que el procedimiento equipos de usuarios
desatendidos incluya:
a) establecer que se cierren las sesiones activas
cuando hayan terminado, a menos que se puedan
asegurar mediante un mecanismo de bloqueo
apropiado (un protector de pantalla protegido con
contraseña);
b) establecer que es obligatorio salir de las
aplicaciones o servicios de red cuando ya no los
necesiten;
c) asegurar que los computadores o dispositivos
móviles contra uso no autorizado mediante el
bloqueo de teclas o un control equivalente (acceso
con contraseña, cuando no están en uso).
Revisar las siguientes directrices para escritorio
limpio:
a) establecer que la información sensible o crítica
del negocio, (sobre papel o en un medio de
almacenamiento electrónico), se guarda bajo llave
(idealmente, en una caja fuerte o en un gabinete u
otro mueble de seguridad) cuando no se requiera,
especialmente cuando la oficina esté desocupada.
b) definir un procedimiento para la gestión de
equipos desatendidos; los computadores y
terminales deben estar fuera del sistema y estar
PR.PT-2
protegidos con un sistema de bloqueo de la pantalla
y el teclado, controlado por una contraseña, token o
mecanismo similar de autenticación de usuario, y
deben estar protegidos por bloqueo de teclas u
otros controles, cuando no están en uso;
c) evitar el uso no autorizado de fotocopiadoras y
otra tecnología de reproducción (escáneres,
cámaras digitales);
d) establecer que los medios que contienen
información sensible o clasificada se deben retirar
de las impresoras inmediatamente.
Revisar los procedimientos de operación con
instrucciones operacionales, que incluyen:
a) instalar y configurar sistemas;
b) establecer el procesamiento y manejo de
información, tanto automático como manual;
c) establecer la gestión de las copias de respaldo;
d) definir los requisitos de programación, incluidas
las interdependencias con otros sistemas, los
tiempos de finalización del primer y último trabajos;
e) establecer las instrucciones para manejo de
errores u otras condiciones excepcionales que
podrían surgir durante la ejecución del trabajo,
incluidas las restricciones sobre el uso de sistemas
utilitarios;
f) definir contactos de apoyo y de una instancia
superior, incluidos los contactos de soporte externo,
en el caso de dificultades operacionales o técnicas
inesperadas;
g) establecer las instrucciones sobre manejo de
medios y elementos de salida, tales como el uso de
papelería especial o la gestión de elementos de
salida confidenciales, incluidos procedimientos para
la disposición segura de elementos de salida de
trabajos fallidos;
h) definir los procedimientos de reinicio y
recuperación del sistema para uso en el caso de falla
del sistema;
i) definir la gestión de la información de rastros de
auditoria y de información del log del sistema;
j) establecer los procedimientos de seguimiento.
Revisar los procedimientos de control de cambios,
que incluyen:
a) Identificar y registrar los cambios significativos;
b) Planificar y puesta a prueba de los cambios;
c) Valorar los impactos potenciales, incluidos los
impactos de estos cambios en la seguridad de la
información;
d) Tener un procedimiento de aprobación formal
para los cambios propuestos;
PR.IP-1 e) Verificar que se han cumplido los requisitos de
seguridad de la información;
PR.IP-3
f) Comunicar todos los detalles de los cambios a
todas las personas pertinentes;
g) Tener un procedimiento de apoyo, incluidos
procedimientos y responsabilidades para abortar
cambios no exitosos y recuperarse de ellos, y
eventos no previstos;
h) Contar con un suministro de un proceso de
cambio de emergencia que posibilite la
implementación rápida y controlada de los cambios
necesarios para resolver un incidente.
Revisar los procedimientos para la gestión de la
demanda de capacidad, que incluyen:
a) Eliminar datos obsoletos (espacio en disco);
b) realizar cierre definitivo de aplicaciones, sistemas,
bases de datos o ambientes;
c) optimizar cronogramas y procesos de lotes;
ID.BE-4 d) optimizar las consultas de bases de datos o
lógicas de las aplicaciones;
e) realizar una negación o restricción de ancho de
banda a servicios ávidos de recursos, si estos no son
críticos para el negocio (por ejemplo, video en
tiempo real).
Revisar los procedimientos para la separación de
ambientes, que incluyen:
a) definir y documentar las reglas para la
transferencia de software del estatus de desarrollo
al de operaciones.
b) establecer que el software de desarrollo y de
operaciones debe funcionar en diferentes sistemas
o procesadores de computador y en diferentes
dominios o directorios;
c) definir que los cambios en los sistemas operativos
y aplicaciones se deben probar en un entorno de
pruebas antes de aplicarlos a los sistemas
operacionales;
d) definir que solo en circunstancias excepcionales,
PR.DS-7 las pruebas no se deben llevar a cabo en los
sistemas operacionales;
e) establecer que los compiladores, editores y otras
herramientas de desarrollo o utilitarios del sistema
no debe ser accesibles desde sistemas
operacionales cuando no se requiere;
f) establecer que los usuarios deben usar diferentes
perfiles de usuario para sistemas operacionales y de
pruebas, y los menús deben desplegar mensajes de
identificación apropiados para reducir el riesgo de
error;
g) definir que los datos sensibles no se debe copiar
en el ambiente del sistema de pruebas, a menos que
se suministren controles equivalentes para el
sistema de pruebas
archivos y de software ya sea mediante redes
externas o cualquier otro medio, indicando qué
medidas externas se deben tomar;
e) reducir las vulnerabilidades de las que pueda
aprovecharse el software malicioso, (medio de la
gestión de la vulnerabilidad técnica);
f) llevar a cabo revisiones regulares del software y
del contenido de datos de los sistemas que apoyan
los procesos críticos del negocio; se debería
investigar formalmente la presencia de archivos no
aprobados o de enmiendas no autorizadas;
g) instalar y actualizar software de detección y
reparación del software malicioso en los
computadores y medios como una medida de
control, en forma rutinaria; el análisis realizado
debería incluir:
1) el análisis de cualquier archivo recibido por la red
o por cualquier forma de medio de
PR.DS-6 almacenamiento, para detectar el software
DE.CM-4
malicioso, antes de uso;
RS.MI-2
2) el análisis de los adjuntos y descargas de los
correos electrónicos, para determinación del
software malicioso antes de uso; este análisis se
debería llevar a cabo en diferentes lugares, (los
servidores de los correos electrónicos, en los
computadores de escritorio) y cuando se ingresa a la
red de la organización; el análisis de páginas web,
para determinar el software malicioso;
h) definir procedimientos y responsabilidades
relacionadas con la protección contra el software
malicioso en los sistemas, formación acerca del uso
de dichos procedimientos, reporte y recuperación
de ataques de software malicioso;
i) preparar planes de continuidad del negocio
apropiados, para la recuperación de ataques de
software malicioso, incluidos todos los datos
necesarios, copias de respaldo del software y
disposiciones para recuperación;
Revisar las siguientes directrices:
a) producir registros exactos y completos de las
copias de respaldo, y procedimientos de
restauración documentados;
b) establecer la cobertura (copias de respaldo
completas o diferenciales) y la frecuencia con que se
hagan las copias de respaldo debe reflejar los
requisitos del negocio de la organización, los
requisitos de la seguridad de la información
involucrada, y la criticidad de la información para la
operación continua de la organización;
c) definir las copias de respaldo se debe almacenar
en un lugar remoto, a una distancia suficiente que
PR.DS-4 permita escapar de cualquier daño que pueda
ocurrir en el sitio principal;
PR.IP-4
d) establecer la información de respaldo y un nivel
apropiado de protección física y del entorno, de
coherencia con las normas aplicadas en el sitio
principal;
e) definir los medios de respaldo se debe poner a
prueba regularmente para asegurar que se puede
depender de ellos para uso de emergencia en caso
necesario; esto se debería combinar con una prueba
de los procedimientos de restauración, y se debe
verificar contra el tiempo de restauración requerido.
f) definir las situaciones en las que la
confidencialidad tiene importancia, las copias de
respaldo deben estar protegidas por medio de
encriptación.
Revisar los registros de eventos que incluyan:
a) identificar los usuarios;
b) establecer las actividades del sistema;
c) definir las fechas, horas y detalles de los eventos
clave, ( entrada y salida);
d) identificar el dispositivo o ubicación, si es posible,
e identificador del sistema;
e) tener registros de intentos de acceso al sistema
exitosos y rechazados;
e) definir registros de datos exitosos y rechazados y
otros intentos de acceso a recursos;
g) establecer los cambios a la configuración del
PR.PT-1 sistema;
DE.CM-3
h) definir el uso de privilegios;
RS.AN-1
i) establecer el uso de utilitarios y aplicaciones del
sistema;
j) definir los archivos a los que se tuvo acceso, y el
tipo de acceso;
k) establecer las direcciones y protocolos de red;
l) definir las alarmas accionadas por el sistema de
control de acceso;
m) activar y desactivar los sistemas de protección,
tales como sistemas antivirus y sistemas de
detección de intrusión;
n) registrar las transacciones ejecutadas por los
usuarios en las aplicaciones.
Revisar los procedimientos y controles dirigidos a
proteger contra cambios no autorizados de la
información del registro y contra problemas con la
instalación de registro, que incluya:
a) verificar todas las alteraciones a los tipos de
mensaje que se registran;
PR.PT-1
b) establecer los archivos log que son editados o
eliminados;
c) verificar cuando se excede la capacidad de
almacenamiento del medio de archivo log, lo que da
como resultado falla en el registro de eventos, o
sobre escritura de eventos pasados registrados.
Revisar los registros de las actividades del

PR.PT-1 administrador y del operador del sistema, los
RS.AN-1 registros se deben proteger y revisar con
regularidad.
Revisar se deberían sincronizar con una única fuente
de referencia de tiempo Los relojes de todos los
sistemas de procesamiento de información
PR.PT-1
pertinentes dentro de una organización o ámbito de
seguridad se deberían sincronizar con una única
fuente de referencia de tiempo.
Revisar las siguientes directrices para control de
software operacional:
a) actualizar el software operacional, aplicaciones y
bibliotecas de programas solo la debe llevar a cabo
administradores entrenados, con autorización
apropiada de la dirección;
b) definir que los sistemas operacionales sólo debe
contener códigos ejecutables aprobados, no el
código de desarrollo o compiladores;
c) establecer que las aplicaciones y el software del
sistema operativo solo se debe implementar
después de pruebas extensas y exitosas; los ensayos
deben abarcar la usabilidad, la seguridad, los
efectos sobre otros sistemas y la facilidad de uso, y
se debe llevar a cabo en sistemas separados; se
debe asegurar que todas las bibliotecas de fuentes
PR.DS-6 de programas correspondientes hayan sido
PR.IP-1 actualizadas;
PR.IP-3 d) usar un sistema de control de la configuración
DE.CM-5 para mantener el control de todo el software
implementado, al igual que la documentación del
sistema;
e) establecer una estrategia de retroceso (rollback)
antes de implementar los cambios;
f) mantener un log de auditoría de todas las
actualizaciones de las bibliotecas de programas
operacionales;
g) definir las versiones anteriores del software de
aplicación se deben conservar como una medida de
contingencia;
h) establecer que las versiones de software
anteriores se deben llevar al archivo permanente,
junto con toda la información y parámetros,
procedimientos, detalles de configuración y
software de soporte anteriores, en tanto los datos
permanezcan en el archivo permanente.
pertinentes potencialmente;
d) establecer que una vez que se haya identificado
una vulnerabilidad técnica potencial, la organización
debería identificar los riesgos asociados y las
acciones por tomar; esta acción puede involucrar la
colocación de parches de sistemas vulnerables o la
aplicación de otros controles; Si no es posible
colocar controles se deben documentar en los
riesgos de acuerdo a su probabilidad e impacto y
colocarlo como riesgo aceptado.
e) definir dependiendo de la urgencia con la que se
necesite tratar una vulnerabilidad técnica, la acción
tomada se debería llevar a cabo de acuerdo con los
controles relacionados con la gestión de cambios, o
siguiendo los procedimientos de respuesta a
incidentes de seguridad de la información;
f) establecer, si está disponible un parche de una
ID.RA-1
fuente legítima, se debe valorar los riesgos
ID.RA-5 asociados con la instalación del parche (los riesgos
PR.IP-12
que acarrea la vulnerabilidad se debe comparar con
DE.CM-8
RS.MI-3 el riesgo de instalar el parche);
g) establecer que los parches se deben probar y
evaluar antes de su instalación, para asegurarse de
que son eficaces y no producen efectos secundarios
que no se puedan tolerar; si no hay parches
disponibles, se debe considerar otros controles
como:
1) dejar de operar los servicios o capacidades
relacionados con la vulnerabilidad;
2) adaptar o adicionar controles de acceso,
(cortafuegos, en los límites de la red);
3) incrementar el seguimiento para detectar
ataques reales;
4) tomar conciencia sobre la vulnerabilidad;
h) llevar un log de auditoría para todos los
procedimientos realizados;
i) hacer seguimiento y evaluación regulares del
proceso de gestión de vulnerabilidad técnica, con el
PR.IP-1 Revisar las restricciones y las reglas para la

PR.IP-3 instalación de software por parte de los usuarios.
Revisar las siguientes directrices para las auditorias
de sistemas de información:
a) establecer los requisitos de auditoría para acceso
a sistemas y a datos se debe acordar con la
dirección apropiada;
b) definir el alcance de las pruebas técnicas de
auditoría se debe acordar y controlar;
c) establecer las pruebas de auditoría se debe

limitar a acceso a software y datos únicamente para
lectura;
d) definir el acceso diferente al de solo lectura
solamente se debe prever para copias aisladas de
los archivos del sistema, que se deben borrar una
vez que la auditoría haya finalizado, o se debe
proporcionar información apropiada si hay
obligación de mantener estos archivos bajo los
requisitos de documentación de auditoría;
e) definir los requisitos para procesos especiales y
adicionales se debe identificar y acordar;
f) establecer las pruebas de auditoría que puedan
afectar la disponibilidad del sistema se deben
realizar fuera de horas laborales;
g) hacer seguimiento de todos los accesos y logged
para producir un rastro de referencia.
Revisar las siguientes directrices para la gestión de
seguridad de redes:
a) establecer las responsabilidades y procedimientos
para la gestión de equipos de redes;
b) definir la responsabilidad operacional por las
redes se debería separar de las operaciones
informáticas, en donde sea apropiado;
c) establecer controles especiales para salvaguardar
la confidencialidad e integridad de los datos que
pasan sobre redes públicas o sobre redes
inalámbricas, y para proteger los sistemas y
PR.AC-3
aplicaciones conectados;
PR.AC-5
d) De acuerdo a NIST, Gestionar el acceso remoto
PR.DS-2
d) aplicar logging y seguimiento adecuados para
PR.PT-4
posibilitar el registro y detección de acciones que
pueden afectar, o son pertinentes a la seguridad de
la información;
e) definir las actividades de gestión a coordinar
estrechamente tanto para optimizar el servicio de la
organización, como para asegurar que los controles
se apliquen en forma coherente a través de la
infraestructura de procesamiento de información;
f) establecer los sistemas en la red que se
autenticar;
g) restringir la conexión de los sistemas a la red.
Revisar las siguientes directrices para la seguridad
de los servicios de red:
a) establecer la tecnología aplicada a la seguridad de
servicios de red, tales como autenticación,
encriptación y controles de conexión de red;
b) definir los parámetros técnicos requeridos para la
conexión segura con los servicios de red de acuerdo
con las reglas de conexión de seguridad y de red;
c) establecer los procedimientos para el uso de
servicios de red para restringir el acceso a los
servicios o aplicaciones de red, cuando sea
necesario.
De acuerdo a NIST se debe proteger la integridad de

PR.AC-5
las redes incorporando segregación donde se
PR.DS-5
requiera.
b) definir los procedimientos para la detección de
software malicioso y protección contra éste, que
puede ser transmitido mediante el uso de
comunicaciones electrónicas;
c) definir los procedimientos para proteger
información electrónica sensible comunicada que
están como adjuntos;
d) establecer la política o directrices que presentan
el uso aceptable de las instalaciones de
comunicación;
e) definir las responsabilidades del personal, las
partes externas y cualquier otro usuario no
comprometen a la organización, (por difamación,
acoso, suplantación, envío de cadenas, compras no
autorizadas, etc.);
f) establecer el uso de técnicas criptográficas,
ID.AM-3
(proteger la confidencialidad, la integridad y la
PR.AC-5
autenticidad de la información).
PR.AC-3
g) establecer las directrices sobre retención y
PR.DS-2
disposición para toda la correspondencia del
PR.DS-5
negocio, incluidos mensajes, de acuerdo con la
PR.PT-4
legislación y reglamentaciones locales y nacionales;
h) definir los controles y restricciones asociadas con
las instalaciones de comunicación, (el reenvío
automático de correo electrónico a direcciones de
correo externas);
i) brindar asesoría al personal para que tome las
precauciones apropiadas acerca de no revelar
información confidencial;
j) no dejar mensajes que contengan información
confidencial, en las máquinas contestadoras, ya que
éstos pueden ser escuchados por personas no
autorizadas, almacenados en sistemas comunales o
almacenados incorrectamente como resultado de
una marcación incorrecta;
k) brindar asesoría al personal acerca de los
problemas de usar máquinas o servicios de fax, a
Revisar las siguientes directrices para transferencia
segura de la información:
a) establecer las responsabilidades de la dirección
para controlar y notificar la transmisión, despacho y
recibo;
b) definir los procedimientos para asegurar
trazabilidad y no repudio;
c) definir los estándares técnicos mínimos para
empaquetado y transmisión;
d) tener certificados de depósito de títulos en
garantía;
e) establecer los estándares de identificación de
mensajería;
f) definir las responsabilidades y obligaciones en el
caso de incidentes de seguridad de la información,
tales como pérdidas de datos;
g) establecer el uso de un sistema de etiquetado
acordado para información sensible o crítica, que
asegure que el significado de la etiqueta se entiende
de inmediato, y que la información está protegida
apropiadamente;
h) definir las normas técnicas para registro y lectura
de información y software;
i) cualquier control especial que se requiera para
proteger elementos críticos, tales como criptografía;
j) mantener una cadena de custodia para la
información mientras está en tránsito;
k) definir los niveles aceptables de control de
acceso.
Revisar las siguientes directrices para mensajería
electrónica:
a) definir la protección de mensajes contra acceso
no autorizado, modificación o denegación del
servicio proporcionales al esquema de clasificación
adoptado por la organización;
b) asegurar el direccionamiento y transporte
correctos del mensaje;
PR.DS-2 c) establecer la confiabilidad y disponibilidad del
servicio;
PR.DS-5
d) definir las consideraciones legales, (los requisitos
para firmas electrónicas;
e) establecer la obtención de aprobación antes de
usar servicios públicos externos como mensajería
instantánea, redes sociales o intercambio de
información);
f) definir niveles más fuertes de autenticación para
control del acceso desde redes accesibles
públicamente.
Revisar las siguientes directrices para acuerdos de
confidencialidad:
a) definir la información que se va a proteger
(información confidencial);
b) determinar la duración esperada de un acuerdo,
incluidos los casos en los que podría ser necesario
mantener la confidencialidad indefinidamente;
c) establecer las acciones requeridas cuando
termina el acuerdo;
d) definir las responsabilidades y acciones de los
firmantes para evitar la divulgación no autorizada de
información;
e) definir la propiedad de la información, los
secretos comerciales y la propiedad intelectual, y
PR.DS-5 cómo esto se relaciona con la protección de
información confidencial;
f) definir el uso permitido de información
confidencial y los derechos del firmante para usar la
información;
g) establecer el derecho a actividades de auditoría y
de seguimiento que involucran información
confidencial;
h) definir el proceso de notificación y reporte de
divulgación no autorizada o fuga de información
confidencial;
i) definir los plazos para que la información sea
devuelta o destruida al cesar el acuerdo;
j) establecer las acciones que se espera tomar en
caso de violación del acuerdo.
Revisar las siguientes directrices para análisis y
especificaciones de requisitos de seguridad de la
información:
a) establecer el nivel de confianza requerido con
relación a la identificación declarada de los usuarios,
para obtener los requisitos de autenticación de
usuario.
b) definir los procesos de suministro de acceso y de
autorización para usuarios del negocio, al igual que
para usuarios privilegiados o técnicos;
c) informar a los usuarios y operadores sobre sus
PR.IP-2
deberes y responsabilidades;
d) definir las necesidades de protección de activos
involucrados, en particular acerca de disponibilidad,
confidencialidad, integridad;
e) definir los requisitos obtenidos de los procesos
del negocio, tales como los requisitos de ingreso y
seguimiento, y de no repudio;
f) establecer los requisitos exigidos por otros
controles de seguridad, (interfaces con el ingreso o
seguimiento, o los sistemas de detección de fuga de
datos).
de servicios de las aplicaciones en redes públicas:
a) definir el nivel de confianza que cada parte
requiere con relación a la identidad declarada por la
otra parte, (por medio de autenticación);
b) establecer los procesos de autorización asociados
con quien puede aprobar el contenido o expedir o
firmar documentos transaccionales clave;
c) asegurar que los socios de comunicación estén
completamente informados de sus autorizaciones
para suministro o uso del servicio;
d) determinar y cumplir los requisitos para

confidencialidad, integridad, prueba de despacho y
recibo de documentos clave y el no repudio de los
contratos, (asociados con procesos de ofertas y
contratos);
e) definir el nivel de confianza requerido en la
integridad de los documentos clave;
PR.DS-2 f) establecer los requisitos de protección de
PR.DS-5
cualquier información confidencial;
PR.DS-6
g) definir la confidencialidad e integridad de
cualquier transacción de pedidos, información de
pagos, detalles de la dirección de entrega y
confirmación de recibos;
h) definir el grado de verificación apropiado de la
información de pago suministrada por un cliente;
i) seleccionar la forma de arreglo de pago más
apropiado para protegerse contra fraude;
j) definir el nivel de protección requerido para
mantener la confidencialidad e integridad de la
información del pedido;
k) evitar la pérdida o duplicación de información de
la transacción;
l) definir la responsabilidad civil asociada con
cualquier transacción fraudulenta;
m) establecer los requisitos de seguros.
n) De acuerdo a NIST se deben usar mecanismos de
chequeo de las integridad para verificar la
Revisar las siguientes directrices protección de
transacciones de los servicios de las aplicaciones:
a) definir el uso de firmas electrónicas por cada una
de las partes involucradas en la transacción;
b) establecer todos los aspectos de la transacción,
es decir, asegurar que:
1) definir la información de autenticación secreta de
usuario, de todas las partes, se valide y verifique;
2) definir a transacción permanezca confidencial;
3) mantener la privacidad asociada con todas las
partes involucradas;
c) definir la trayectoria de las comunicaciones entre
PR.DS-2 todas las partes involucradas esté encriptada;
d) definir los protocolos usados para comunicarse
PR.DS-5 entre todas las partes involucradas estén
PR.DS-6 asegurados;
e) asegurar que el almacenamiento de los detalles
de la transacción esté afuera de cualquier entorno
accesible públicamente, (en una plataforma de
almacenamiento existente en la intranet de la
organización, y no retenido ni expuesto en un medio
de almacenamiento accesible directamente desde
Internet);
f) utilizar una autoridad confiable (para los
propósitos de emitir y mantener firmas digitales o
certificados digitales), la seguridad está integrada e
incluida en todo el proceso de gestión de
certificados/firmas de un extremo a otro.
Revisar las siguientes directrices política de
desarrollo seguro:
a) definir la seguridad del ambiente de desarrollo;
b) orientar la seguridad en el ciclo de vida de
desarrollo del software:
1) definir la seguridad en la metodología de
desarrollo de software;
2) establecer las directrices de codificación seguras
para cada lenguaje de programación usado;
PR.IP-2 c) definir los requisitos de seguridad en la fase
diseño;
d) definir los puntos de chequeo de seguridad
dentro de los hitos del proyecto;
e) establecer los depósitos seguros;
f) definir la seguridad en el control de la versión;
g) establecer el conocimiento requerido sobre
seguridad de la aplicación;
h) definir la capacidad de los desarrolladores para
evitar, encontrar y resolver las vulnerabilidades.
Revisar las siguientes directrices procedimientos
control de cambio en sistemas:
a) llevar un registro de los niveles de autorización
acordados;
b) asegurar que los cambios se presenten a los
usuarios autorizados;
c) revisar los controles y procedimientos de
integridad para asegurar que no se vean
comprometidos por los cambios;
d) identificar todo el software, información,
entidades de bases de datos y hardware que
requieren corrección;
e) identificar y verificar el código crítico de
seguridad para minimizar la posibilidad de
debilidades de seguridad conocidas;
PR.IP-1 f) obtener aprobación formal para propuestas
detalladas antes de que el trabajo comience;
PR.IP-3
g) revisar antes de la implementación, asegurar que
los usuarios autorizados aceptan los cambios;
h) asegurar que el conjunto de documentación del
sistema está actualizado al completar cada cambio,
y que la documentación antigua se lleva al archivo
permanente, o se dispone de ella;
i) mantener un control de versiones para todas las
actualizaciones de software;
j) mantener un rastro de auditoría de todas las
solicitudes de cambio;
k) asegurar que la documentación de operación y
los procedimientos de los usuarios experimenten los
cambios que les permitan seguir siendo apropiados;
l) asegurar que la implementación de los cambios
ocurre en el momento correcto y no afecta los
procesos de negocio involucrados.
Revisar las siguientes directrices revisión técnica de
las aplicaciones después de cambios en la
plataforma de operación:
a) revisar los procedimientos de integridad y control
de aplicaciones para asegurar que no estén
comprometidos debido a los cambios en las
PR.IP-1 plataformas de operaciones;
b) asegurar que la notificación de los cambios en la
plataforma operativa se hace a tiempo para permitir
las pruebas y revisiones apropiadas antes de la
implementación;
c) asegurar que se hacen cambios apropiados en los
planes de continuidad del negocio.
Revisar las siguientes directrices restricciones en los
cambios a los paquetes de software:
a) definir el riesgo de que los procesos de integridad
y los controles incluidos se vean comprometidos;
b) obtener el consentimiento del vendedor;
c) obtener del vendedor los cambios requeridos, a
PR.IP-1
medida que se actualiza el programa estándar;
d) evaluar el impacto, si la organización llega a ser
responsable del mantenimiento futuro del software
como resultado de los cambios;
e) definir la compatibilidad con otro software en
uso.
Revisar la documentación y los principios para la
construcción de sistemas seguros, y aplicarlos a
PR.IP-2
cualquier actividad de implementación de sistemas
de información.
Revisar las siguientes directrices para ambiente de
desarrollo seguro:
a) carácter sensible de los datos que el sistema va a
procesar, almacenar y transmitir;
b) definir los requisitos externos e internos
aplicables, (reglamentaciones o políticas);
c) definir los controles de seguridad ya
implementados por la organización, que brindan
soportar al desarrollo del sistema;
d) establecer la confiabilidad del personal que
trabaja en el ambiente;
e) definir el grado de contratación externa asociado
con el desarrollo del sistema;
f) definir la necesidad de separación entre
diferentes ambientes de desarrollo;
g) definir el control de acceso al ambiente de
desarrollo;
h) establecer el seguimiento de los cambios en el
ambiente y en los códigos almacenados ahí;
i) definir las copias de respaldo se almacenan en
lugares seguros fuera del sitio;
j) definir el control sobre el movimiento de datos
desde y hacia el ambiente.
Revisar las siguientes directrices desarrollo
contratado externamente:
a) definir los acuerdos de licenciamiento, propiedad
de los códigos y derechos de propiedad intelectual
relacionados con el contenido contratado
externamente;
b) establecer los requisitos contractuales para
prácticas seguras de diseño, codificación y pruebas;
c) definir el suministro del modelo de amenaza
aprobado, al desarrollador externo;
d) realizar los ensayos de aceptación para
determinar la calidad y exactitud de los entregables;
e) definir la evidencia de que se usaron umbrales de
seguridad para establecer niveles mínimos
aceptables de calidad de la seguridad y de la
privacidad;
DE.CM-6
f) definir la evidencia de que se han hecho pruebas
suficientes para proteger contra contenido
malicioso intencional y no intencional en el
momento de la entrega;
g) definir la evidencia de que se han hecho pruebas
suficientes para proteger contra la presencia de
vulnerabilidades conocidas;
h) definir los certificados de depósito de títulos en
garantía; (el código fuente ya no está disponible);
i) establecer el derecho contractual con relación a
procesos y controles de desarrollo de auditorías;
j) documentar eficaz del ambiente de construcción
usado para crear entregables;
k) establecer que la organización es responsable de
la conformidad con las leyes aplicables y con la
verificación de la eficiencia del control.
Verifique en una muestra que para pasar a
producción los desarrollos se realizan pruebas de
DE.DP-3 seguridad. También verifique que los procesos de
detección de incidentes son probados
periódicamente.
Revisar las pruebas de aceptación de sistemas, para

los sistemas de información nuevos, actualizaciones
y nuevas versiones, se deberían establecer
programas de prueba para aceptación y criterios de
aceptación relacionados.
Revisar las siguientes directrices para protección de
datos de prueba:
a) establecer los procedimientos de control de
acceso, que se aplican a los sistemas de aplicación
operacionales, se debe aplicar también a los
sistemas de aplicación de pruebas;
b) tener una autorización separada cada vez que se
copia información operacional a un ambiente de
pruebas;
c) definir que la información operacional se debe
borrar del ambiente de pruebas inmediatamente
después de finalizar las pruebas;
d) establecer que el copiado y uso de la información
operacional se debe logged para suministrar un
rastro de auditoría.
3) los procedimientos para logging las actividades de
gestión de incidentes;
4) los procedimientos para el manejo de evidencia
forense;
5) los procedimientos para la valoración y toma de
decisiones sobre eventos de seguridad de la
información y la valoración de debilidades de
6) los procedimientos para respuesta, incluyendo
aquellos para llevar el asunto a una instancia
superior, recuperación controlada de un incidente y
comunicación a personas u organizaciones internas
y externas;
b) establecer los procedimientos para asegurar que:
1) el personal competente maneje las cuestiones
relacionadas con incidentes de seguridad de la
PR.IP-9 información dentro de la organización;
DE.AE-2 2) se implemente un punto de contacto para la
RS.CO-1 detección y reporte de incidentes de seguridad;
3) se mantengan contactos apropiados con las
autoridades, grupos de interés o foros externos que
manejen las cuestiones relacionadas con incidentes
de seguridad de la información;
c) definir el reporte de procedimientos debería
incluir:
1) la preparación de formatos de reporte de eventos
de seguridad de la información para apoyar la
acción de reporte y ayudar a la persona que reporta
a recordar todas las acciones necesarias en caso de
un evento de seguridad de la información;
2) el procedimiento que se va a seguir en el caso de
un evento de seguridad de la información, (tomar
nota inmediatamente de todos los detalles, tales
como el tipo de no conformidad o violación, mal
funcionamiento, mensajes en la pantalla y reporte
inmediato al punto de contacto y realizar solamente
Revisar las siguientes directrices reporte de eventos
de seguridad de la información:
a) establecer un control de seguridad ineficaz;
b) definir la violación de la integridad,
confidencialidad o expectativas de disponibilidad de
la información;
c) definir los errores humanos;
d) definir las no conformidades con políticas o
directrices;
e) definir las violaciones de acuerdos de seguridad
física;
f) establecer los cambios no controlados en el
sistema;
DE.DP-4
g) definir mal funcionamiento en el software o
hardware;
h) definir violaciones de acceso.
Tenga en cuenta para la calificación:
1) Si se elaboran informes de TODOS los incidentes
de seguridad y privacidad de la información, TODOS
están documentados e incluidos en el plan de
mejoramiento continuo. Se definen los controles y
medidas necesarias para disminuir los incidentes y
prevenir su ocurrencia en el futuro, están en 40.
2) Si los controles y medidas identificados para
disminuir los incidentes fueron implementados,
están en 60.
Observe si los eventos son reportados de forma
RS.CO-2 consistente en toda la entidad de acuerdo a los
criterios establecidos.
Revise si los eventos de SI detectados son
analizados para determinar si constituyen un
DE.AE-2 incidentes de seguridad de la información y
RS.AN-4 entender los objetivos del ataque y sus métodos.
Evidencia si los incidentes son categorizados y se
cuenta con planes de respuesta para cada categoría.
Revisar las siguientes directrices para respuesta a
incidentes de seguridad de la información:
a) Los incidentes son contenidos y la probabilidad de
que vuelvan a ocurrir mitigada.
b) Se debe contar con un plan de recuperación de
incidentes durante o después del mismo.
b) recolectar evidencia lo más pronto posible
después de que ocurra el incidente;
c) llevar a cabo análisis forense de seguridad de la
información, según se requiera
d) llevar el asunto a una instancia superior, según se
requiera;
e) asegurar que todas las actividades de respuesta
involucradas se registren adecuadamente para
análisis posterior;
f) comunicar la existencia del incidente de seguridad
RS.RP-1 de la información o de cualquier detalle pertinente a
RS.AN-1 él, al personal interno o externo a las organizaciones
RS.MI-2 que necesitan saberlo;
RC.RP-1 g) tratar las debilidades de seguridad de información
RC.RP-1 que se encontraron que causan o contribuyen al
incidente;
g) establecer que una vez que el incidente se haya
tratado lo suficiente, cerrarlo formalmente y hacer
un registro de esto.
h) de acuerdo a la NIST se deben investigar las
notificaciones de los sistemas de detección.
Tenga en cuenta para la calificación:

1) Si los planes de respuesta a incidentes incluyen
algunas áreas de la entidad y si se evalúa la
efectividad los controles y medidas necesarias para
disminuir los incidentes y prevenir su ocurrencia en
el futuro es 60
2) Se incluyen todas las áreas de la Entidad, en los
planes de respuesta de incidentes es 80
De acuerdo a la NIST se debe entender cual fue el
impacto del incidente. Las lecciones aprendidas
deben ser usadas para actualizar los planes de
DE.DP-5 respuesta a los incidentes de SI.
RS.AN-2
RS.IM-1 Tenga en cuenta para la calificación:
La Entidad aprende continuamente sobre
los incidentes de seguridad presentados.
Revisar las siguientes directrices para recolección de
evidencia:
a) definir la cadena de custodia;
b) establecer la seguridad de la evidencia;
c) definir la seguridad del personal;
RS.AN-3
d) definir los roles y responsabilidades del personal
involucrado;
e) establecer la competencia del personal;
f) realizar la documentación;
g) definir las sesiones informativas.
NIVEL DE CUMPLIMIENTO
ANEXO A ISO 27001
20
20
20
20
20
20
20
20
20
20
20
20
20
52
20
60
60
80
40
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Controles de seguridad fís
ID/ITEM CARGO ITEM DESCRIPCIÓN
Responsable de
T.1 CONTROL DE ACCESO
SI/Responsable de TICs
REQUISITOS DEL Se debe limitar el acceso a información y a

T.1.1 Responsable de SI NEGOCIO PARA instalaciones de procesamiento de
CONTROL DE ACCESO información.
Se debe establecer, documentar y revisar

Política de control de una política de control de acceso con base
T.1.1.1 Responsable de SI
acceso en los requisitos del negocio y de seguridad
de la información.
Se debe permitir acceso de los usuarios a la
Acceso a redes y a
T.1.1.2 Responsable de TICs red y a los servicios de red para los que
servicios en red
hayan sido autorizados específicamente.
GESTIÓN DE ACCESO DE Se debe asegurar el acceso de los usuarios

T.1.2 Responsable de SI autorizados y evitar el acceso no autorizado
USUARIOS
a sistemas y servicios.
Se debe implementar un proceso formal de

Registro y cancelación registro y de cancelación de registro de
del registro de usuarios usuarios, para posibilitar la asignación de los
derechos de acceso.
Se debe implementar un proceso de
suministro de acceso formal de usuarios
Suministro de acceso de para asignar o revocar los derechos de
usuarios
acceso a todo tipo de usuarios para todos los
sistemas y servicios.
Gestión de derechos de Se debe restringir y controlar la asignación y
acceso privilegiado uso de derechos de acceso privilegiado.
Gestión de información La asignación de información de
T.1.2.4 Responsable de SI de autenticación secreta autenticación secreta se debe controlar por
de usuarios medio de un proceso de gestión formal.
Los propietarios de los activos deben revisar
Revisión de los derechos
T.1.2.5 Responsable de SI los derechos de acceso de los usuarios, a
de acceso de usuarios
intervalos regulares.
Los derechos de acceso de todos los

empleados y de usuarios externos a la
información y a las instalaciones de
Retiro o ajuste de los
T.1.2.6 Responsable de SI derechos de acceso procesamiento de información se deben
retirar al terminar su empleo, contrato o
acuerdo, o se deben ajustar cuando se hagan
cambios.
Hacer que los usuarios rindan cuentas por la

RESPONSABILIDADES DE
T.1.3 Responsable de SI salvaguarda de su información de
LOS USUARIOS
autenticación.
Uso de información de Se debe exigir a los usuarios que cumplan las
T.1.3.1 Responsable de SI prácticas de la organización para el uso de
autenticación secreta
información de autenticación secreta.
CONTROL DE ACCESO A Se debe evitar el acceso no autorizado a

T.1.4 Responsable de SI SISTEMAS Y
sistemas y aplicaciones.
APLICACIONES
El acceso a la información y a las funciones
Restricción de acceso a la de los sistemas de las aplicaciones se debería
información restringir de acuerdo con la política de
control de acceso.
Cuando lo requiere la política de control de
Procedimiento de ingreso acceso, el acceso a sistemas y aplicaciones se
seguro debe controlar mediante un proceso de
ingreso seguro.
Los sistemas de gestión de contraseñas
Sistema de gestión de
T.1.4.3 Responsable de TICs deben ser interactivos y deben asegurar la
contraseñas
calidad de las contraseñas.
Se debe restringir y controlar estrictamente
T.1.4.4 Responsable de TICs Uso de programas el uso de programas utilitarios que pudieran
utilitarios privilegiados tener capacidad de anular el sistema y los
controles de las aplicaciones.
Control de acceso a Se debe restringir el acceso a los códigos
T.1.4.5 Responsable de TICs códigos fuente de
fuente de los programas.
programas
eguridad físicos u operacionales
ISO MSPI CIBERSEGURIDAD
Objetivo: Limitar el
Componente planificación y acceso a información y
A.9 modelo de madurez nivel a instalaciones de
gestionado procesamiento de
información
A.9.1 Modelo de madurez definido
A.9.1.1 PR.DS-5
PR.AC-4
A.9.1.2 PR.DS-5
PR.PT-3
Modelo de madurez
A.9.2
gestionado cuantitativamente
A.9.2.1 PR.AC-1
A.9.2.2 PR.AC-1
PR.AC-4
A.9.2.3
PR.DS-5
A.9.2.4 PR.AC-1
A.9.2.5
A.9.2.6
A.9.3 Modelo de madurez definido

A.9.3.1 PR.AC-1
Modelo de madurez
A.9.4
gestionado cuantitativamente
PR.AC-4
A.9.4.1
PR.DS-5
A.9.4.2 PR.AC-1
A.9.4.3 PR.AC-1
A.9.4.4 PR.AC-4
PR.DS-5
A.9.4.5 PR.DS-5
s
NIVEL DE
CUMPLIMI
PRUEBA EVIDENCIA BRECHA ENTO
ANEXO A
ISO 27001
Verificar que tengan un documento que

soporte que apunte a: Limitar el acceso a
20
información y a instalaciones de
procesamiento de información
20
Revisar que la política contenga lo siguiente:

a) los requisitos de seguridad para las
aplicaciones del negocio;
b) las políticas para la divulgación y
autorización de la información, y los niveles
de seguridad de la información y de
clasificación de la información;
c) la coherencia entre los derechos de acceso
y las políticas de clasificación de información
de los sistemas y redes;
d) la legislación pertinente y cualquier
obligación contractual concerniente a la
limitación del acceso a datos o servicios;
e) la gestión de los derechos de acceso en un
entorno distribuido y en red, que reconoce
20
todos los tipos de conexiones disponibles;
f) la separación de los roles de control de
acceso, (solicitud de acceso, autorización de
acceso, administración del acceso);
g) los requisitos para la autorización formal
de las solicitudes de acceso;
h) los requisitos para la revisión periódica de
los derechos de acceso;
i) el retiro de los derechos de acceso;
j) el ingreso de los registros de todos los
eventos significativos concernientes al uso y
gestión de identificación de los usuarios, e
información de autenticación secreta, en el
archivo permanente;
k) los roles de acceso privilegiado;
Revisar la política relacionada con el uso de
redes y de servicios de red y verificar que
incluya:
a) las redes y servicios de red a los que se
permite el acceso;
b) los procedimientos de autorización para
determinar a quién se permite el acceso a
qué redes y servicios de red;
c) los controles y procedimientos de gestión 20
para proteger el acceso a las conexiones de
red y a los servicios de red;
d) los medios usados para acceder a las
redes y servicios de red ( uso de VPN o redes
inalámbricas);
e) los requisitos de autenticación de usuarios
para acceder a diversos servicios de red;
f) el seguimiento del uso de servicios de red.
20
Revisar el proceso para la gestión y la

identificación de los usuarios que incluya:
a) Identificaciones únicas para los usuarios,
que les permita estar vinculados a sus
acciones y mantener la responsabilidad por
ellas; el uso de identificaciones compartidas
solo se debe permitir cuando sea necesario
por razones operativas o del negocio, y se
aprueban y documentan;
20
b) deshabilitar o retirar inmediatamente las
identificaciones de los usuarios que han
dejado la organización;
c) identificar y eliminar o deshabilitar
periódicamente las identificaciones de
usuario redundantes;
d) asegurar que las identificaciones de
usuario redundantes no se asignen a otros
usuarios.
Revisar el proceso para asignar o revocar los
derechos de acceso otorgados a las
identificaciones de usuario que incluya:
a) obtener la autorización del propietario del
sistema de información o del servicio para el
uso del sistema de información o servicio;
b) verificar que el nivel de acceso otorgado
es apropiado a las políticas de acceso y es
coherente con otros requisitos, tales como
separación de deberes;
c) asegurar que los derechos de acceso no
estén activados antes de que los
procedimientos de autorización estén
20
completos;
d) mantener un registro central de los
derechos de acceso suministrados a una
identificación de usuario para acceder a
sistemas de información y servicios;
e) adaptar los derechos de acceso de
usuarios que han cambiado de roles o de
empleo, y retirar o bloquear inmediatamente
los derechos de acceso de los usuarios que
han dejado la organización;
f) revisar periódicamente los derechos de
acceso con los propietarios de los sistemas
de información o servicios.
proceso debe incluir los siguientes pasos:
a) Identificar los derechos de acceso
privilegiado asociados con cada sistema o
proceso, (sistema operativo, sistema de
gestión de bases de datos, y cada aplicación)
y los usuarios a los que es necesario asignar;
b) definir o establecer los derechos de
acceso privilegiado a usuarios con base en la
necesidad de uso y caso por caso, alineada
con la política de control de acceso;
c) mantener un proceso de autorización y un
registro de todos los privilegios asignados.
Sólo se debe suministrar derechos de acceso
cuando el proceso de autorización esté
completo;
d) definir los requisitos para la expiración de
los derechos de acceso privilegiado;
e) establecer los derechos de acceso
privilegiado a través de una identificación de
20
usuario diferente de la usada para las
actividades regulares del negocio. Las
actividades regulares del negocio no se
ejecutan desde una identificación
privilegiada;
f) tener las competencias de los usuarios con
derechos de acceso privilegiado y su revisión
periódica para verificar si están en línea con
sus deberes;
g) establecer y mantener procedimientos
genéricos para evitar el uso no autorizado de
identificaciones de usuario de administración
genérica, de acuerdo con las capacidades de
configuración del sistema;
h) establecer la confidencialidad de la
información de autenticación secreta, para
las identificaciones de usuario de
administración genérica, cuando se
comparta (cambiar las contraseñas con
Revisar el proceso, que incluya:
a) establecer la firma de una declaración
para mantener confidencial la información
de autenticación secreta personal, y
mantener la información de autenticación
secreta del grupo (cuando es compartida)
únicamente dentro de los miembros del
grupo; esta declaración firmada se puede
incluir en los términos y condiciones del
empleo para todos los que los usuarios ;
b) estipular que todos los usuarios deben
mantener su propia información de
autenticación secreta, y se les suministra una
autentificación secreta temporal segura, que
se obligue a cambiar al usarla por primera
vez;
c) establecer procedimientos para verificar la
identidad de un usuario antes de
proporcionarle la nueva información de 20
autenticación secreta de reemplazo o
temporal;
d) definir que la información de
autenticación secreta temporal se
suministra a los usuarios de una manera
segura; y se evitar utilizar partes externas o
de mensajes de correo electrónico no
protegidos (texto claro);
e) establecer que la información de
autenticación secreta temporal es única para
un individuo y no es fácil de adivinar;
f) definir que los usuarios deben acusar
recibo de la información de autenticación
secreta;
g) establecer que la información de
autenticación secreta por defecto, del
fabricante, se modifica después de la
instalación de los sistemas o software.
Revisar los derechos de acceso que incluya:
a) examinar los derechos de acceso de los
usuarios periódicamente y después de
cualquier cambio, promoción, cambio a un
cargo a un nivel inferior, o terminación del
empleo;
b) establecer que los derechos de acceso de
usuario se revisan y reasignan cuando pasan
de un rol a otro dentro de la misma
20
organización;
c) definir las autorizaciones para los
derechos de acceso privilegiado y revisar
periódicamente;
d) verificar las asignaciones de privilegios
periódicamente, para asegurar que no se
hayan obtenido privilegios no autorizados;
e) revisar y registrar los cambios a las
cuentas privilegiadas periódicamente.
Revisar los derechos de acceso a la

información y a los activos asociados con
instalaciones de procesamiento de
información, antes de que el empleo termine
o cambie, dependiendo de la evaluación de
factores de riesgo que incluya:
a) terminación o cambio lo inicia el
empleado, el usuario de la parte externa o la 20
dirección, y la razón de la terminación;
b) revisar las responsabilidades actuales del
empleado, el usuario de la parte externa o
cualquier otro usuario;
c) verificar el valor de los activos accesibles
en la actualidad.
20
asegurándose de que no sea divulgada a
ninguna otra parte, incluidas las personas
con autoridad;
b) evitar llevar un registro (en papel, en un
archivo de software o en un dispositivo
portátil) de autenticación secreta, a menos
que se pueda almacenar en forma segura y
que el método de almacenamiento haya sido
aprobado (una bóveda para contraseñas);
c) cambiar la información de autenticación
secreta siempre que haya cualquier indicio
de que se pueda comprometer la
información;
d) definir que cuando se usa contraseñas
como información de autenticación secreta,
se debe seleccionar contraseñas seguras con
una longitud mínima suficiente que:
1) sean fáciles de recordar;
2) no estén basadas en algo que otra 20
persona pueda adivinar fácilmente u obtener
usando información relacionada con la
persona, (nombres, números de teléfono y
fechas de nacimiento, etc.);
3) no sean vulnerables a ataques de
diccionario (es decir, no contienen palabras
incluidas en los diccionarios);
4) estén libres de caracteres completamente
numéricos o alfabéticos idénticos
consecutivos;
5) si son temporales, cambiarlos la primera
vez que se ingrese;
e) no compartir información de
autenticación secreta del usuario individual;
f) establecer una protección apropiada de
contraseñas cuando se usan éstas como
información de autenticación secreta en
procedimientos de ingreso automatizados, y
52
Revisar las restricciones de acceso a través
de la aplicación individual del negocio y de
acuerdo con la política de control de acceso
definida; que incluya:
a) suministrar menús para controlar el
acceso a las funciones de sistemas de
aplicaciones;
b) controlar a qué datos puede tener acceso
un usuario particular;
20
c) controlar los derechos de acceso de los
usuarios, (a leer, escribir, borrar y ejecutar);
d) controlar los derechos de acceso de otras
aplicaciones;
e) limitar la información contenida en los
elementos de salida;
f) proveer controles de acceso físico o lógico
para el aislamiento de aplicaciones, datos de
aplicaciones o sistemas críticos.
proceso de ingreso se haya completado
exitosamente;
b) visualizar una advertencia general acerca
de que sólo los usuarios autorizados pueden
acceder al computador;
c) evitar los mensajes de ayuda durante el
procedimiento de ingreso, que ayudarían a
un usuario no autorizado;
d) validar la información de ingreso
solamente al completar todos los datos de
entrada. ante una condición de error, el
sistema no debe indicar qué parte de los
datos es correcta o incorrecta;
e) proteger contra intentos de ingreso
mediante fuerza bruta;
f) llevar un registro con los intentos exitosos
y fallidos;
g) declarar un evento de seguridad si se
detecta un intento potencial o una violación 60
exitosa de los controles de ingreso;
h) visualizar la siguiente información al
terminar un ingreso seguro:
1) registrar la fecha y la hora del ingreso
previo exitoso;
2) registrar los detalles de cualquier intento
de ingreso no exitoso desde el último ingreso
exitoso;
i) no visualizar una contraseña que se esté
ingresando;
j) no transmitir contraseñas en un texto claro
en una red;
k) terminar sesiones inactivas después de un
período de inactividad definido,
especialmente en lugares de alto riesgo tales
como áreas públicas o externas por fuera de
la gestión de seguridad de la organización o
en dispositivos móviles;
Revisar el sistema de gestión de contraseñas
que incluya:
a) cumplir el uso de identificaciones y
contraseñas de usuarios individuales para
mantener la rendición de cuentas;
b) permitir que los usuarios seleccionen y
cambien sus propias contraseñas e incluyan
un procedimiento de confirmación para
permitir los errores de entrada;
c) Exigir por que se escojan contraseñas de
calidad;
d) Forzar a los usuarios cambiar sus
contraseñas cuando ingresan por primera 60
vez;
e) Exigir por que se cambien las contraseñas
en forma regular, según sea necesario:
f) llevar un registro de las contraseñas
usadas previamente, e impedir su reusó;
g) no visualizar contraseñas en la pantalla
cuando se está ingresando;
h) almacenar los archivos de las contraseñas
separadamente de los datos del sistema de
aplicaciones;
i) almacenar y transmitir las contraseñas en
forma protegida.
Revisar las directrices para el uso de
programas utilitarios con la capacidad de
anular los controles de sistemas y de
aplicaciones, que incluyan.
a) utilizar procedimientos de identificación,
autenticación y autorización para los
programas utilitarios;
b) separar los programas utilitarios del
software de aplicaciones;
c) limitar el uso de programas utilitarios al
número mínimo práctico de usuarios
confiables y autorizados;
d) autorizar el uso adhoc de programas 80
utilitarios;
e) limitar la disponibilidad de los programas
utilitarios;
f) registrar el uso de los programas
utilitarios;
g) definir y documentar los niveles de
autorización para los programas utilitarios;
h) retirar o deshabilitar todos los programas
utilitarios innecesarios;
i) No poner a disposición los programas
utilitarios a los usuarios que tengan acceso a
aplicaciones en sistemas en donde se
requiera la separación de deberes.
Revisar el procedimiento para la gestión de
códigos fuente de los programas, que
incluya:
a) definir en donde sea posible, las librerías
de fuentes de programas no se deben
mantener en los sistemas operativos;
b) gestionar los códigos fuente de los
programas y las librerías de las fuentes de los
programas se debería hacer de acuerdo con
procedimientos establecidos;
c) establecer que el personal de soporte
deben tener acceso restringido a las librerías
de las fuentes de los programas;
d) definir que la actualización de las librerías
40
de fuentes de programas y elementos
asociados, y la entrega de fuentes de
programas a los programadores sólo se
deben hacer una vez que se haya recibido
autorización apropiada;
e) establecer que los listados de programas
se deben mantener en un entorno seguro;
f) conservar un registro de auditoría de todos
los accesos a la librerías de fuentes de
programas;
g) mantener y copiar las bibliotecas de
fuentes de programas a través de
procedimientos estrictos de control de
cambios.
Acuerdos de comportamiento Defensivo
ITEM DESCRIPCIÓN
T.2 Responsable de SI
T.2.1 Responsable de SI
mportamiento Defensivo
ISO MSPI
Marco de referencia de gestión para iniciar y

controlar la implementación y la operación
de la seguridad de la información dentro de
CRIPTOGRAFÍA
la organización
Garantizar la seguridad del teletrabajo y el
uso de los dispositivos móviles
Asegurar el uso apropiado y eficaz de la

criptografía para proteger la
CONTROLES CRIPTOGRÁFICOS
confidencialidad, la autenticidad y/o la
integridad de la información.
Se debe desarrollar e implementar una
política sobre el uso de controles
Política sobre el uso de controles criptográficos
criptográficos para la protección de la
información.
Se debe desarrollar e implementar una
política sobre el uso, protección y tiempo de
Gestión de llaves
vida de las llaves criptográficas durante todo
su ciclo de vida.
CIBERSEGURIDAD PRUEBA EVIDENCIA
A.10
Modelo de madurez
A.10.1 gestionado
cuantitativamente
A.10.1.1
A.10.1.2
NIVEL DE
CUMPLIMI
BRECHA ENTO
ANEXO A
ISO 27001
20
Revisar la política sobre el uso de la criptográfica, que
incluya:
a) establecer el enfoque de la dirección con relación al uso
de controles criptográficos en toda la organización,
incluyendo los principios generales bajo los cuales se
deben proteger la información del negocio;
b) realizar una valoración de riesgos, que identifique el
nivel de protección requerida, teniendo en cuenta el tipo,
fortaleza y calidad del algoritmo de encriptación
requerido.
c) utilizar la encriptación para la protección de información
transportada por dispositivos de encriptación móviles o
removibles, o a través de líneas de comunicación;
d) gestionar las llaves y los métodos para la protección de
llaves criptográficas y la recuperación de información
encriptada, en el caso de llaves perdidas, llaves cuya
seguridad está comprometida, o que están dañadas;
e) establecer roles y responsabilidades, quién es
responsable por:
1) la implementación de la política.
2) la gestión de llaves, incluida la generación de llaves;
f) establecer las normas que se van a adoptar para la
implementación efectiva en toda la organización (procesos
del negocio);
g) definir el impacto de usar información encriptada en los
controles que dependen de la inspección del contenido.
Revisar el sistema de gestión de llaves que debe estar
basado en un grupo establecido de normas,
procedimientos y métodos seguros para:
a) generar llaves para diferentes sistemas criptográficos y
diferentes aplicaciones;
b) generar y obtener certificados de llaves públicas;
c) distribuir llaves a las entidades previstas, incluyendo la
forma de recibir y activar las llaves;
d) almacenar las llaves, incluyendo la forma en que los
usuarios autorizados obtienen acceso a ellas;
e) cambiar o actualizar las llaves, incluyendo las reglas
sobre cuándo se deben cambiar y cómo hacerlo;
f) dar tratamiento a las llaves cuya seguridad está
comprometida;
g) revocar las llaves, incluyendo la forma de retirarlas o
desactivarlas, cuando la seguridad de las llaves ha estado
comprometida, o cuando un usuario deja la organización;
h) recuperar las llaves que estén perdidas o dañadas;
i) hacer copias de respaldo de las llaves o archivarlas;
j) destruir las llaves;
k) registrar y auditar las actividades relacionadas con
gestión de llaves.
Acuerdos de comportamiento Ofensivo

EJERCICIO

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EJERCICIO

Cargado por

Copyright:

Formatos disponibles

ID.

ITEM CARGO ITEM

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

AD.1.2 Responsable de SI Revisión y evaluación

RESPONSABILIDADES Y ORGANIZACIÓN SEGURIDAD INFORMACIÓN

AD.2.1 Responsable de SI Organización Interna

AD.2.1.3 Responsable de SI Contacto con las autoridades.

SEGURIDAD DE LOS RECURSOS HUMANOS

AD.3.1 Responsable de SI Antes de asumir el empleo

Términos y condiciones del

Responsable de SI/Líderes de los Durante la ejecución del

AD.3.2.3 Responsable de SI Proceso disciplinario

AD.4.1.3 Responsable de SI Uso aceptable de los activos

AD.4.2 Responsable de SI Clasificación de información

AD.4.3 Responsable de TICs Manejo de medios

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

AD.5.1 Responsable de la Continuidad Continuidad de la seguridad

AD.5.2 Responsable de la Continuidad Redundancias

RELACIONES CON LOS PROVEEDORES

Orientación de la dirección Componente planificación y

Se debe definir un conjunto de

Las políticas para seguridad de

Marco de referencia de gestión

Marco de referencia de gestión

Las organizaciones deben tener

Garantizar la seguridad del

Asegurar que el personal y

Los acuerdos contractuales con

Asegurar que los funcionarios y

Se debe contar con un proceso

Proteger los intereses de la

Asegurar que la información

LA CONTINUIDAD DEL NEGOCIO

Evitar el incumplimiento de las

SEGURIDAD FÍSICA Y DEL ENTORNO

SEGURIDAD DE LAS OPERACIONES

SEGURIDAD DE LAS COMUNICACIONES

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

ID.BE-5 De acuerdo a la NIST deben identificarse los

Revisar los registros de las actividades del

PR.IP-1 Revisar las restricciones y las reglas para la

c) establecer las pruebas de auditoría se debe

De acuerdo a NIST se debe proteger la integridad de

d) determinar y cumplir los requisitos para

Revisar las pruebas de aceptación de sistemas, para

Tenga en cuenta para la calificación:

REQUISITOS DEL Se debe limitar el acceso a información y a

Se debe establecer, documentar y revisar

GESTIÓN DE ACCESO DE Se debe asegurar el acceso de los usuarios

Se debe implementar un proceso formal de

Los derechos de acceso de todos los

Hacer que los usuarios rindan cuentas por la

CONTROL DE ACCESO A Se debe evitar el acceso no autorizado a

A.9.1 Modelo de madurez definido

A.9.3 Modelo de madurez definido

Verificar que tengan un documento que

Revisar que la política contenga lo siguiente:

Revisar el proceso para la gestión y la

Revisar los derechos de acceso a la

Marco de referencia de gestión para iniciar y

Asegurar el uso apropiado y eficaz de la

También podría gustarte