ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE

ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN QUINTEC DE

COLOMBIA DE ACUERDO CON LA NORMA ISO/IEC 27001

JOHN ALEXANDER BELTRÁN BLANCO SONIA ESPERANZA CAMACHO NIETO JEFFERSON DAVID PEREIRA ORTIZ

DANNY HERNEY PIZA SEGURA CARLOS ANDRES FONSECA PEREZ

UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA PROGRAMA PROFESIONAL DE INGENIERIA DE SISTEMAS

BOGOTÁ 2011

2

ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN QUINTEC DE COLOMBIA DE ACUERDO CON LA NORMA

ISO/IEC 27001

JOHN ALEXANDER BELTRÁN BLANCO SONIA ESPERANZA CAMACHO NIETO JEFFERSON DAVID PEREIRA ORTIZ

DANNY HERNEY PIZA SEGURA CARLOS ANDRES FONSECA PEREZ

TRABAJO DE GRADO PARA OPTAR AL TITULO DE INGENIERO DE SIS-TEMAS

DIRECTOR GRUPO INVESTIGACIÓN INGENIERIA DE SISTEMAS (GIIS): ING. RAUL FABIAN ROLDAN

ASESOR: ING. ALIRIO GARCIA MARTINEZ

UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA PROGRAMA PROFESIONAL DE INGENIERIA DE SISTEMA

BOGOTÁ 2011

3

Los autores certifican que el trabajo presentado es de su autoría, para su ela-boración se han respetado las normas de citación de fuentes y ninguna copia textual supera las 400 palabras. Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por identidad. Los autores son responsables del contenido y de los juicios y opiniones emitidas. Se autoriza a los interesados, a consultar y reproducir parcialmente el conteni-do del trabajo de investigación titulado: ANALISIS Y DEFINICION DE PROCESOS PARA EL SISTEMA DE GESTION DE SEGURIDAD DE LA IN-FORMACION (SGSI) EN QUINTEC DE COLOMBIA DE ACUERDO A LA NORMA ISO/IEC 27001, dirigido por: Ing. ALIRIO GARCIA MARTINEZ, reali-zado por: JOHN ALEXANDER BELTRÁN BLANCO, SONIA ESPERANZA CAMACHO NIETO, JEFFERSON DAVID PEREIRA ORTIZ, DANNY HERNEY PIZA SEGURA y CARLOS ANDRES FONSECA PEREZ. Siempre que se haga la respectiva cita bibliográfica que dé crédito al trabajo y a sus autores, según normas ICONTEC.

4

Nota De Aceptación

________________________________ Firma Del Presidente Del Jurado

________________________________ Firma Del Jurado

________________________________ Firma Del Jurado Bogotá D.C 18-noviembre-2011

5

TABLA DE CONTENIDO

Pág.

RESUMEN Y PALABRAS CLAVES INTRODUCCIÓN 16 1. MARCO REFRENCIAL 19 1.2 Enfoque de calidad 22 2. DISEÑO METODOLOGICO 21 2.1 TIPO DE DISEÑO 21 2.3 HIPÓTESIS Y VARIABLES 23 2.3.1 Hipótesis 23 2.3.2 Variables 24 2.3.2.1 Independientes 24 2.3.2.2 Dependientes 24 2.3.2.3 Intervinientes 24 2.4 POBLACIÓN Y MUESTRA 24 2.4.1 Población 24 2.4.2 Muestra 24 2.5 INSTRUMENTOS 25 2.5.1Estadio Descriptivo 21 2.5.2 Estadio comparativo 21 2.5.3 Estadio interactivo 22 2.6 ASPECTOS ADMINISTRATIVOS 25 2.6.1 RECURSOS 25 2.6.2 Recursos Económicos 25 2.6.3 Recursos Humanos 26 2.6.4 Recursos Tecnológicos 26 3. RESULTADOS 27 4. CONCLUCIONES 38 5. RECOMENDACIONES 39 BIBLIOGRAFÍA ANEXOS

6

LISTA DE TABLAS

Pág. POLITICA DE SEGURIDAD 29 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN ORGANIZACIÓN SEGURIDAD DE LA INFORMACIÓN 30 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN GESTIÓN DE ACTIVOS 31 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN SEGURIDAD DE RR.HH 32 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN SEGURIDAD FISICA Y DEL ENTORNO 33 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCIÓN GESTIÓN DE COMUNICACIONES Y OPERACIONES 34 GESTIÓN DE COMUNICACIONES OPERACIONES PREGUNTAS DE RIESGOS Y PREVENCIÓN CONTROL DE ACCESO 35 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION ADQUISICIÓN MTO Y DESARROLLO DE SISTEMAS DE INFORMACIÓN 36 PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION

7

LISTA DE FIGURAS

Pág.

Figura 1. Ciclo PHVA (Planificar, Hacer, Verificar y Actuar) 18 Figura 2. Procesos ISO/IEC 27001. 18 Figura 3. Controles Sub-sección: Organización Interna. 19 Figura 4. Controles Sub-sección: Partes Externas. 19 Figura 5. Controles Sub-sección: Resp. De activos y Clasificación de la infor-mación. 20 Figura 6. Controles Sub-sección: Antes contratación laboral, durante el contrato laboral y cambio contratación laboral. 20 Figura 7. Controles Sub-sección: Áreas seguras y seguridad de los equipos. 21

Figura 8. Controles Sub-sección: Responsabilidades y procedimientos de ope-ración, Gest. De la provisión de servicios, planificación y aceptación del sistema, protección contra el código malicioso, gestión seguridad redes, copias seguridad. 21 Figura 9. Controles Sub-sección: Manipulación de los soportes, intercambio de información, responsabilidades y procedimientos y supervisión. 22 Figura 10. Controles Sub-sección: Control de acceso, Acceso de usuarios, Responsabilidades usuario, acceso a la red. 22 Figura 11. Controles Sub-sección: Requisitos de seguridad de S.I, Procesa-miento correcto en las aplicaciones, controles criptográficos. 23 Figura 12. Controles Sub-sección: Seguridad archivos del sistemas, seguridad en desarrollo de SW y soporte, Vulnerabilidad técnica. 23 Figura 13. Controles Sub-sección: Reportes sobre eventos y debilidades de la seguridad de la info. Y Gestión de incidentes y mejoras en la seguridad de la info. 23 Figura 14. Controles Sub-sección: Aspectos de seguridad de la información, de la gestión de la continuidad del negocio. 24 Figura 15. Controles Sub-sección: Cumplimiento con los requisitos legales, cumplimiento de las políticas y normas de seguridad, consideraciones de audi-toría de S.I. 24

8

LISTA DE ANEXOS

Pág. Cheklist evaluativos 42

9

GLOSARIO

SGSI: Sistema de gestión de seguridad de la información, usado para dar una mejor organización y control de la información en las empresas, en pro de las actividades claves y del núcleo de las organizaciones. TIER: Es una clasificación que se asigna a los centros de datos, está actual-mente hasta el nivel 4, entre más alto sea el numero, más confiable, seguro y optimo será el Centro De Datos. ISO/IEC 27001: La norma técnica ISO27001, es la encargada de definir los parámetros para certificar un sistema de gestión de seguridad de la informa-ción, propios para los centros de datos y toda la estructura de información de las organizaciones. PHVA: es una metodología de calidad usada por la ISO en los procesos de cer-tificación, la cual consta en Planificar, Verificar, Hacer y Actuar. COBIT: Por sus siglas en ingles (Control Objetives for information and related technology), objetivos de control para tecnologías de información, son un con-junto y metodología de prácticas para la auditoría y control de los sistemas de información e infraestructura tecnológica, actualmente está en la versión 4.1, la cual cuenta con 34 objetivos que cubren 210 objetivos de control. ITIL: Por sus siglas en ingles (Information Technology Infrastructure library), o biblioteca de infraestructura de tecnologías de la información. Es una metodo-logía para las mejores prácticas en sistemas de computación e infraestructura tecnológica, aplicable a todas las organizaciones, la cual certifica personas más no a empresas, ya que a estas solo les da unos lineamientos y metodolog-ías para gestionar de manera adecuada los sistemas de información.

10

RESUMEN Por ser Quintec una empresa dedicada al servicio de almacenamiento de in-formación para terceros debe garantizar su servicio con altos estándares internacionales de calidad. Estándares con los que actualmente no cuenta y en este trabajo se pretende planificar y recomendar los procesos y controles nece-sarios para qué la empresa cuente y se prepare para la certificación en un SGSI, basado en la norma ISO/IEC27001. Teniendo como principal objetivo realizar un análisis de los controles actuales de la organización para evaluar con qué cuenta, frente a lo que requiere la norma, y específicamente dar las recomendaciones de mejoras a los mismos y que se deben implementar para alcanzar la certificación trabajando en el marco de calidad PHVA, COBIT 4.1 e ITIL V.3 para alcanzar la certificación. Para llevar a cabo estos objetivos se debe levantar información por medio de visitas y encuestas, posteriormente organizar la norma en listas de chequeo y evaluar la empresa, para finalmente elaborar un paralelo que muestre cuanto le falta para cumplir lo mínimo que exige la norma y por ultimo dar recomendacio-nes de lo que deben mejorar y como lo pueden hacer. Obteniendo como resultado información documentada, actualizada y estandari-zada de las gestiones a mejorar, los procesos a implementar y la forma de cómo hacerlo.

PALABRAS CLAVES GESTIÓN, SGSI, TIER, CENTRO DE DATOS, ISO/IEC 27001, PHVA, COBIT, ITIL

11

ABSTRAC This research work consists of planning and including the parameters that must be taken into account in order to implement a Security Management System ISMS of information for the data center QUINTEC LTDA, which is currently in TIER1, and to indicate the company what to do and how you can do it to get into a certification process under ISO / IEC 27001. The research problem was to analyze the importance that it has for the organi-zation from the commercial area, of customer services and administration as such, to have a properly certified data center and working under strict and high standards of quality. This research process was conducted by collecting information through sur-veys, visits and permanent contact with the facilities, workforce and processes carried out in the data center, working within the standard framework under the methodology PDCA (plan-do-check, Act), where our work covers planning, it was also worked whit ISO/IEC 27002, COBIT under standards and best metho-dology practices ITIL. This allowed us to develop the parameters whit, which it must be developed the methodology and give recommendations on how to obtain certification.

KEY WORDS

MANAGEMENT, ISMS, TIER, DATA CENTER, ISO/IEC 27001, PDCA, COBIT, ITIL

12

INTRODUCCIÓN La información es también un activo muy importante para las organizaciones, ya sea la clasificada como conocimiento para el desarrollo de sus productos o la de tipo financiero, contable y demás; razón por la cual los centros de datos se convierten en una buena opción para aquellas organizaciones que quieren reducir costos en infraestructura y personal de tecnología, y que son de activi-dad ajena al manejo de información. Quintec de Colombia S.A por tener clientes que prestan servicios a varios sectores de la economía, debe cumplir con estándares en seguridad de la información. Actualmente la compañía no cuenta con normas y/o controles mínimos que garanticen a sus clientes las políticas para una adecuada administración de la información. Clientes como Fedesarrollo, Cascabel, Impact, Prodesa deben presentar infor-mes anuales de como administran y controlan a sus proveedores de tecnología, encontrando que en la calificación su proveedor Quintec Colombia no cumple con los requerimientos mínimos en seguridad de la información. Quintec de Colombia S.A necesita realizar un análisis y levantamiento de in-formación que permita definir los procesos necesarios para establecer un sistema de gestión de seguridad de la información, en el tiempo justo para cumplir con los requerimientos de los clientes. Con este proceso de investigación se busca hacer recomendaciones de los procesos necesarios para alcanzar la debida certificación del centro de datos de Quintec Ltda. Con la implementación y puesta en marcha de un SGSI se puede lograr un control, respaldo y debido funcionamiento de los procesos del centro de datos de la compañía, hacerla empresa más competitiva y a su vez mostrar un “Plus” a los clientes que contratan el servicio; ya que los mismos exigen proveedores de servicios certificados por ser estas empresas de hidrocarburos, financieros entre otros sectores. Se pretende en primera instancia identificar los procesos críticos para el mane-jo de la información en el centro de datos de Quintec S.A, desde el momento en que se da el primer contacto con el cliente hasta el almacenamiento y ma-nejo de la información. Todo esto nos permitirá saber en qué puntos del estándar que exige ISO/IEC27001 para los sistemas de gestión de la informa-ción debemos basarnos y con qué normas exactamente podemos integrar esta misma. ¿Realizando un análisis a los procesos actuales, recomendado mejoras a los mismos y definiendo nuevos procesos al SGSI para el Centro De Datos de Quintec Colombia basados en la norma ISO/IEC 27001, se puede dejar listo el mismo para una certificación y mejor prestación del servicio en su centro de datos?

13

La finalidad de este proyecto es realizar un análisis del estado actual de la compañía en administración de información e infraestructura que permita identi-ficar los procesos necesarios para la certificación en la dicha norma. Realizar este análisis permitirá a la compañía preparar procesos propios del SGSI, en un corto tiempo con miras a la certificación, la cual permitirá que Quintec sea una compañía apta para prestar servicios de almacenamiento y procesamiento de información entre otros relacionados, y estar por encima o al mismo nivel de las demás empresas del sector. De acuerdo a los lineamientos corporativos con la casa matriz, la norma ISO/IEC 27001 cumple con los objetivos que la organización se ha planteado para prestación de servicios de TI y administración de la información a lo largo de toda su trayectoria desde 1980. La ISO/IEC 27001 es un estándar internacional de Sistemas de Gestión de Se-guridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integri-dad y la disponibilidad del valor de la información. La implementación de un SGSI para Quintec Colombia puede ser viable por y representar lo siguiente:

• Mejora del conocimiento de los sistemas de información, sus problemas y los medios de protección.

• Mejora de la disponibilidad de los materiales y datos. • Protección de la información. • Diferenciación sobre la competencia y mercado. • mayor oportunidad competitiva desde el punto de vista comercial para la

empresa, lo cual se verá reflejado en una mayor cantidad de clientes. • trabajar con altos estándares de calidad, lo cual dejara documentado,

establecido y parametrizado los procesos tecnológicos y administrativos de la organización.

En este proyecto tenemos como objetivo general realizar un análisis de los pro-cesos actuales y recomendar mejoras a los mismos, de igual forma definir controles que no existan actualmente en la organización para que posterior-mente puedan ser aplicados y dejar a la empresa preparada para una certificación de su Centro De Datos en ISO/IEC27001. Y de una manera específica, desarrollar paso a paso los siguientes objetivos:

• Identificar las mejoras que se deben aplicar a los procesos encontrados en la empresa con miras a la certificación.

• Identificar los procesos más críticos e importantes para el centro de da-

tos.

• Analizar los procesos actuales que se llevan a cabo en la Administración de la información que se maneja en el Centro De Datos.

14

• Identificar cuales con los procesos que se deben implementar con miras

a la certificación. Con este proyecto se pretende alcanzar, una planificación de las gestiones y procesos mínimos con los que debe contar el centro de datos para empezar un proceso de certificación, y también dar un balance y recomendaciones lo mas exactas posible de cómo está actualmente la empresa y como debe estar para alcanzar dicho proceso. También se debe estar precavido con los riesgos inherentes a dicho proceso, ya que podemos encontrar retraso en los procesos de entrevistas y evaluacio-nes por contratiempos de orígenes naturales o ajenos a la organización, también demora y errores al diseñar las métricas de evaluación debido a la in-experiencia de las personas que las realizan y a factores ajenos a esta. Aclarando que las limitaciones van, en no poder seguir el proceso de imple-mentación de certificación en la empresa por el tiempo corto del mismo proyecto, también nos vemos limitados en conseguir la información legal y normativa de certificación, ya que es material costoso y que se entrega en al-gunos casos con cursos y a personas calificadas en áreas de seguridad, procesos y controles informáticos.

15

1. MARCO REFERENCIAL

Las certificaciones generan mucho movimiento en las empresas, y es correcto que la certificación sea vista como una ventaja competitiva; pero a la hora de administrar y comprometer los tiempos del proyecto es importante ser realistas en función del alcance y de la calidad de la implementación. La forma en que se implementaran todos los sistemas de protección necesarios para los activos fijos y de información de la empresa, hace necesario también que haya una plena investigación con respecto a las fortalezas y debilidades dentro de los procesos internos de la empresa, así como también asegurar que por medio de esta certificación la empresa obtiene un beneficio el cual es poder brindar a todos sus usuarios la certeza de la seguridad de la información. Una certificación de ISO/IEC27001 conlleva a una inversión en hardware y ser-vicios asociados a la implementación de tecnologías; también es un proceso en donde se hace un análisis de los riesgos, del tiempo y de la forma en que se implementaran todos los sistemas de protección necesarios para los activos fijos y de información de la empresa, se hace necesario también que haya una plena investigación con respecto a las fortalezas y debilidades dentro de los procesos internos de la empresa, así como también asegurar qué por medio de esta certificación la empresa obtiene un beneficio el cual es poder brindar a todos sus usuarios la certeza de la seguridad de la información, por lo tanto se hace prescindible el uso del método PHVA en el cual enfocaremos este proyec-to particularmente, y específicamente en el proceso de planificación para poder brindar a la empresa una visión especifica de los riesgos y aspectos a mejorar para poder llegar a tener esta certificación de calidad. 1

1 Figura 1. Fuente: El Autor del texto

•Hacer revisiones periodicas a los procesos y al funcionamiento del sistema de gestión

•Aplicar las correcciones y las mejoras pertinentes encontradas en la verificación del mismo.

•Aplicar y operar el SGSI

•Definir los objetivos, el procedimiento y la forma de trabajar.

PLANIFICAR HACER

VERIFICARACTUAR

Figura 1. Ciclo PHVA (Planificar, Hacer, Verificar y Actuar)

16

La norma define actividades indispensables que son necesarias para imple-mentar un SGSI, tales como los procesos para obtener la certificación; y un ejemplo seria, las revisiones por medio de auditorías internas a la empresa. También es indispensable poner a consideración qué procesos del negocio se verán afectados en función del alcance, en cuanto a este mismo el objetivo es lograr que la empresa cuente con un estimado de tiempo y de requerimientos para adquirir su certificación. Se hace así indispensable nombrar procedimientos y procesos tanto en la im-plementación como en la utilización del día a día del sistema de gestión, es necesario también recurrir a la verificación de los documentos de los procesos, procedimientos, políticas, metodologías, entre otros para poder tener en es-pecífico un resultado óptimo del estado actual de la empresa y así poder brindar un soporte de recomendaciones y puntos a mejorar los cuales permitan garantizar en un futuro el objetivo final que es la certificación de ISO 27001, siendo este el punto a favor de la empresa para generar una mayor competiti-vidad comercial y en la dependencia de las TI, también generando un proceso continuo de mejora dentro de la empresa para la reducción de riesgos en el SGSI. 2 En este momento la compañía se encuentra en una etapa de ingreso al mundo de venta de servicios administrados, procesamiento y almacenamiento de in-formación, por esta razón se montó un centro de datos que cumpliera con todas las normas de infraestructura a nivel mundial y como un centro de datos tipo TIER 2 para servicios de datos, en la búsqueda constante de la mejora del servicio, requiere analizar sus procesos actuales y validarlos bajo las normas 27001 de seguridad con el fin de garantizar la correcta aplicación de procesos,

2http://www.iso27000.es/sgsi.html#section2a

Figura 2. Procesos ISO/IEC 27001

17

se han presentado fallas y no existen procedimientos claros de cómo proceder, ante las eventualidades presentadas como corte del servicio de energía, o caí-da de servicios críticos y la seguridad de la información por lo tanto se propone que con lo anteriormente nombrado se logre el objetivo de brindar una correcta planificación hacia una certificación de ISO 27001. 1.2 Enfoque de calidad Asegurar la calidad hace parte del control de calidad. Un sistema de calidad se centra principalmente en garantizar que una organización cumple con las es-pecificaciones establecidas previamente entre esta y el cliente, asegurando la calidad continua a lo largo del tiempo. Los principales enfoques que se manejan son los siguientes: Enfoque del cliente: todas las organizaciones dependen de los clientes y Quin-tec de Colombia se preocupa por comprender las demandas actuales y futuras de los mismos, satisfacer las demandas y esforzarse en rebasar sus expectati-vas. Ya que este proyecto está dirigido directamente al Centro De Datos que es donde se maneja toda la información del cliente obviamente es muy importante que cumpla con todos los requisitos, en este caso la norma ISO/IEC27001. Participación del personal: Son las personas que intervienen en todos los nive-les de organización como gerentes, coordinadores y a los mismos clientes, también están las personas directamente implicadas en el estudio de los pro-cesos que se analizaran para que Quintec de Colombia tenga la posibilidad de cambiar y así poder certificarse con la Norma. Enfoque en el proceso: se tiene que relacionar eficientemente todos los resul-tados de las investigaciones y los recursos con los que se cuenta para poder gestionar muy bien los procesos que aplican para Quintec de Colombia en cuanto a la norma ISO/IEC 27001. Gestión basada en los sistemas: Lograr la Identificación, comprensión y gestión a modo de sistemas de los procesos que interrelacionan con el manejo de la información de Quintec de Colombia, todo esto contribuye a la eficacia y la efi-ciencia de la organización a la hora de conseguir sus objetivos. Mejora continua: Buscando la mejora continua, de los procesos que nos com-peten para el funcionamiento de la organización para constituir un objetivo permanente de esta. Toma de decisiones basada en hechos: Esta se da después que se entreguen los informes del análisis del proceso de los cambios que se deben hacer para que Quintec de Colombia tome la decisión de certificarse con la norma ISO 27001 y así poder ser más competitivos.

18

ORGANIZACIÓN INTERNA

Compromiso de la dirección

con la seguridad de

la información

Coordinación de la

seguridad de la

información

Asignación de responsabilidades para la seguridad de

la información

Procesos de autorización

para los servicios de

procesamiento de información

Acuerdos sobre confidencialidad

Contacto con las

autoridades

Revisión independiente de la seguridad

de la información

PARTES EXTERNAS

Compromiso de la dirección con la seguridad de la

informaciónCoordinación de la

seguridad de la información

Asignación de responsabilidades para la


Para una correcta planificación se establece en la norma evaluar gestiones por procesos, y tener como objetivos identificar las mejoras que se deben aplicar a los procesos encontrados en la empresa que no cumplen con lo que indica la norma, todo esto con miras a la certificación3. PLANEACIÓN POR PROCESOS4. Organización De La Seguridad.

∴ Consolidar la seguridad de la información a través de una administración apropiada por parte de las gerencias, áreas, grupos e individuos asigna-dos a cada función.

5 Gestión De Activos De La Información.

3ISO/IEC27001E ISO/IEC27002 4Fuente: ISO/IEC 27002 5Fuente: El Autor

Figura 3. Controles Sub-sección: Organización Interna

Figura 4. Controles Sub-sección: Partes Externas

19

∴ Establecer mecanismos para garantizar la protección de los activos de información en todas sus formas y medios.

Seguridad En Recursos Humanos.

∴ Establecer mecanismos específicos para realizar un proceso de selec-ción que asegure el control adecuado de los empleados de QUINTEC y de este modo reducir el riesgo de errores humanos por falta de compe-tencias, el mal uso de equipamiento de la compañía, robo y fraude.

Figura 6. Controles Sub-sección: Antes contratación laboral, durante el contrato laboral y cambio contratación laboral.

Figura 5. Controles Sub-sección: Resp. De activos y Clasificación de la información

20

SEGURIDAD FÍSICA Y DEL

ENTORNO

Áreas seguras

Seguridad de los equipos

RESPONSABILIDADES Y PROCEDIMIENTOS

DE OPERACIÓN

Documentación de los

procedimientos de operación

Gestión de cambios

Responsabilidad de tareas

Separación de los recursos de

desarrollo prueba y

operación

PROTECCIÓN CONTRA EL CÓDIGO

MALICIOSO Y DESCARGABLE

Control contra el código malicioso

Controles contra el

código descargado en

el cliente

PLANIFICACIÓN Y ACEPTACIÓN DEL

SISTEMA

Gestión de capacidades

Aceptación del sistema

GESTIÓN DE LA PROVISIÓN DE SERVICIOS DE

TERCEROS

Prestacion de servicios

Monitoreo de los servicios

prestados por terceros

gestión del cambio en los

servicios prestados por

terceros

COPIAS DE SEGURIDAD

Copia de seguridad de la

información

GESTIÓN DE LA SEGURIDAD DE

LAS REDES

Controles de red

Seguridad de los servicios de

red

Seguridad Física Y Ambiental.

∴ Identificar las áreas seguras que protejan a los activos de la organiza-ción de acceso no autorizado, daño o interferencia.

∴ Definir una guía de trabajo para las mismas áreas.

Gestión De Operaciones Y Comunicaciones.

∴ Identificar y definir cada uno de los pasos, procedimientos, y equipos de computación y comunicación que permiten el desarrollo de las activida-des del centro de datos. También la forma en que se debe configurar cada uno de estos.

∴ Realizar un análisis de los procesos actuales y proponer mejoras a los mismos, de igual forma crear procesos que no existan actualmente en la organización buscando prepararla para una certificación de su datacen-ter en NTC/ISO 27001.

Figura 7. Controles Sub-sección: Áreas seguras y seguridad de los equipos.

Figura 8. Controles Sub-sección: Responsabilidades y procedimientos de operación, Gest. De la provisión de servicios, planificación y aceptación del sistema, protección contra el código malicioso, gestión seguridad redes, copias seguridad.

21

INTERCAMBIO DE INFORMACIÓN

Políticas y procedimientos de intercambio

de la información

Acuerdos de intercambio

Soportes físicos en transito

Mensajería electrónica

Sistemas de información

empresariales

MANIPULACIÓN DE LOS SOPORTES

Gestión de los soportes

extraíbles

Eliminación de los soportes

Procedimientos de manipulación

de la información

Seguridad de la documentación

del sistema

RESPONSABILIDADES Y PROCEDIMIENTOS

DE OPERACIÓN

Comercio electrónico

Transacciones en línea

Información públicamente

disponible

SUPERVISIÓN

Registros de auditoria

Supervisión del uso del sistemas

Protección de la información de

los registros

Registro de administración y

operación

Registro de fallos

Sincronización del reloj

REQUISITOS DEL NEGOCIO PARA EL

CONTROL DE ACCESO

Política de control de

acceso

GESTIÓN DEL ACCESO DE USUARIOS

Registro de Usuarios

Gestión de Privilegios

Gestión de contraseñas

para usuarios

Revisión de los derechos de acceso de los

usuarios

CONTROL DEACCESO A LA RED

Política de uso de los servicios

de red

Autenticación de usuarios para

conexiones externas

Identificación de los equipos en

las redes

Protección de los puertos de

configuración y diagnostico

remoto

Separación en las redes

Control de conexión a las

redes

Control de enrutamiento en

la red

RESPONSABILIDADES DEL USUARIO

Uso de contraseñas

Equipo de usuario

desatendido

Política de escritorio

despejado y de pantalla

despejada

Control De Acceso.

∴ Diseñar un plan de seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los derechos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos.

Figura 9. Controles Sub-sección: Manipulación de los soportes, intercambio de información, responsabilidades y procedi-mientos y supervisión.

Figura 10. Controles Sub-sección: Control de acceso, Acceso de usuarios, Responsabilidades usuario, acceso a la red.

22

REQUISITOS DE SEGURIDAD DE LOS

SISTEMAS DE INFORMACIÓN

Análisis y especificación

de los requisitos de seguridad

CONTROLES CRIPTOGRÁFICOS

Política sobre el uso de controles

criptográficos

Gestión de claves

PROCESAMIENTO CORRECTO EN LAS

APLICACIONES

Validación de los datos de

entrada

Control de procesamiento

interno

Integridad del mensaje

Validación de los datos de

salida

SEGURIDAD EN LOS PROCESOS DE

DESARROLLO Y SOPORTE

Procedimientos de control de cambios

Revisión técnica de las aplicaciones después de los cambios en el

sistema operativo

Restricciones en los cambios a los paquetes

de software

Fuga de información

Desarrollo de software contratado

externamente

GESTIÓN DE LA VULNERABILIDAD

TÉCNICA

Control de las vulnerabilidades

tecnicas

Trabajo remoto

SEGURIDAD DE LOS ARCHIVOS DE

SISTEMA

El control del software operativo

Protección de los datos de prueba del sistema

Control de acceso al código fuente de los

programas

Adquisición Desarrollo Y Mantenimiento De Sistemas De Información.

∴ Asegurar una adecuada protección para el desarrollo, mantención y ad-quisición de los programas de aplicación que se utilizan para apoyar las funciones críticas del negocio.

Figura 11. Controles Sub-sección: Requisitos de seguridad de S.I, Procesamiento correcto en las aplicaciones, controles criptográficos.

Figura 12. Controles Sub-sección: Seguridad archivos del sistemas, seguridad en desarro-llo de SW y soporte, Vulnerabilidad técnica.

23

REPORTES SOBRE LOS EVENTOS Y DEBILIDADES DE LA SEGURIDAD DE LA

INFORMACION

Reportes sobre los eventos

Reportes sobre las debilidades

GESTION DE LOS INCIDENTES Y LAS

MEJORAS EN LA SEGURIDAD DE LA

INFORMACION

Responsabilidades y procedimientos

Aprendizaje debido a los incidentes en la


Recolección de evidencia

ASPECTOS DE SEGURIDAD DE LA INFORMACION, DE LA

GESTION DE LA CONTINUIDAD DEL

NEGOCIO

Inclusión de la seguridad de la

información en el proceso de gestión de continuidad del

negocio

Continuidad del negocio y

avaluación de riesgos

Desarrollo e implementación de planes

de continuidad que incluyen la seguridad de la

información

Estructura para la planificación de la

continuidad del negocio

Prueba, mantenimiento y reevaluación de

los planes de continuidad del

negocio

Gestión De Incidentes De Seguridad.

∴ Establecer procedimientos operativos para gestionar apropiadamente las gestiones de seguridad

Gestión De La Continuidad Del Negocio.

∴ Establecer medidas que mitiguen las interrupciones de las actividades calificadas como sensibles o críticas debido a los efectos de fallas o de-sastres y asegurar su restauración oportuna.

Figura 13. Controles Sub-sección: Reportes sobre eventos y debilidades de la seguridad de la info. Y Gestión de incidentes y mejoras en la seguridad de la info.

Figura 14. Controles Sub-sección: Aspectos de seguridad de la información, de la gestión de la continuidad del negocio.

24

CUMPLIMIENTO CON LOS REQUISITOS

LEGALES

Identificación de la legislación

aplicable

Derechos de propiedad

intelectual (DPI)

Protección de los registros de la organización

Protección de los datos y

privacidad de la información

personal

Prevención del uso inadecuado de los servicios

de procesamiento de la información

Reglamentación de los controles criptográficos

CUMPLIMIENTO DE LAS POLITICAS Y LAS

NORMAS DE SEGURIDAD Y CUMPLIMIENTO

TECNICO

Cumplimiento con las políticas y

normas de seguridad

Verificación de cumplimiento

técnico

CONSIDERACIONES DE AUDITORIA DE

SISTEMAS DE INFORMACION

Controles de auditoria de los

S.I.

Protección de las herramientas de auditoria de los

S.I.

Cumplimiento.

∴ Marcar las pautas para asegurar que todas las áreas y dependencias, dentro de la organización estén cumpliendo las políticas y procedimien-tos de seguridad. Además, esta política apunta a asegurar que los controles estén operando parar proteger apropiadamente los activos de información.

Análisis del riesgo: Este se encuentra evaluado según lo indica la versión de Cobit 4.1, también en las actividades criticas según la actividad de esta empresa. Matriz de riesgos:

RIEGOS DESASTRE NATURAL RIESGO POR ERROR HUMANO

UBICACIÓN Centro de datos Centro de datos COMO TRABAJARLO Basado ITILV3, COBIT 4.1 Basado ITILV3, COBIT 4.1

Figura 15. Controles Sub-sección: Cumplimiento con los requisitos legales, cum-plimiento de las políticas y normas de seguridad, consideraciones de auditoría de S.I

25

2. DISEÑO METODOLÓGICO

2.1 TIPO DE DISEÑO: La investigación para el análisis y definición de procesos para el sistema de gestión de seguridad de la información (SGSI) en Quintec de Colombia de acuerdo a la norma ISO/IEC 27001 se realizó bajo un estudio: exploratorio, tipo: cualitativo y cuantitativo, ya que arrojará datos que se pueden medir numéricamente y otros cualificarlos, es decir se puede medir la cantidad de procesos y riesgos que están incompletos en los diferentes controles de cada una de las gestiones. También se evaluó el proyecto en diferentes estadios. 2.2 HIPÓTESIS Y VARIABLES 2.2.1 Hipótesis:

• Con el análisis y definición de procesos bajo la norma ISO/IEC27001 el centro de datos puede mejorar su nivel competitivo frente a las demás empresas del sector y el mercado actual de procesamiento de informa-ción.

• El centro de datos puede alcanzar la certificación siguiendo las reco-mendaciones y mejoras dadas a los procesos actuales de la compañía.

• Pueden quedar establecidas políticas firmes, estándares y documenta-das para facilitar posteriormente las mejoras que necesite el SGSI.

• Los clientes podrán estar más seguros a la hora de adquirir los servicios de procesamiento y manejo de información.

• Los ingresos operacionales podrán disminuir y así obtener incremento

en las ganancias de los servicios ofrecidos. 2.2.2 Variables: 2.2.2.1 Independientes: Normas y Gestiones de certificación: ya que no se manea ni manipula su con-tenido, modificaciones o actualizaciones. 2.2.2.2 Dependientes: Recomendaciones a implementar: Ya que están completamente ligadas a lo que indique la norma. 2.2.2.3 Interviniente: Ente certificador: Ya que no se puede controlar los parámetros y la métrica de evaluación de este mismo.

26

Personas que implementaran el SGSI: ya que no se puede controlar la forma como trabajaran en esto. 2.3 POBLACIÓN Y MUESTRA: 2.3.1 POBLACIÓN: La población son todos aquellos centros de datos de la ciudad que tengan im-plementado o quieran contar con un SGSI. 2.3.2 MUESTRA: La muestra será el centro de datos de QUINTEC De Colombia S.A. 2.4 INSTRUMENTOS: Para el desarrollo de este proceso de investigación se utilizaron diferentes herramientas que permitieron trabajar y entregar una serie de recomendacio-nes. Las más importantes fueron las normas ISO/IEC 27001 e ISO/IEC 27002, las cuales se encuentran en la biblioteca universitaria y en el internet en el webside de la norma.6 También se trabajó COBIT 4.1 e ITIL V3, toda esta información fue obtenida en las diferentes direcciones de internet de dichas metodologías y mejores prácti-cas. Entonces con base a la norma ISO/IEC 27001 para saber qué controles eva-luar e implementar, en la norma ISO/IEC 27002 para saber cómo evaluar y aplicar los controles, y en COBIT 4.1 para hacer una evaluación basada en riesgo, y en ITIL V3 para reforzar los controles que exige la ISO/IEC27002 Para realizar la recolección de datos se requirió de la utilización 7 de encuestas en principio estructuradas para poder darle un camino a la investigación y sa-ber cuáles serán los requerimientos, una vez identificados, se armaron listas de checheo con los controles qué deberían cumplir y ahí evaluar con cuántos de estos cumplían. Esto para finalmente hacer una relación general de cuanto le falta al centro de datos para llegar a obtener una certificación y específicamente mostrar en que gestiones deben enfocarse; teniendo como un tope mínimo de cumplimiento el 80%.También se tuvieron en cuenta la interacción en diferentes estadios.

6http://www.iso27001.es 7Ver anexos, tabla de encuestas.

27

2.4.1 Estadio Descriptivo: Aquí se elabora un perfil de cómo se deberá prestar el servicio a cada uno de los clientes asociados a Quintec de Colombia S.A. que busca caracterizar el manejo que se le da a la información, los principales problemas tanto en la guía como en la administración de la información, tales como seguridad informática, seguridad física tanto de los empleados como de los elementos físicos, y más importante en el Centro De Datos que es donde se va a centrar la investiga-ción. La compañía actualmente no cuenta con normas y/o controles mínimos que garantice a sus clientes para una adecuada administración de la informa-ción. Los datos para la debida implementación se obtendrán mediante entrevistas con los directos implicados en el manejo de la información, así como los clien-tes que la manejan, para ver todos los procesos que implica el movimiento de la misma. Se realizara una primera reunión con los empresarios encargados del manejo de la información para presentar y socializar la importancia del pro-yecto para así poder medir los alcances de esta investigación que va a tener como base la norma ISO/IEC27001, así poder normalizar todos los procesos que allí se manejan, con la supervisión de los responsables de la investigación y los tutores que guían el proyecto. 2.4.2 Estadio comparativo Una vez analizada la información de cómo se manejan los procesos de admi-nistración de la información del Centro De Datos incluyendo a los clientes, se busca precisar semejanzas y diferencias entre ellas para analizar la norma ISO/IEC 27001 y cuales procesos son los que competen para así poder valorar qué se debería implementar o mejorar por parte de Quintec de Colombia. En este estadio se determinaran los procesos en los cuales Quintec de Colom-bia podría aplicar, ya que la norma ISO/IEC 27001 maneja 133 procesos y no todos aplican al proyecto, otro análisis es buscar constatar con que elementos se cuenta para trabajar, hasta qué niveles de acceso tenemos de investigación y que información se puede recolectar. También es necesario aplicar una reunión o encuesta con algunos de los clien-tes para observar el proceso completo del movimiento de la información desde que el cliente comienza a utilizarla hasta que llega al data center. 2.4.3 Estadio interactivo Este estadio es donde se dan las posibles soluciones entre los procesos que maneja la ISO/IEC 27001, y los procesos que competen a Quintec de Colom-bia. Estos procesos son estudiados y aplicados en un documento llamados “listas de chequeo “o check list, en donde se compara qué problemas se mane-jan y qué hay que mejorar basándose en los procesos ya aprobados en las normas ISO. Se busca elaborar un plan de acción con el objeto de dejar en las listas de chequeo lo que se puede aplicar en este proceso, mediante una dis-cusión y retroalimentación permanente con los gerentes y los directamente

28

implicados en el proceso de mejoramiento para la certificación en ISO/IEC 27001. Los planes de acción serán preparados conjuntamente con los empresarios, el grupo investigador y con la asesoría de los tutores del proyecto. Se tiene como base los diferentes procesos de la norma ISO/IEC27001 que aplican a la inves-tigación. 2.5 ASPECTOS ADMINISTRATIVOS 2.5.1 RECURSOS Para lograr todo el análisis y definición de los procesos y recomendaciones pa-ra el centro de datos de Quintec S.A es fundamental contar con recursos, económicos, humanos y tecnológicos. 2.5.2 Recursos Económicos Los recursos económicos serán reflejados en los aportes propios de los inte-grantes del proyecto. Y estos fueron necesarios para lograr el traslado hacia el centro de datos ubicado a las afuera de Bogotá D.C, también para hacer efecti-vas las reuniones de trabajo y la movilización hacia los lugares donde se podía encontrar información acerca de las normas, también para obtener acceso a internet desde cualquier sitio y usar servidores para sincronizar las modificacio-nes y avances que se realizaban al proyecto. 2.5.3 Recursos Humanos Los recursos Humanos estarán integrados por los integrantes del proyecto que pondrán a prueba los conocimientos adquiridos en las aulas de clase. Integran-tes: JOHN ALEXANDER BELTRÁN BLANCO, SONIA ESPERANZA CAMACHO NIETO, JEFFERSON DAVID PEREIRA ORTIZ, DANNY HERNEY PIZA SEGURA y CARLOS ANDRES FONSECA PEREZ. Además de contar con el apoyo de un tutor adjudicado por la universidad el Ing. ALIRIO GARCIA MARTINEZ. 2.5.4 Recursos Tecnológicos Estos recursos los constituyen todos los implementos tecnológicos como un computador ya sea laptop o desktop que cuente con el software ofimático ne-cesario para diagramar y organizar la información recolectada, también el conocimiento acerca de normas e infraestructura informática que tenga y ma-neje cada uno.

29

3. RESULTADOS

Al evaluar cada uno de los controles que tiene cada gestión de la norma ISO/IEC27001-2 se hizo una matriz clasificada por procesos y en riesgos, lo que permite medir en que porcentaje esta la organización, y qué tanto debe mejorar y empezar a implementar en su centro de datos. Esta matriz también nos permite entregar valores y recomendaciones puntuales. Basado en las normas y estándares internacionales se decidió como el 80% el porcentaje mínimo que debe alcanzar cada gestión para clasificarse como competente y acorde a la norma ISO/IEC27001-2. A continuación se muestran los resultados obtenidos a cada una de las gestiones. Cada proceso debe estar documentado, especificando el objetivo, el alcance y los documentos relacionados, también debe estar aprobado por las personas involucradas, bajo los métodos y las políticas establecidas. Se debe tener en cuenta al igual qué recursos se llegarían a usar, tanto financieros como huma-nos. Por último se encuentra el análisis y evaluación de los planes de acción reali-zados por los empresarios para hacer las modificaciones si quieren tener la certificación ISO 27001, y finalmente la presentación de resultados. CONSOLIDADO DE TODAS LAS RECOMENDACIONES ENTREGADAS POR CADA UNA DE LAS GESTIONES.

0

10

20

30

40

50

60

recomendaciones

11 107

9

23

13

52

17

6

15 16

POLITICA DE SEGURIDAD

ORGANIZACIÓN DE SEGURIDAD INFORMATICA

GESTION DE ACTIVOS

SEGURIDAD DE RR HH

SEGURIDAD FISICA Y DEL ENTORNO

GESTION DE LAS COMUNICACIONES

CONTROL DE ACCESO

ADQUISICION MANTENIMIENTO Y DESARROLLO DE SI

GESTION DE INCIDENTES Y MEJORAS

GESTION DE LA CONTINUIDAD

30

1. POLITICA DE SEGURIDAD:

PREGUNTAS DE CONTROL Y AUDITORIA

Rótulos de fila % Ideal. NO CUMPLE 88% CUMPLE 12% Total general 100%

PREGUNTAS DE RIESGOS Y PREVENCIÓN

Rótulos de fila % Ideal. NO CUMPLE 9% CUMPLE 91% Total general 100%

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Consolidar la seguridad de la información dentro de QUIN-TEC a través de una política definida que permita estandarizar la gestión segura de la información. Llevando a cabo estas recomendaciones para lograr la mejoría de la política de seguridad: CAMBIE SU CLAVE. Si un tercero ha generado su clave o bien, si usted la ha generado pero sospecha que la misma puede ser conocida por un tercero, cambie inmediatamente su clave. De no hacerlo, otras personas podr-ían actuar en nombre suyo. RECUERDE QUE LA CLAVE ES PERSONAL E INTRANSFERIBLE.

NO CUMPLE88%

CUMPLE12%

Preguntas de Control y Auditoria

NO CUMPLE9%

CUMPLE91%

Preguntas de Riesgo y Prevenciòn

31

2. ORGANIZACIÓN SEGURIDAD DE LA INFORMACIÓN: PREGUNTAS DE CONTROL Y AUDITORIA

Rótulos de fila % IDEAL No Cumple 20% Cumple 80% Total general 100%


Rótulos de fila % IDEAL2 No Cumple 74% Cumple 26% Total general 100%

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Consolidar la seguridad de la información dentro de QUIN-TEC a través de una administración apropiada por parte de las Gerencias, Áreas, grupos e individuos asignados a cada función. Llevando a cabo estas recomendaciones para lograr la mejoría de la organiza-ción de seguridad de la información: Esta política debe ser cumplida por todo el personal de Quintec y los

No Cumple20%

Cumple80%


No Cumple74%

Cumple26%


32

Terceros autorizados para acceder a los activos y a las instalaciones de la organización. Revisar y proponer a la Gerencia de QUINTEC para su aprobación, la Política y las funciones generales en materia de seguridad de la informa-ción. 3. GESTIÓN DE ACTIVOS:





No Cumple8%

Cumple92%


No Cumple83%

Cumple17%


33

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer los mecanismos para asegurar la protección de los activos de información en todas sus formas y medios, a través de un proceso de clasificación conforme a su sensibilidad e importancia. Llevando a cabo estas recomendaciones para lograr la mejoría de la ges-tión de activos: QUINTEC debe tener una persona encargada o un custodio de los activos cuando algunos de los empleados se encuentren ausentes sea por vacaciones, licencia, incapacidad, etc. Teniendo identificados los activos con sus datos más relevantes para tener control sobre ellos 4. SEGURIDAD DE RR.HH: PREGUNTAS DE CONTROL Y AUDITORIA


No Cumple42%

Cumple58%


34


Rótulos de fila % IDEAL2 No Cumple 23% Cumple 6% Total general 28%

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer mecanismos específicos para realizar un proceso de selección que asegure el control adecuado de potenciales empleados de QUINTEC y de Este modo reducir el riesgo de errores humanos por falta de competencias, el mal uso de equipamiento de la compañía o, robo y fraude. Llevando a cabo estas recomendaciones para lograr la mejoría de la segu-ridad de los RR.HH: Antes de la contratación laboral se deben tener estandarizado los documentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los empleados, los contratistas y usuarios de terceras partes, la conozcan y así no se caiga en los problemas de repetición de documentos.

No Cumple80%

Cumple20%


35

5. SEGURIDAD FISICA Y DEL ENTORNO: PREGUNTAS DE CONTROL Y AUDITORIA

Etiquetas de fila % IDEAL No Cumple 87% Cumple 13% Total general 100%



No Cumple87%

Cumple13%


No Cumple98%

Cumple2%


36

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Impedir el acceso no autorizado, daños o interferencias a los acti-vos de información dentro de la organización. Llevando a cabo estas recomendaciones para lograr la mejoría de la seguri-dad física y del entorno: QUINTEC debe definir áreas seguras que protejan a los activos de información de acceso no autorizado, daño e interferencia. Además debe definir guías para trabajar en las áreas seguras. 6. GESTIÓN DE COMUNICACIONES Y OPERACIONES:

GESTIÓN DE COMUNICACIONES OPERACIONES




No Cumple64%

Cumple36%


No Cumple

68%

Cumple32%


37

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer procedimientos operativos para la administración de sistemas informáticos que aseguren la calidad de los procesos que se imple-mentan en el ámbito operativo, a fin de minimizar los riesgos de pérdida de confidencialidad, integridad y disponibilidad de la información. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de comunicaciones y operaciones: Se deben establecer responsabilidades y pro-cedimientos formales para la gestión y operación de los equipos de cómputo y sistemas de información. Además se deben desarrollar instrucciones de opera-ción apropiadas y procedimientos de respuesta a incidentes para cada uno de estos sistemas. 7. CONTROL DE ACCESO: PREGUNTAS DE CONTROL Y AUDITORIA

Rótulos de fila % IDEAL No Cumple 96,94% Cumple 3,06% Total general 100%

No Cumple97%

Cumple3%


38

PREGUNTAS DE RIESGOS Y PREVENCION

Rótulos de fila % IDEAL No Cumple 97,27% Cumple 2,73% Total general 100%

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Proporcionar seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos de información de QUINTEC, a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los dere-chos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos; también tiene como objetivo definir políti-ca para el manejo de contraseñas de usuarios con privilegio de administración en los Sistemas Operativos administrados por el DataCenter Quintec. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de control de acceso: los empleados están autorizados a acceder a la información clasificada según sus responsabilidades y funciones propias de su cargo apli-cando el principio de privilegio de acceso mínimo, es decir, a cada usuario debe autorizársele únicamente el nivel de acceso necesario para cumplir con sus funciones.

No Cumple97%

Cumple3%


39

8. ADQUISICIÓN, MTO Y DESARROLLO DE SISTEMAS DE INFO: PREGUNTAS DE CONTROL Y AUDITORIA

Rótulos de fila % IDEAL

No Cumple 73%

Cumple 27%

Total general 100%



No Cumple 93%

Cumple 7%

Total general 100%

No Cumple73%

Cumple27%


40

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: asegurar una adecuada protección para el desarrollo, man-tención y adquisición de los programas de aplicación de QUINTEC que se utilizan para apoyar las funciones críticas del negocio. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de adquisición, mantenimiento y desarrollo de los sistemas de información: debe estar incorporada en los sistemas de información, esto incluye la infra-estructura, las aplicaciones de negocio, tanto adquiridas como desarrolladas internamente. 9. GESTIÓN DE LOS INCIDENTES Y MEJORAS:





41

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: establecer procedimientos operativos para gestionar apropiada-mente las debilidades y eventos de seguridad. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de los incidentes y mejoras en la seguridad de la información: todos los em-pleados, terceros y contratistas de QUINTEC deben conocer los mecanismos para reportar un incidente de Seguridad de Información. Es un deber reportar un incidente que pudiera afectar a los activos de información de QUINTEC. 10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. PREGUNTAS DE CONTROL Y AUDITORIA Rótulos de fila % IDEAL1 (GDC) NO 23 SI 19 (en blanco) 2 Total general 44

PREGUNTAS DE RIESGOS Y PREVENCIÓN Rótulos de fila % IDEAL2 (GDC) NO 0 SI 37,52 (en blanco)

Total general 37,52

42

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: Establecer medidas que mitiguen las interrupcio-nes de las actividades calificadas como sensibles o críticas de QUINTEC debido a los efectos de fallas o desastres y asegurar su restauración opor-tuna. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión de la continuidad del negocio: QUINTEC debe preparar, actualizar y probar periódicamente (al menos dos veces al año) los planes de continuidad del negocio que provean las acciones alternativas que los empleados realizarán para mantener la continuidad de las operaciones en el caso de que se pro-duzca una interrupción de las actividades regulares. 11. CUMPLIMIENTO:





43

Entonces según los anteriores resultados recomendamos a manera de síntesis que se debe: asegurar que todas las áreas y dependencias, dentro de la organización estén cumpliendo las políticas y procedimientos de se-guridad. Además, esta política apunta a asegurar que los controles estén operando parar proteger apropiadamente los activos de información. Llevando a cabo estas recomendaciones para lograr la mejoría de la gestión del cumplimiento: QUINTEC debe identificar y documentar todos los requeri-mientos legales, estatutos, regulaciones y requerimientos contractuales que afectan a los sistemas de información de la organización. Los servicios realiza-dos sobre los sistemas en producción de QUINTEC deben ser realizados por proveedores especializados, asociaciones profesionales, agencias de gobierno o grupos legítimos y confiables.

RESULTADOS TOTALES DEL CENTRO DE DATOS CON RESPECTO A TODAS LAS GESTIONES:

44

4. CONCLUCIONES Con el análisis y desarrollo de procesos para el centro de datos de Quintec, se puede concluir que para llevar a cabo esta labor es necesario, trabajar bajo normas actuales preferiblemente las publicadas por los organismos de acredi-tación y certificación como la ISO y demás, ya que si se basa el trabajo en normas no oficiales encontradas en otros textos o internet, la información pue-de ser muy vaga. También es fundamental saber entender las actividades principales de la orga-nización sobre la cual se va aplicar dicha norma, ya que así mismo se podrá guiar y orientar el trabajo y las diferentes recomendaciones. Las herramientas que permitieron dar estas recomendaciones se encuentran como anexos al final del documento.

39

5. RECOMENDACIONES A nivel institucional se recomienda adquirir normas y material necesario para trabajar dicho proceso. También se recomienda realizar documentos donde se deje plasmado el al-cance, limitaciones y tiempo de entregas de los diferentes procesos que incurren en dicha actividad. Ahora, las recomendaciones propias de la investigación al centro de datos se observan en los anexos.

40

6. BIBLIOGRAFÍA INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC-ISO/IEC colombiana ISO 27001: técnicas de seguridad sistemas de gestión de la seguridad de la información (SGSI) requisitos, Bogotá: biblioteca fundación universitaria pana-mericana julio 5 2011: paginación (658.568 i57ant ejemplar 1) INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC-ISO/IEC colombiana ISO 27002: técnicas de seguridad sistemas código de práctica para la gestión de la seguridad de la información, Bogotá Noviembre 16 2007. PiattiniVelthuis, Mario Gerardo y Fernando Hervada: Auditoria de tecnologías y sistemas de información: Madrid (España): Editorial Rama: Editado por ISACA® Capítulo de Madrid en el año 2007. SoftManagement Copyright 2011 © All rigths reserved, testimonios: Implementación ISO 27001 en el BANCO DE LA REPUBLICA DE COLOMBIA: 13 de junio de 2011, http://www.softmanagement.com.co/soft/index.php?option=com_content&view=article&id=60&Itemid=61&lang=co INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC/ 555 colombiana, ministerio de Educación Nacional República de Colombia: Sis-tema de gestión de la calidad para instituciones de formación para el trabajo: 12 de Diciembre 2007, http://www.mineducacion.gov.co/1621/articles-157089_archivo_pdf_NTC_5555.pdf UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS: AGIP VALVERDE, JOHANNA, ANDRADE SÁNCHEZ, FABIOLA EVELYN Lima, Perú TESIS GESTIÓN POR PROCESOS (BPM) USANDO MEJORACONTINUA Y REIN-GENIERÍA DE PROCESOS DE NEGOCIO, 2007 http://es.scribd.com/doc/61518548/9/Modelo-Ciclo-de-Deming-PHVA SISTEMAS DE GESTIÓN DE LA CALIDAD: UN CAMINO HACIA LA SATIS-FACCIÓN DEL CLIENTE: GESTIONPOLIS.COM: Autor: Rafael José Mateo: Gestión de la calidad 02-03-2010http://www.gestiopolis.com/administracion-estrategia/sistemas-gestion-calidad-satisfaccion-cliente.htm GUIA DE DIAGNOSTICO PARA IMPLEMENTAR EL SISTEMA DE GESTIÓN DE LA CALIDAD EN LA GESTIÓN PUBLICA NTCGP 1000:2004: Departamen-to Administrativo de la función pública dirección de control interno y racionalización de tramites Bogotá septiembre 2006 http://portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=408 Official Sites: Best Management Practice ITILV3: Copyright © 2007-11 APM Group LtdCo-pyright © 2007-11 APM Group LtdAll rights reserved Registered in England No. 2861902http://www.itil-officialsite.com/

http://www.softmanagement.com.co/soft/index.php?option=com_content&view=article&id=60&Itemid=61&lang=co

http://www.softmanagement.com.co/soft/index.php?option=com_content&view=article&id=60&Itemid=61&lang=co

http://www.mineducacion.gov.co/1621/articles-157089_archivo_pdf_NTC_5555.pdf

http://www.mineducacion.gov.co/1621/articles-157089_archivo_pdf_NTC_5555.pdf

http://es.scribd.com/doc/61518548/9/Modelo-Ciclo-de-Deming-PHVA

http://www.gestiopolis.com/administracion-estrategia/sistemas-gestion-calidad-satisfaccion-cliente.htm

http://www.gestiopolis.com/administracion-estrategia/sistemas-gestion-calidad-satisfaccion-cliente.htm

http://portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=408

http://www.itil-officialsite.com/

http://www.itil-officialsite.com/

41

ANEXOS

ANEXO A: RECOMENDACIONES A LAS POLITICAS DE QUINTEC (VER CARPETA RECOMENDACIONES) ANEXO B: METRICAS DE EVALUACIÓN A LAS POLITICAS DE QUINTEC (VER CARPETA EVALUACIÓN POLITICAS)

42

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. ALCANCE Y RECOMENDACIONES ALCANCE:

• Consolidar la seguridad de la información dentro de QUINTEC a

través de una política definida que permita estandarizar la gestión segu-ra de la información.

• Definir en forma clara los estados de seguridad de la información y la infraestructura de la organización.

RECOMENDACIONES:

Esta política debe ser cumplida por todo el personal de Quintec y los Terce-ros autorizados para acceder a las instalaciones y administración de la información y servidores que residen en el Datacenter.

• CAMBIE SU CLAVE. Si un tercero ha generado su clave o bien, si usted

la ha generado pero sospecha que la misma puede ser conocida por un tercero, cambie inmediatamente su clave. De no hacerlo, otras personas podrían actuar en nombre suyo. RECUERDE QUE LA CLAVE ES PER-SONAL E INTRANSFERIBLE.

• Seleccione una clave fácil de recordar y evite las fácilmente deducibles. Evite utilizar contraseñas vinculadas con fechas de cumpleaños, núme-ros de cuentas, números de documentos, datos personales, caracteres repetitivos o secuencias lógicas.

• Memorice su contraseña y manténgala en secreto. No la guarde en

emails ni en ningún otro tipo de archivo. No la anote en lugares visibles o de fácil acceso, ni haga un documento del tipo claves.doc.

• No la divulgue. Recuerde su contraseña y no la divulgue. La misma es PERSONAL e INTRANSFERIBLE. Bajo ninguna circunstancia informe su contraseña a otra persona.

• Diferencie su contraseña. No utilice la misma clave para diferentes ser-vicios de Internet.

Tipo: Política Gerencia: Quintec Páginas: PQ - 4 Documento: QSGSI-POL-01 Clasificación: Uso Interno

43

• Sea cuidadoso en el uso del Correo electrónico: Deshabilite la visualiza-ción automática de mensajes del programa de correo. Borre los mensajes con asuntos o remitentes extraños o bien que contengan ar-chivos con extensiones .exe, .scr o .zip. Éstos pueden ser programas que roben información. Puede verificar la dirección del remitente si tiene dudas, pasando el cursor del mouse sobre los links del mail. Podrá ver las direcciones en la barra inferior de la pantalla.

• Instale y mantenga actualizado el software de su equipo: Firewall: Es un software que lo protege de posibles ataques desde Internet. Actualiza-ciones del Sistema Operativo: Ayudan a proteger su computadora de vulnerabilidades, a medida que aparecen. Antivirus: Ayuda a proteger a su computadora contra los virus, gusanos, troyanos y otros invasores no deseados, que pueden afectar al correcto funcionamiento de su compu-tadora.

• Sea cuidadoso en el uso del Correo electrónico: Deshabilite la visualiza-ción automática de mensajes del programa de correo. Borre los mensajes con asuntos o remitentes extraños o bien que contengan ar-chivos con extensiones .exe, .scr o .zip. Éstos pueden ser programas que roben información. Puede verificar la dirección del remitente si tiene dudas, pasando el cursor del mouse sobre los links del mail. Podrá ver las direcciones en la barra inferior de la pantalla.

• Desconfíe y no responda los mensajes que solicitan datos confidencia-

les. Nunca responda correos electrónicos que le soliciten información personal, claves, actualización de datos o bien que le avisan de un su-puesto problema. Este tipo de mensajes son fraudulentos y responden a una técnica denominada “Phishing”. Su único objetivo es obtener su in-formación personal. Si usted no está seguro de la legitimidad de un correo electrónico, trate de verificarlo telefónicamente contactando direc-tamente a la entidad que lo haya enviado.

• Verifique la autenticidad y seguridad del Sitio. Antes de ingresar infor-mación confidencial (usuario y contraseña), verifique que se encuentra en un sitio seguro. Para esto hay que tener en cuenta que: La dirección Web debe comenzar con https://, en lugar de http://. (En la barra horizon-tal superior) En la parte inferior del navegador (barra de estado), debe aparecer un candado amarillo cerrado: Al hacer doble clic sobre él, apa-recerá el certificado de autenticidad donde podrá verificar la validez/vigencia del certificado. No introduzca información personal ni fi-nanciera en ventanas emergentes, ya que no hay modo de comprobar el certificado de seguridad.

“Este documento debe ser considerado no controlado si se imprime. Es respon-sabilidad de la persona que utiliza una copia impresa de Este documento

44

asegurarse que los contenidos son representativos de la última información dis-ponible electrónicamente.”

DOCUMENTOS RELACIONADOS

Código Nombre Documento Relacionado

QSGSI-POL-10 Gestion de Seguridad de la Información AUTORIZACIONES

Nombre Fecha

Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltran Blanco. Danny H. Piza Segura. Carlos Andres Fonseca

2 22 Octubre 2011

Revisado por

Aprobado por

Publicado por HISTORIAL DE MODIFICACIONES

FECHA VERSION CREADO POR DESCRIPCION DE LA MODIFICACION

Documento: QSGSI-POL-01 Versión: 01 FechadeVigencia:01/12/2011

Páginas 3

45

POLÍTICA DE ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:

• Consolidar la seguridad de la información dentro de QUINTEC a

través de una administración apropiada por parte de las Gerencias, Áreas, grupos e individuos asignados a cada función.

• Definir en forma clara las responsabilidades de cada funcionario en el contexto de la seguridad de la información.

• Mantener la seguridad de las instalaciones donde se procesa informa-

ción de la organización y de los activos accedidos por terceras partes.

RECOMENDACIONES:

• Esta política debe ser cumplida por todo el personal de Quintec y los Terceros autorizados para acceder a los activos y a las instalacio-nes de la organización.

• Revisar y proponer a la Gerencia de QUINTEC para su aprobación, la

Política y las funciones generales en materia de seguridad de la infor-mación.

• Acordar y aprobar metodologías y procesos específicos.

• Evaluar y coordinar la implementación de controles específicos.

• Acordar y aprobar políticas, procedimientos y normas específicas rela-tivas a la seguridad de la Información.

• Coordinar el análisis de riesgos, planes de contingencia y prevención de desastres.

• Garantizar que la seguridad sea parte del proceso de planificación es-tratégica de la Institución.

• Evaluar y coordinar la implementación de la presente política de segu-ridad.

Tipo: Política Gerencia: Quintec Páginas: PQ-3 Documento: QSGSI-POL-02 Clasificación: Uso Interno

46

• Promover la difusión y apoyo a la seguridad de la información dentro de la Institución.

• Evaluar y revisar la situación de la Institución respecto de la seguridad de la información, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.

• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.



47



AUTORIZACIONES

Nombre Fecha

Redactado por Jefferson D. Pereira Ortiz. Sonia E. Camacho Nieto. John A. Beltrán Blanco. Danny H. Piza Segura. Carlos Andrés Fonseca

22Octubre2011

Revisado por

Aprobado por

Publicado por HISTORIAL DEMODIFICACIONES


Documento: QSGSI-POL-02 Versión: 01 FechadeVigencia:01/12/2011

Páginas 3

48

POLÍTICA DE GESTIÓN DE ACTIVOS DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:

• Establecer los mecanismos para asegurar la protección de los acti-

vos de información en todas sus formas y medios, a través de un proceso de clasificación conforme a su sensibilidad e importancia.

• Mantener un adecuado nivel de protección de los activos de infor-

mación mediante la asignación de Propietarios de la Información a todos los activos de información críticos.

• Definir pautas generales para asegurar una adecuada clasificación y

control de la información. RECOMENDACIONES: • Las disposiciones contenidas en la presente política, son de aplicación

obligatoria para todas las áreas y personal de QUINTEC. Tanto los usuarios de Quintec como los de las empresas contratistas y terceros, deberán cumplir estrictamente lo establecido en la presente Política.

• QUINTEC debe tener una persona encargada o un custodio de los activos cuando algunos de los empleados se encuentren ausentes sea por vacacio-nes, licencia, incapacidad, etc. Teniendo identificados los activos con sus datos más relevantes para tener control sobre ellos

• Se debe tener una base actualizada donde muestre los activos asignados a

cada empleado con las características más relevantes del mismo. Y debe mantenerse actualizado permanentemente.

• Se debe realizar un documento donde especifique las políticas de cómo se

deben manejar todos los activos de la compañía. Así mismo dársela a co-nocer a todos los empleados de la compañía y que firmen un documento por enterado de que se les explico cuáles son estas políticas.


49

• Se debe realizar un documento donde especifique las políticas de cómo se

deben manejar todos los activos Móviles de la compañía, como los son ce-lulares portátiles, cámaras, etc. Así mismo dársela a conocer a todos los empleados de la compañía y que firmen un documento por enterado de que se les explico cuáles son estas políticas

• Cada jefe de área debe tener unas políticas específicas que solo le aplican

al departamento al cual está a cargo. • La información debe estar clasificada según su importancia, ya sea por su

valor, término legal o que sea de mucha importancia para QUINTEC. Al igual se debe restringir el acceso a esta información solo a las personas au-torizadas ya que esta información no se puede filtrar.



50

DOCUMENTOS RELACIONADOS Código Nombre Documento Relacionado

AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por


FECHA VERSIÓN CREADO POR DESCRIPCIÓN DE LA MODIFICACIÓN

Documento: QSGSI-POL-03

Versión: 01 Fecha deVigencia:01/12/2011

Páginas 3

51

POLÍTICA DE SEGURIDAD DE LOS RECURSOS HUMANOS

ALCANCE Y RECOMENDACIONES ALCANCE:

• Establecer mecanismos específicos para realizar un proceso de se-lección que asegure el control adecuado de potenciales empleados de QUINTEC y de Este modo reducir el riesgo de errores humanos por falta de competencias, el mal uso de equipamiento de la com-pañía o, robo y fraude.

• Reducir los daños ocasionados por incidentes de seguridad y mal funcionamiento de las medidas de control asociadas a la Con-tratación, desempeño y desvinculación del personal.

• Asegurar que los empleados, contratistas y terceros estén

conscientes de las amenazas de la seguridad de la información y que se comprometan al cumplimiento de política de seguridad de la información en la organización, durante el desempeño de sus labo-res.

RECOMENDACIONES:

• Esta política debe ser cumplida por todo el personal de QUINTEC y los terceros autorizados para acceder a los activos y a las instala-ciones de la organización.

• Antes de la contratación laboral se deben tener estandarizado los docu-mentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los emplea-dos, los contratistas y usuarios de terceras partes, la conozcan y así no se caiga en los problemas de repetición de documentos.

• Antes de la contratación Se debe tener un especial cuidado de orden y control de acceso a estos documentos para no tener pérdidas de infor-mación de los documentos de las responsabilidades de los empleados respecto a las políticas de seguridad de información de la compañía para los empleados, los contratistas y usuarios de terceras partes.


52

• Los empleados de recursos humanos deben estar actualizados sobre las

legislaciones para así tenerlas en cuenta en el momento de la selección del empleado, contratista o usuario de terceras partes

• Se debe tener en cuenta la protección y privacidad de los datos de los usuarios que se postulan a los cargos ya sea para empleados, contratis-tas o usuarios de terceras partes.

• Los encargados de la dirección deben buscar la manera de que los em-pleados y contratistas que estén dentro de la vigencia laboral apliquen los procedimientos y políticas establecidos por la compañía.

• Es necesario que antes que comience a laboral plenamente en su cargo un empleado o un contratista se les brinde una capacitación a todos los procedimientos y políticas de la entidad, así mismo se debe pues organi-zar las capacitaciones también por su función desempeñada, es decir, una solución podría ser que una persona de cada departamento le expli-cara el funcionamiento de cada área y de las funciones que deba desempeñar.

• Se debe organizar un método de entrega para todos los empleados, con-tratistas y usuarios a terceros, cuando su contrato laboral ya haya finalizado, formalizar y revisar que todos los activos y objetos a su cargo durante la contratación laboral, entre estos están el Software, documen-tos, equipos, etc.

• Si el empleado, contratista o usuario de terceras partes es quien se va a

retirar de la empresa, es decir que sea decisión suya, preferible que to-dos los accesos a la información o procesos de la información les sean retirados antes de su terminación de contrato o acuerdo. Para así evitar inconvenientes de seguridad, filtrado de información



53


AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por


FECHA VERSIÓN CREADO POR DESCRIPCION DE LA MODIFICACION

Documento: QSGSI-POL-04 Versión: 01 Fecha deVigencia:01/12/2011

Páginas 3

54

POLÍTICA DE SEGURIDAD FISICA Y DEL ENTORNO


• Impedir el acceso no autorizado, daños o interferencias a los activos de in-

formación dentro de la organización. • Evitar el robo y/o hurto de activos de información y de los equipos que la

procesan • Implementar medidas para proteger la información manejada por el per-

sonal en el marco de sus labores habituales RECOMENDACIONES: • Esta política debe ser cumplida por todo el personal de QUINTEC

y los terceros autorizados para acceder a los activos y a las instalacio-nes de la organización

• QUINTEC debe definir áreas seguras que protejan a los activos de infor-

mación de acceso no autorizado, daño e interferencia. Además debe definir guías para trabajar en las áreas seguras.

• Disponer de un registro actualizado de los sitios protegidos, indicando:

O Identificación del edificio y área. O Principales activos de información a proteger. O Medidas de protección física

• QUINTEC debe establecer controles que protejan a la información y a los activos físicos que la procesan, de la divulgación, modificación o robo por personas no autorizadas.

• QUINTEC debe establecer controles que protejan a la información y a los activos físicos que la procesan, de la divulgación, modificación o robo por personas no autorizadas

• Sólo personal autorizado puede brindar mantenimiento y llevar a cabo

reparaciones en el equipamiento y utilizar los elementos de protección per-sonal necesarios según el tipo de actividad a realizar.


55

• Fabricante y con la autorización formal del responsable del área de Infraes-

tructura de QUINTEC. El área de Infraestructura mantendrá un listado actualizado del equipamiento con el detalle de la frecuencia en que se reali-zará el mantenimiento preventivo.

• Los equipos no deben salir de las instalaciones de QUINTEC sin la debida

autorización.

• Se deben tomar medidas de seguridad para el equipamiento que se utilice para trabajar fuera de la organización tomando en cuenta los diferentes riesgos asociados.

• Todos los medios de almacenamiento o equipos que sean dados de baja o

reutilizados deben ser revisados para asegurar que cualquier dato sensible y licencias de software son removidos con procedimientos adecuados.

• Todos los empleados de QUINTEC deberán portar su credencial corporativa

en un lugar visible durante toda su permanencia en las instalaciones.

• Supervisar e inspeccionar a los visitantes a áreas protegidas, registrando fecha y horario de ingreso y egreso. Sólo se permitirá el acceso mediando propósitos específicos y autorizados e instruyéndole al visitante en el mo-mento de ingreso sobre los requerimientos de seguridad del área y los procedimientos de emergencia.

• Toda persona externa, que transite por instalaciones de QUINTEC, debe

exhibir en un lugar visible una identificación que indique su calidad de visita.

• Toda persona externa deberá ser escoltada por un empleado de QUIN-TEC desde el punto de ingreso hasta su destino dentro del edificio, del mismo modo cuando se retire.

• Es política de Quintec que se mantenga el escritorio de trabajo físico y

computacional libre de documentos o información sensible del negocio y/o de clientes. Esto considera también el orden y limpieza de las áreas de trabajo.

• Guardar documentos, discos externos y computadores portátiles en cajo-nes con llave.

• Asegurar físicamente computadores portátiles con Guayas de

seguridad.

56

• No publicar documentos o datos sensibles, por ejemplo:

* Nombre de Usuario y Passports * Direcciones IP * Contratos * Números de Cuenta * Listas o datos de Clientes * Propiedad Intelectual * Datos de Empleados.

• La información sensible o crítica de la empresa debe guardarse bajo llave (preferentemente en caja fuerte o gabinete a prueba de incendios) cuando no está en uso, especialmente cuando no hay personal en la oficina.

• Se deben protegerlos puntos de recepción y envío de correo y las máqui-nas fax, fotocopiadoras e impresoras no atendidas. La información sensible o confidencial, una vez impresa, fotocopiada o trasmitida, debe ser retirada.

• Los reportes o impresiones que tengan información confidencial deben

ser destruidos antes de tirarlos en depósitos de basuras.

• Es deber de todos los empleados de QUINTEC observar y fiscalizar el cumplimiento de estas Políticas. Los Gerentes, Jefes y/o Supervisores de cada área o departamento son los responsables por la aplicación y super-visión en el cumplimiento de la misma.

• Los incidentes de seguridad que infrinjan esta política serán reportados a

la gerencia respectiva según lo amerite y de acuerdo a la gravedad de los hechos, se aplicarán las sanciones señaladas en el reglamento Interno respecto al incumplimiento de las normativas vigentes.



57



AUTORIZACIONES

Nombre Fecha

Redactado por Jefferson David Pereira Ortiz. Sonia Esperanza Camacho Nieto. John Alexander Beltrán Blanco. Danny Herney Piza Segura. Carlos Andrés Fonseca

24Octubre2011

Revisado por

Aprobado por



Documento: QSGSI-POL-01 Versión: 01 Fecha:24/10/2011

Páginas 4

58

POLÍTICA DE GESTIÓN COMUNICACIONES


• Establecer procedimientos operativos para la administración de sistemas

informáticos que aseguren la calidad de los procesos que se implementan en el ámbito operativo, a fin de minimizar los riesgos de pérdida de confi-dencialidad, integridad y disponibilidad de la información.

• Definir los requisitos de planeamiento de sistemas y procesos de

aceptación del usuario para proteger los activos de información dentro de QUINTEC.

RECOMENDACIONES: • Esta política se aplica a todos los equipos, redes, aplicaciones y bases de

datos que procesan información de QUINTEC o de aquellos clientes en los que Quintec cumpla el rol de Custodia de la Información.

• Se deben establecer responsabilidades y procedimientos formales para la

gestión y operación de los equipos de cómputo y sistemas de información. Además se deben desarrollar instrucciones de operación apropiadas y procedimientos de respuesta a incidentes para cada uno de estos siste-mas.

• Se deben realizar proyecciones que permitan determinar los requisitos futuros de capacidad con el objetivo de reducir los riesgos de sobrecarga. Se tienen que establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los sistemas nuevos.

• Debe evitarse la concentración de funciones que pongan en riesgo la se-

guridad de la información, es decir en aquellos casos en que la realización de una actividad y su revisión o control sean ejecutados por la misma per-sona, tomando las medidas correspondientes para evitarlo, por ejemplo asignando la función de ejecución a una persona y la función de revisión a otra persona.

• Se deben controlar los servicios recibidos de terceros, en su definición a

través de los contratos y durante su entrega mediante acuerdos de confi-dencialidad, monitoreo y revisión de lo recibido. Cualquier cambio en los servicios deberá pasar por los niveles de aprobación apropiados y ser


59

formalizado a través de un contrato de servicio.

• Se deben tomar precauciones orientadas a la prevención y detección de software malicioso, abarcando servidores, computadores portátiles y es-taciones de trabajo y sistemas de información en general.

• Se deben establecer procedimientos para respaldar información en servi-

dores y equipos críticos, de manera que ésta pueda ser recuperada de manera oportuna en caso de contingencia. Además se tiene que ensayar regularmente el plan de recuperación de la información registrando even-tos y fallas, así como la verificación periódica de la capacidad de restauración.

• Se deben establecer procedimientos operativos para proteger de daños,

robos y acceso no autorizado, a los documentos, dispositivos computacio-nales, datos de entrada y salida, y a la documentación de los sistemas. Estos procedimientos deben incluir la disposición de los medios una vez que su vida útil ha finalizado.

• Los intercambios de información y software con otras organizaciones se

deben controlar y regular de acuerdo a la legislación vigente, con el objeti-vo de evitar la pérdida, modificación o mal uso.

• El Propietario de la Información debe autorizar todos los intercambios de

datos y programas con terceros de acuerdo a las definiciones de QUIN-TEC.

• Los medios que contengan información deben protegerse y ser transpor-tados de acuerdo con las pautas de protección definidas por la clasificación de seguridad incluida en el medio

• Se deben establecer procedimientos y responsabilidades para hacer cam-bios significativos a instalaciones y sistemas que procesan información, por parte de aquellos que implementan y/u operan los sistemas en pro-ducción.

• Se deben establecer las medidas de protección adecuadas a los servicios básicos de comunicaciones como correo electrónico e Internet.



60

DOCUMENTOSRELACIONADOS Código Nombre Documento Relacionado

AUTORIZACIONES

Nombre Fecha

Redactado por Jefferson David. Pereira Ortiz. Sonia Esperanza Camacho Nieto. John Alexander. Beltran Blanco. Danny Herney. Piza Segura. Carlos Andres Fonseca

24Octubre2011

Revisado por

Aprobado por



Documento: QSGSI-POL-06 Versión: 01 Fecha:24/10/2011

Páginas 3

61

POLÍTICA DE CONTROL DE ACCESO


• Proporcionar seguridad razonable con respecto a la integridad y seguridad

de los sistemas y recursos de información de QUINTEC, a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los dere-chos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos; también tiene como objetivo definir política para el manejo de contraseñas de usuarios con privilegio de admi-nistración en los Sistemas Operativos administrados por el DataCenter Quintec.

• Implementar procedimientos formales para controlar la asignación de dere-

chos de acceso a los sistemas de información, bases de datos y servicios de información. Dichos procedimientos deben estar claramente documenta-dos, comunicados y controlados en cuanto a su cumplimiento.

RECOMENDACIONES: • Esta política aplica a todos los sistemas de QUINTEC, incluyendo sin limitar

a las aplicaciones comerciales, bases de datos, aplicaciones desarrolladas internamente, equipos, instalaciones, sistemas, y redes que la organización posea en la actualidad o en el futuro, de manera que la no inclusión explíci-ta en el presente documento, no constituye argumento para no proteger los activos de información que se encuentren en otras formas.

• Los empleados están autorizados a acceder a la información clasificada según sus responsabilidades y funciones propias de su cargo aplicando el principio de privilegio de acceso mínimo, es decir, a cada usuario debe auto-rizársele únicamente el nivel de acceso necesario para cumplir con sus funciones.

• Con el propósito de impedir accesos no autorizados a los recursos de infor-mación, deben establecerse procedimientos formales para asignar los derechos de acceso a los sistemas. Estos procedimientos deben abarcar el ciclo de vida completo de los usuarios en la organización, es decir, su ingre-so, mantenimiento y terminación de la condición de empleado. Estos procedimientos son de particular importancia en el caso de la asignación de derechos de acceso con privilegios elevados. Para efectos de lograr la co-


62

bertura de los aspectos más relevantes, los procedimientos deberán consi-derar:

• Registro de usuarios • Gestión de accesos privilegiados • Gestión de contraseñas • Revisión periódica de derechos de los usuarios

• Los usuarios deben ser informados de sus responsabilidades y de la impor-tancia de su cooperación en el éxito de las medidas de seguridad. Los tópicos a cubrir en las actividades de sensibilización y educación de las res-ponsabilidades deben considerar al menos los siguientes temas:

• Uso de contraseñas • Equipos desatendidos.

• Los empleados no deben trasladar información clasificada de cierto nivel de sensibilidad a niveles inferiores de clasificación, a menos que se encuentren en procesos formales de desclasificación.

• Se debe controlar la seguridad en la conexión entre la red de la Institución y otras redes públicas o privadas.

• Se debe registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

• Todos los requerimientos de información de la organización que incluyan, sin limitar, comunicados públicos, declaraciones, cuestionarios, encuestas o entrevistas periodísticas, deben ser referidos a QUINTEC

• Se deben establecer procedimientos formales para el registro y eliminación de usuarios, de modo de garantizar que se otorguen y quiten accesos a los sistemas y servicios de información, en consistencia con los niveles de auto-rización de los usuarios.

• Se deben revisar los derechos de acceso otorgados a los usuarios regular-mente a través de procedimientos formales.

• Cuando un empleado deja algún puesto en la organización, los archivos residentes en los computadores y los archivos impresos, deben ser revisa-dos por su supervisor directo, jefe inmediato o personal que la Gerencia designe para Este efecto, para una inmediata reasignación formal de obli-gaciones y responsabilidades, informando de manera inmediata al Oficial de Seguridad del resultado del procedimiento.

• Se establecerá el control del cumplimiento de esta actividad mediante audi-torías posteriores, verificando la lista de personas que han dejado la empresa o el cargo, para verificar si hay registro de la actividad.

63

• Los empleados de la organización no deben utilizar herramientas para obte-ner información de la red, como detección de puertos, servicios y archivos en general en los sistemas de información de la organización.

• El acceso físico y lógico a la configuración de puertos de manera remota debe ser controlado. Se deben establecer métodos apropiados de autenti-cación para los usuarios que utilicen accesos remotos.

• Para los accesos a sistemas se deben establecer procedimientos de auten-ticación seguros, de modo de minimizar la oportunidad de accesos no autorizados.

• Se debe definir para cada usuario un único nombre de usuario.

• Todos los usuarios deben ser positivamente identificados antes de usar sistemas de información multiusuario.

• Por medio de la Gerencia responsable de la administración de siste-mas, se verificará que Los empleados no utilicen ninguna estructura de contraseña que resulte predecible, esto incluye sin limitar, a contraseñas en blanco, palabras que aparezcan en diccionarios, secuencias comunes de caracteres y datos personales.

• Las contraseñas fijas no deben ser almacenadas en archivos de ejecución por lotes, scripts automáticos, macros de software, computadoras de control de acceso o en otros medios donde personas no autorizadas pueden cono-cerlas.

• Las contraseñas no deben ser escritas o almacenadas en lugares visibles o cerca de los sistemas a los cuales permiten el acceso.

• Todos los empleados de la organización que tengan acceso a algún siste-

ma, deben dejar siempre sus equipos bloqueados o con protector de pantalla con contraseña, en caso de no estar en su lugar de trabajo.

• Las contraseñas tanto de sistemas, servidores y equipos personales, de-berán ser cambiadas regularmente.

• Si los empleados tienen que dejar sus computadores personales encendi-dos y conectados a la red fuera de horario de oficina, estos equipos deben contar con sistemas de seguridad aprobados.

• Las sesiones que se encuentren inactivas serán desconectadas después de un periodo de inactividad.

• La autoridad para ejecutar transacciones de negocio en representación de la organización debe estar sujeta al uso de una identificación individual en los sistemas de información y a una identificación positiva de ésta.

64

• El acceso a información de Uso Interno o Confidencial, puede ser otorgado

de manera individual o ser otorgado a grupos de usuarios.

• Las actividades de usuarios sensibles que afectan la producción de siste-mas de información, deben ser re construibles desde registros de transacciones.

• Las herramientas de monitoreo u observación de actividades computaciona-les deben ser usadas con una notificación a los usuarios involucrados, a excepción de una investigación de actividades criminales.

• Los mensajes enviados por el sistema electrónico de correos de la organi-zación sólo pueden ser leídos bajo los requerimientos establecidos en la normativa legal, en caso de persecución criminal o administrativa.

• Todos los dispositivos de almacenamiento móviles tales como notebooks y PDA’s entre otros, que contienen información sensible de la Organización, deben considerar protección o encriptación de dispositivos de almacena-miento digital, siendo las llaves o claves del proceso de encriptación de propiedad y conocimiento del empleador.

• Antes de otorgar los permisos de trabajo remoto a empleados de la organi-zación, se debe firmar un acuerdo de confidencialidad que proteja la información sensible de la organización.

• Los responsables de las Unidades Organizativas, junto con el Oficial de Seguridad, deben autorizar el trabajo remoto del personal a su cargo, en los casos en que se verifique que son adoptadas todas las medidas que co-rrespondan en materia de seguridad de la información, de modo de cumplir con las normas vigentes. Asimismo autorizarán el acceso de los usuarios a su cargo a los servicios y recursos de red y a Internet.

• Obligatoriedad de identificación y palabra clave.

• Todo administrador de sistemas, debe ser identificado positivamen-

te mediante un Par de Identificación único compuesto por un identificador de usuario (UserID) y contraseña asociada a él.

• Las contraseñas de usuarios de sistemas como ROOT y ADMINISTRATOR no deben ser utilizadas en tareas rutinarias de administración, explota-ción u operación. Solo deben ser almacenadas en repositorio físico custodiado por operaciones de Data Center.

• Es responsabilidad del administrador de sistemas almacenar en un reposito-

rio seguro y encriptado sus usuarios y contraseña bajo su responsabilidad.

• El repositorio de almacenamiento de contraseña de administradores de sis-temas será electrónico, con control personalizado y con acceso a las contraseñas.

65

• Debe existir un repositorio para el almacenamiento físico, donde el custodio

será el grupo de operaciones de Data Center, con acceso restringido, ase-gurando la imposibilidad de manipulación de personal no autorizado.

• Administración de Data Center será responsable creación de cuen-tas/contraseñas de de usuarios, siendo responsabilidad de los usuarios el cambio y almacenamiento de las contraseñas.

• Las contraseñas se deberán comunicar a los usuarios a través de un medio seguro y facilitar el cambio inmediato por el usuario.

• Cuando el administrador de sistemas entregue una contraseña, deberá solicitar los antecedentes necesarios que le permitan confirmar la identidad del usuario.

• Las contraseñas temporales asignadas a los usuarios deberán ser comuni-cadas de manera segura.

• Cuando un usuario solicite un cambio de contraseña, el administrador de

sistemas responsable deberá, notificar al usuario y a la contraparte valida del cliente, mediante un correo a la cuenta personal de ambos como proce-dimiento de seguridad para identificar casos de suplantación de identidad.

• Las contraseñas que sean enviadas por correo u otro medio físico, no, de-

ben ser acompañadas por la cuenta de acceso del usuario. Además, deberán considerarse las medidas que permitan mantener la confidenciali-dad de la contraseña, por ejemplo, no entregando indicios en el correo de su contenido.

• Reglas de construcción de contraseña

• Debe tener un largo mínimo de 8 caracteres alfanuméricos. •Puede contener letras mayúsculas, letras minúsculas y caracteres especia-les. •Debe ser difícil de adivinar, es decir, no pueden ser triviales, como por ejemplo: dejarla en blanco, utilizar palabras generalmente utilizadas como adminis-trador, admin, root, nombre de la empresa, nombre del administrador, nombres propios, nombres de lugares, secuencias de números, fechas significativas o de aniversarios, nacimientos, números significativos para el usuarios como el RUT, etc.

• No puede ser construida basándose en una componente fija y otra cíclica, como meses, número correlativo, etc. ej. crt_ene, crt_feb, crt_mar para los meses de enero, febrero y marzo respectivamente.

• Debe recordar y no permitir el uso de las ultimas 6 contraseñas.

66

• El tiempo mínimo para el cambio de contraseña debe 1 día.

• Deberes de administradores de sistemas

•No deben utilizarse usuarios de sistemas como ROOT, ADMINISTRATOR para tareas de administración y explotación rutinarias. •Mantener la confidencialidad de la contraseña. Cualquier mal uso de-rivado del conocimiento de la contraseña de acceso, es de responsabilidad administrador de sistemas dueño de la cuenta de acceso. • Emplear contraseñas distintas en cada sistema al cual tienen asignado ac-ceso, a menos que el dueño de los sistemas lo autorice, o exista un sistema de autentificación único. • Activar proceso de cambio de contraseña inmediatamente, cada vez que sea conocida por terceras personas. Si dicha contraseña es utilizada en otros sistemas, también deberán ser modificadas.

• Actividades prohibidas en el uso de contraseñas

•Compartir la contraseña con otros usuarios.

•Escribir la contraseña en los equipos o mantenerla escrita en lugares cerca-nos a los equipos, de manera tal, que otras personas puedan conocerla.

•No se debe incorporar contraseñas en el código fuente de las aplicaciones ni dejarlas en archivos de texto en algún directorio. •Las contraseñas utilizadas para una user-id no deben repetirse, ni ser simi-lares. No se puede volver a utilizar las últimas contraseñas.

• La periodicidad del cambio de las contraseñas de usuarios de admi-nistración bajo la responsabilidad Data Center, debe ser de 60 días.



67



AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por




Páginas 7

68

POLÍTICA DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE:

• Asegurar una adecuada protección para el desarrollo, mantención y

adquisición de los programas de aplicación de QUINTEC que se utilizan pa-ra apoyar las funciones críticas del negocio.

• Identificar, documentar y aprobar los requerimientos de seguridad a in-

corporar durante las etapas de desarrollo e implementación de los Sistemas Informáticos, diseñando controles de validación de datos de entrada, proce-samiento interno y salida de datos.

RECOMENDACIONES: • Esta política se aplica a todos los desarrollos, mantención y adquisición de

aplicaciones, sistemas de información y equipos de comunicación de QUINTEC.

• La seguridad debe estar incorporada en los sistemas de información, esto

incluye la infraestructura, las aplicaciones de negocio, tanto adquiridas como desarrolladas internamente.

• Establecer los requisitos del negocio para los sistemas de información, especificando de manera formal, los requerimientos de controles de segu-ridad necesarios para cada caso.

• Definir procedimientos para el Control de Cambios (Datos operativos y programas), verificación de la seguridad de las plataformas y bases de da-tos que soportan e interactúan con los Sistemas y control de código malicioso.

• Prevenir pérdidas, modificaciones o mal uso de los datos ingresados por los usuarios en las aplicaciones de los sistemas.

• Durante la etapa de desarrollo de los sistemas se debe evaluar la necesi-dad de incorporar controles criptográficos que protejan la confidencialidad e integridad de la información que se considere en riesgo.

• Tomar acciones para asegurar que todo el software desarrollado y las ac-tividades de mantenimiento de software cumplan con las políticas,


69

estándares y procedimientos definidos en la organización.

• Controlar el acceso a archivos de sistemas y a códigos fuentes de pro-gramas.

• Definir procedimientos que describan el proceso de instalación de soft-ware operacional.

• Procurar que la integridad del software que se encuentra en producción no se vea afectada por el proceso de desarrollo y mantención de sistemas, manteniendo un apropiado nivel de seguridad.

• Establecer estándares para las metodologías de desarrollo y para los len-guajes de programación.

• Los cambios en los sistemas deben ser controlados por un procedi-miento formal de control de cambios.

• Todos los proyectos de desarrollo de sistemas realizados con perso-nal interno o solicitados a terceros, deben ser programados con los lenguajes aprobados y definidos en los estándares de programa-ción de la organización.

• Durante el desarrollo de los sistemas se deben establecer controles y pro-

cedimientos de seguridad para validar toda la información sensible procesada por los sistemas de información de la organización.

• Sobre el desarrollo de software a través de outsourcing se deben definir responsabilidades de supervisión y monitoreo por la organización o por órganos de control.

• Los requerimientos de software y hardware no deben ser canalizados di-rectamente por los usuarios con los proveedores. Se deben realizar a través de las áreas definidas para Este propósito.

• Las Gerencias responsables, deben planificar y organizar la utili-

zación de los recursos de aplicaciones alineándolos con los requerimientos del negocio, para un uso eficiente y responsable.



70


AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por




Páginas 3

71

POLÍTICA DE GESTIÓN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN ALCANCE Y RECOMENDACIONES ALCANCE: • Establecer procedimientos operativos para gestionar apropiadamente las

debilidades y eventos de seguridad. • Asegurar que se toman acciones para prevenir los eventos de seguri-

dad. • Reducir los daños ocasionados por los incidentes de seguridad. RECOMENDACIONES: • Esta política debe ser cumplida por todo el personal de QUINTEC y los ter-

ceros autorizados para acceder a los activos y a las instalaciones de la organización.

• Todos los empleados, terceros y contratistas de QUINTEC deben conocer

los mecanismos para reportar un incidente de Seguridad de Información. Es un deber reportar un incidente que pudiera afectar a los activos de in-formación de QUINTEC.

• Toda evidencia relacionada a un incidente de seguridad que origine accio-nes legales, se deberá preservar procurando no dañar la integridad de la información necesaria para análisis forenses y cumplir con lo establecido en la normativa y legislación vigente.

• Se deben establecer responsabilidades y procedimientos formales para el reporte, respuesta y análisis de los incidentes de seguridad.

• Todos los incidentes que puedan afectar la seguridad de la información,

deben ser informados inmediatamente a través de la mesa de ayuda. Sin perjuicio de lo anterior y según su gravedad estos podrán ser notificados al Supervisor directo o al Oficial de Seguridad para que se tomen las me-didas correspondientes.

• Siempre que se sospeche de un acceso no autorizado a un sistema o se tenga la certeza de que está ocurriendo, el personal debe reportarlo inme-diatamente al Supervisor y a la Mesa de Ayuda, para que personal capacitado pueda tomar las acciones correspondientes.


72

• Se deben definir los responsables del manejo de los incidentes en los sis-temas de información, además se les debe conceder la autoridad para llevar a cabo esta labor.



73


AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por




Páginas 3

74

POLÍTICA DE CONTINUIDAD DEL

NEGOCIO ALCANCE Y RECOMENDACIONES: ALCANCE:

• Establecer medidas que mitiguen las interrupciones de las activida-des calificadas como sensibles o críticas de QUINTEC debido a los efectos de fallas o desastres y asegurar su restauración oportuna.

RECOMENDACIONES: • Esta política se aplica a los procesos de negocios calificados como

críticos de QUINTEC. • QUINTEC debe preparar, actualizar y probar periódicamente (al menos

dos veces al año) los planes de continuidad del negocio que provean las acciones alternativas que los empleados realizarán para mantener la con-tinuidad de las operaciones en el caso de que se produzca una interrupción de las actividades regulares.

• Establecer un cronograma de pruebas periódicas de cada uno de los pla-

nes de contingencia, proponiendo una asignación de funciones para su cumplimiento.

• Posterior a las pruebas periódicas y revisión de los resultados, mas la

vigencia de los riesgos y procesos involucrados, se emitirá una nueva ver-sión de plan de continuidad de negocio con las mejoras incorporadas (si corresponde).

• Los planes de contingencia deben incluir al menos las siguientes activida-

des:

o Notificación / Activación: Detección y determinación del daño y activación del plan.

o Reanudación: Restauración temporal de las operaciones y re-

cuperación del daño producido al sistema original.

o Recuperación: Restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

• Se deben identificar los procesos críticos del negocio para poder medir el


75

impacto que tendría la ocurrencia de una falla o desastre sobre ellos. • Los empleados deberán apoyar, a los procesos de restauración de las

actividades normales de negocio, según las responsabilidades asignadas en los planes de contingencia.

• La gestión de la continuidad del negocio debe incluir controles que permi-

tan identificar y disminuir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de incidentes dañinos y asegurar la disponibilidad de la información requerida para los procesos de negocios críticos.

• Se recomienda que el desarrollo, mantención y documentación de los pla-

nes de continuidad del negocio y los planes de contingencia tecnológica, debe ser realizado con el apoyo de los estándares de la industria.

• Los planes de contingencia del negocio y de los sistemas de información,

deben ser accesibles en todo momento y sus copias deben estar disponi-bles en más de un edificio ya sea en formato digital y/o físico.

• Se debe establecer una lista de todos los recursos críticos de QUINTEC para determinar el nivel de prioridad en el restablecimiento de ellos, es decir, que los recursos más críticos sean recuperados primero.

• El análisis de impacto al negocio, debe especificar el período máximo de

tiempo que los procesos críticos pueden operar en contingencia sin afectar el negocio.

• QUINTEC debe documentar los planes de continuidad del negocio y de sistemas identificados como críticos.

• El dueño del proceso de negocio incluido en el plan de continuidad, será el responsable de mantener actualizada la información contenida en dicho plan.

• El dueño del proceso de negocio deberá revisar y actualizar en forma

oportuna los roles y responsabilidades de los planes de contingencia y de recuperación descritos en sus procesos de negocio.



76


AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por




Páginas 3

77

POLÍTICA DE CUMPLIMIENTO ALCANCE Y RECOMENDACIONES ALCANCE:

• Asegurar que todas las áreas y dependencias, dentro de la organiza-

ción estén cumpliendo las políticas y procedimientos de seguridad. Además, esta política apunta a asegurar que los controles estén ope-rando parar proteger apropiadamente los activos de información.

• Asegurar que se cumplan los requisitos legales, las obligaciones

contractuales, regulatorias y derechos de propiedad intelectual por parte de QUINTEC.

RECOMENDACIONES: • Esta política se aplica a todas las áreas y dependencias de QUINTEC,

las cuales están sujetas a revisiones y auditorias regulares para asegu-rar el cumplimiento de las políticas y las normativas legales. Para esto, el Comité de Seguridad de la Información designará un responsable pa-ra el monitoreo, mejora continua, retroalimentación y cumplimiento de las políticas establecidas.

• QUINTEC debe identificar y documentar todos los requerimientos legales,

estatutos, regulaciones y requerimientos contractuales que afectan a los sis-temas de información de la organización.

• Los servicios realizados sobre los sistemas en producción de QUINTEC de-

ben ser realizados por proveedores especializados, asociaciones profesionales, agencias de gobierno o grupos legítimos y confiables.

• Establecer controles periódicos para resguardar los sistemas operacio-

nales durante el transcurso de auditorías y la ejecución de herramientas de revisión. Esto busca proteger la integridad y prevenir el mal uso de las herramientas de auditoría.


78

• Establecer verificaciones periódicas de los sistemas de información para que se cumplan con las políticas y normas de seguridad establecidas.

• Las Gerencias responsables deben velar porque todo el software de la

organización tenga su respectiva licencia y, si las necesidades del negocio lo requieren, realizar los arreglos apropiados para obtener licencias adi-cionales. Queda prohibido el uso de software que no cuente con su respectiva licencia.

• Basándose en las regulaciones vigentes, se deben definir períodos de re-

tención para toda la información sensible de la organización, y la información que no esté sujeta a dichas regulaciones debe ser retenida por un período o adecuad o a su uso.

• Los empleados no deben destruir o eliminar registros o información, po-

tencialmente importante, sin la aprobación respectiva de los propietarios de la misma.

• Los registros de clientes que contienen información personal y que están

en posesión de QUINTEC, deben ser usados sólo con propósitos directa-mente relacionados con el negocio. La divulgación de esta información a terceros debe producirse únicamente con la autorización formal del cliente dueño de la información.

• No se podrá acceder, copiar, transmitir, comunicar, ceder o dar algún tra-tamiento a los datos y/o aplicaciones de Quintec o Clientes sin contar con autorización expresa para ello.

• La infraestructura de información sólo debe ser usada para propósi-

tos del negocio, a menos que se obtenga una autorización formal por parte de QUINTEC.

• QUINTEC se reserva el derecho a revisar toda la información almacenada

o transmitida en sus sistemas de información, su aplicabilidad estará su-peditada a la legislación vigente. La organización debe informar sobre éste derecho a los trabajadores, quienes deben tener claro qué nivel de clasifi-cación tiene la información que manejan y que ésta es de propiedad de la organización.

• La gerencia responsable deberá asegurar que se cumplan correctamente

todos los procedimientos de seguridad dentro de sus áreas de responsabi-lidad, para dar conformidad a las políticas establecidas.

• Se deberá comprobar regularmente la conformidad técnica, referente a la implementación de la seguridad en los sistemas de información. Este tipo de comprobación puede requerir asistencia o apoyo externo especializa-do.

79

• Todos los empleados de QUINTEC deben conocer, comprender y cum-

plir la presente política y normativa vigente.

• Todos los empleados de QUINTEC deberán informar cualquier incidente de seguridad de la información inmediatamente conocido el hecho por los medios establecidos para tal efecto.



80


AUTORIZACIONES

Nombre Fecha


22Octubre2011

Revisado por

Aprobado por




Páginas 4

SEC

CIÓ

N

% O

BTE

NID

O

SU

BSEC

CIÓ

N

% ID

EAL

CONTROL PREGUNTAS DE CONTROL Y AUDITORIA

RES

PU

ESTA

% ID

EAL


RES

PU

ESTA

% ID

EAL

100% 100% 50% 25,00% 5,00%

la política de seguridad de la información

forma parte de un documento de política

general

NO 0%existe un documento en donde se plasme la política de

seguridadNO 0

lo conocen los clientes NO 0

lo conocen los empleados NO 0

lo conoces los proveedores NO 0

el documento esta creado bajos estándares de calidad NO 0

12,50% 3,13%

se revisa en periodos cortos que el

documento este actualizadoSI 6%

esta revisión incluye las oportunidades de evaluación

para mejorar la política y el enfoque en la organizaciónNO 0

se producen cambio significativos con

frecuenciaNO 0% existen procedimientos de cambio para el documento NO 0

es claro quien es el dueño de la política NO 0%conocen los empleados quien es el responsable o dueño

de la políticaNO 0

la dirección debe aprobar la revisión de la

políticaSI 6%

la dirección conoce los posibles cambios que se puedan

hacer a la políticaNO 0


Rótulos de fila % Ideal.

NO CUMPLE 88%

CUMPLE 12%

Total general 100%


Rótulos de fila % Ideal.

NO CUMPLE 9%

CUMPLE 91%

Total general 100%

0%

GESTION POLITICA DE SEGURIDAD CHK-RES-GPS

este documento debe incluir la definición

de las responsabilidades generales y

especificas para la gestión de la seguridad

de la información

NO

POLÍTICA DE SEGURIDAD

POLÍTICA DE

SEGURIDAD DE

LA INFORMACIÓN

DOCUMENTO DE LA

POLÍTICA DE

SEGURIDAD DE LA

INFORMACIÓN

REVISIÓN DE LA

POLÍTICA DE

SEGURIDAD DE LA

INFORMACIÓN

NO CUMPLE

88%

CUMPLE 12%

Preguntas de Control y Auditoria

NO CUMPLE

9%

CUMPLE 91%

Preguntas de Riesgo y Prevención

SECCIO

N

SUBSE

CCIO

N


RESP

UEST

A

% IDEAL


RESP

UEST

A

% IDEAL

100 100 20 0,95 0,61

el proceso se aplica a las áreas indicadas NO 0

se actualizan periódicamente los procesos NO 0

el proceso se aplica a las áreas indicadas NO 0

se actualizan periódicamente los procesos NO 0

están identificados los tiempos máximos de parada de los servicios SI se revisan de manera periódica los tiempos asignados a cada incidente NO 0

están identificados los activos relacionados en los procesos críticos del negocioSI

esta actualizado el inventario de los activos o equipos que realizan las tareas criticas del

negocioSI 0,61

están debidamente organizados los incidentes SI 0,61

están debidamente registrados los incidentes SI 0,61

se actualizan periódicamente SI 0,61

las pólizas están al día en pagos SI 0,61

cubren lo necesario para continuar el negocio SI 0,61

las acciones se cumplen NO 0

las acciones se revisan periódicamente SI 0,61

los recursos financieros tienen un porcentaje extra de provisión NO 0

son de fácil aprobación y desembolso SI 0,61

son recursos actualizados NO 0

son manejados por personal idóneo SI 0,61

cuenta con recursos ambientales para una adecuada gestión de la continuidad SI 0,95 estos recursos están actualizados según normas o leyes estándares NO 0

los recursos técnicos para la seguridad de la información están actualizados SI 0,61

son manejados por personal capacitado SI 0,61

la documentación es debidamente archivada NO 0

es llevada en formatos actualizados NO 0

actualiza sus planes establecidos para llevar a cabo la continuidad del servicio NO 0 se revisan los parámetros bajo los que se actualizan estos procesos NO 0

actualiza sus procesos establecidos para llevar a cabo la continuidad del servicio NO 0 se revisan los parámetros bajo los que se actualizan estos procesos NO 0

cuenta con personal capacitado para dicha gestión SI 0,95 es personal disponible siempre que se requiere. NO 0

se realizan periódicamente SI 0,61

se verifica la integridad del mismo SI 0,61

están disponibles cuando se presenta un incidente NO 0

cuenta con sistemas de datos distribuidos SI 0,95 están siempre disponibles NO 0

cuenta con duplicación de sistemas críticos SI 0,95 se realizan pruebas para verificar los tiempos de respuesta de los mismos SI 0,61

están identificados los procesos que pueden causar interrupciones SI 0,95 se tienen medidas para mitigar los mismos SI 0,61

hay una previa evaluación de riesgos para determinar el impacto de las interrupciones.SI 0,95

según los resultados arrojados por la evaluación se toman las medidas correctivas de

manera inmediataSI 0,61

existe un plan estratégico desarrollado en base a los resultados de la evaluación de riesgos

para dar un enfoque global a la continuidad del negocio. NO 0el plan es revisado para evaluar su efectividad

SI 0,61

20 20 20

CONTINUIDAD DEL NEGOCIO Y AVALUACION DE

RIESGOS la dirección avala y aprueba un plan de gestión de continuidad del negocioSI 20

se informa en todo momento a la dirección de los resultados de la gestión de continuidadSI

20

20 5 5

están implementados los procedimientos que permiten recuperar las operaciones NO 0 se cumplen en mas del porciento estos procedimientos implementados NO 0

los lugares alternos de recuperación en que porcentaje son idénticos a los originalesNO 0

esta identificado cuando deben ser usados sabiendo que existe un sistema de backupsNO

0

las pruebas se realizan de forma regular NO 0 son analizados y retroalimentados los resultados obtenidos de estas pruebas NO 0

las pruebas se realizan de manera actualizada NO 0 los resultados de las mismas se almacenan en un lugar indicado con copia segura NO 0

20 1,43

hay condiciones para activar cada plan antes de ejecutarlos SI 2 las condiciones se cumplen a cabalidad SI 1,43

existen procedimientos de emergencia que describen las acciones a realizar tras un incidenteNO 0

estos procedimientos son revisados y actualizados periódicamenteSI

1,43

procedimientos temporales mientras finalizan los correctivosNO 0

estos procedimientos se evalúan periódicamente - se aplican en el tiempo indicado y

oportunoNO

0

están controlados estos activos NO 0

están organizados estos activos SI 1,43

están controlados estos activos SI 1,43

están organizados estos activos SI 1,43

existe un único marco de continuidad del negocio.NO 0

este marco cubre todos los sla o dispositivos que impactan directamente el negocioNO

0

es un marco coherente para determinar las prioridades de mantenimiento. NO 0 este marco es revisado de manera periódica NO 0

es un marco coherente para determinar las pruebas de mantenimiento. NO 0 este marco es revisado de manera periódica NO 0

es una infraestructura adecuada NO 0

es una infraestructura actualizada NO 0

es una infraestructura adecuada NO 0

es una infraestructura actualizada NO 0

20 2,86 2,5

existen pruebas escritas o de escritorios en diferentes escenarios NO 0 NO 0

SI 2,86 estos ambientes son adecuados para dicha actividad NO 0

0 están actualizados estos ambientes de pruebas NO 0

NO 0 estos ambientes son adecuados para dicha actividad NO 0

0 están actualizados estos ambientes de pruebas NO 0

se realizan pruebas completas con proveedores NO 0 la informacion obtenida en estas pruebas se retroalimenta con los afectados NO 0

se realizan pruebas completas con clientes NO 0 la informacion obtenida en estas pruebas se retroalimenta con los afectados NO 0

los planes de continuidad del negocio son probados con regularidad para asegurar que son

eficaces NO 0se avisa a las áreas afectadas de la realización de estas pruebas

NO0

los planes de continuidad del negocio son actualizados de manera periódica. NO 0 estas actualizaciones son revisadas y aprobadas por personal adecuado NO 0


No Cumple 54%

Cumple 46%

Total general 100%


No Cumple 95%

Cumple 5%

Total general 100%

GESTION DE LA CONTINUIDAD DEL NEGOCIO CHK-RES-GCN

SI 0,95

ESTRUCTURA PARA LA PLANIFICACION DE LA

CONTINUIDAD DEL NEGOCIO

cuenta con recursos financieros para una adecuada gestión de la continuidad

NO 0

NO 0

SI 2

SI 2

esta estructura identifica las condiciones para la activación de cada componente.

esta estructura identifica las personas responsables de la ejecución de cada componente.

cuenta con recursos técnicos para una adecuada gestión de la continuidad

cuenta con recursos técnicos para una adecuada gestión de la seguridad de la información

0,95

SI 0,95

NO 0G

E

S

T

I

O

N

D

E

C

O

N

T

I

N

U

I

D

A

D

D

E

L

N

E

G

O

C

I

O

A

S

P

E

C

T

O

S

D

E

S

E

G

U

R

I

D

A

D

D

E

L

A

i

n

f

o

r

m

a

c

i

o

n

R

M

A

C

I

O

N

,

D

E

L

A

G

E

S

T

I

O

N

D

E

L

A

C

O

N

T

I

N

U

I

D

A

D

D

E

L

N

E

G

O

C

I

O

NO 0

NO 0

0,95

SI 0,95

SI 0,95

SI 0,95

SI 0,95

SIINCLUSION DE LA SEGURIDAD DE LA

informacionRMACION EN EL PROCESO DE

GESTION DE CONTINUIDAD DEL NEGOCIO

DESARROLLO E IMPLEMENTACION DE PLANES DE

CONTINUIDAD QUE INCLUYEN LA SEGURIDAD DE

LA INFORMACIÓN

PRUEBA, MANTENIMIENTO Y REEVALUACION DE

LOS PLANES DE CONTINUIDAD DEL NEGOCIO



esta desarrollado un proceso de gestión de seguridad de la información. para la continuación

del negocio

esta implementado un proceso de gestión de seguridad de la información. para la

continuación del negocio

están identificados los incidentes que puedan llegar a causar interrupciones

tiene contratadas pólizas de seguros que respalden la continuidad del negocio

cuenta con acciones preventivas para mitigar fallas del servicio

existen ambientes de simulación y practicas para la continuidad del servicio

existen ambientes de practicas para la continuidad del servicio

cuenta con una documentación técnica de cómo tratar la continuidad del negocio

cuenta con sistemas de backups

están identificados los activos críticos necesarios para ejecutar los procesos de emergencia

están identificados los recursos críticos necesarios para ejecutar los procesos de emergencia

No Cumple

54%

Cumple 46%


No Cumple 95%

Cumple 5%


SECCIO

N

SU

BSECCIO

N

CONTROLPREGUNTAS DE CONTROL Y

AUDITORIA

RESPU

ESTA

% ID

EAL


RESPU

ESTA

% ID

EAL

100% 33% 6% 2,78% 0,93%

Se lleva esta documentación en formatos entendibles NO 0

Se lleva esta documentación en formatos

estandarizados NO 0

Se guarda copia de cada informe o documento NO 0

Se lleva esta documentación en formatos entendibles NO 0

Se lleva esta documentación en formatos

estandarizados NO 0

Se guarda copia de cada informe o documento NO 0

6% 0,67% 0,04%

Estas políticas son actualizadas NO 0,00%

Estas políticas son cumplidas por el personal

directamente implicadoNO 0,00%

Estas fuentes dan soporte legal en el momento

oportuno NO 0,00%

Estas fuentes dan soporte comercial en el momento

oportuno NO 0,00%

Se trabaja por mantener una

conciencia sobre las políticas

de proteger los dpi

SI

0,67%

Se cumple a cabalidad la protección de estas políticas

SI

0,04%

Este registro actualizado esta debidamente cuidadoSI 0,04%

Esta controlado el acceso a esta actualización SI 0,04%

Esta protegidas estas pruebas SI 0,04%

Son de fácil acceso cuando se necesiten SI 0,04%

Esta protegidas estas copias SI 0,04%

Son de fácil acceso cuando se necesiten SI 0,04%

Estos controles son implementados por personal

capacitado SI 0,04%

Esta documentada la penalización por faltar esta

norma NO 0,00%

Estos controles son implementados por personal

capacitado

NO0,00%

Esta documentada la penalización por faltar esta

norma

NO0,00%

Estas herramientas están actualizadas NO 0,00%

Son permitidas por los estándares o entes reguladores NO 0,00%

6% 0,55% 0,04%

Esta protección es adecuada SI 0,04%

Se penaliza contra esta falta NO 0,00%

Esta protección es adecuada NO 0,00%


Esta protección es adecuada NO 0,00%


Están clasificados los registros

según el tipo(contabilidad,

sistemas ,clientes, etc.) SI

0,55% Están organizados y protegidos los registros de cada

área NO

0,00%

Existe un reemplazo de los

medios de almacenamiento y

copia SI 0,55%Este reemplazo es adecuado para las labores que se

realizan en la organización NO 0,00%

Los sistemas de

almacenamiento están

regulados según las normas

regionales SI

0,55% Están bajo la ultima actualización de estas normas

regionales NO

0,00%

Los sistemas de copia están


regionales SI


regionales NO

0,00%

Los sistemas de



nacionales SI


nacionales NO

0,00%



nacionales SI


nacionales NO

0,00%

Los sistemas de



internacionales SI


internacionales NO

0,00%

CUMPLIMIENTO CHK-RES-CUM

Cuentan con herramientas de

auditoria para esta labor

Los registros importantes de

la organización están

protegidos contra perdidaLos registros importantes de


protegidos contra destrucciónLos registros importantes de


protegidos contra falsificación

Se tiene una prueba de

licencias y demás

Se tiene una copia de las

licencias y demás

Existen controles de licencias

a el máx. de usuarios

permitidos

0,55%

SI 0,55%

0,55%

NO

0,00%

NO 0,00%

0,67%

SI 0,67%

SI 0,67%

SI 0,67%

0,00

Están documentadas las

responsabilidades

contractuales

NO 0,00

Se adquiere software de

fuentes legalesSI 0,67%

Existe una política de

cumplimiento de los derechos

de propiedad intelectual

NO 0,00%

IDEN

TIF

ICACIO

N D

E L

A

LEG

ISLACIO

N A

PLIC

ABLE Están documentados los

controles específicos.NO

CU

MPLIM

IEN

TO

CU

MPLIM

IEN

TO

CO

N L

OS R

EQ

UIS

ITO

S L

EG

ALES

Existen controles para

verificar que únicamente se

instalen software autorizado

con licencia

Se lleva un registro

actualizado del material de

dpi de activos y demás

herramientas

SI

PRO

TECCIO

N D

E L

OS R

EG

ISTRO

S D

E L

A O

RG

AN

IZACIÓ

N

SI

DERECH

OS D

E P

RO

PIE

DAD

IN

TELECTU

AL (

DPI)

SI



internacionales SI


internacionales NO

0,00%

6% 6,00% 3,00%

Esta estructura esta actualizadaNO 0

Esta estructura es adecuada para los procesos de la

empresa

NO 0

6% 3,00% 1,00%

Es vigilado el uso de las

instalaciones y procesos

corporativos con el fin de

evitar una acción no

comercial y particular

SI

0,03

Las herramientas de vigilancia son adecuadas

NO 0

Estas alertas llegan en tiempo real NO 0

Se atienden en el menor tiempo posible

NO 0

6% 0,86% 0,08%

El reglamento criptográfico es

de acuerdo al margen

nacional

NO0,00% Se cumple el acuerdo criptográfico

NO 0,00%

Esta delimitado el hardware para el que aplica estas

restricciones NO0,00%

Esta delimitado el software para el que aplica estas














Existe una restricción para el

uso de la encriptación

NO0,00%

Esta delimitado el personal para el que aplica estas

restricciones

NO 0,00%

Cuenta usted con asesoría

legal para llevar a cabo

procesos de encriptación

NO 0,00% Esta asesoría esta siempre disponible para sus labores NO

0,00%

33% 17% 5,50% 1,83%

Se realiza una revisión

periódica dentro de todas las

áreas de la organización para

verificar el cumplimiento de

las normas y políticas de

seguridad

NO 0

Que tanto tiempo se interrumpe el funcionamiento de

cada área cuando se revisa si cumplen con las políticas

establecidas

NO 0

Están determinadas acciones

correctivas necesarias para

manejar incidentes

correspondientes a la

criptografía

NO 0

Están actualizadas estas acciones

NO 0

Se revisa la acción correctiva

que se ejecuta

NO 0

Esa revisada o controlada por personal capacitado

NO 0

17% 8,50% 2,83%

Los s.i son revisados

periódicamente para el

cumplimiento de las normas

de seguridad.

NO 0

Se revisan por personal capacitado para esta labor

NO

0

Estos controles son actualizados NO 0

Estos controles son revisados de manera periódica NO 0

33% 17% 2,36% 0,24%

La implementación de

controles de auditoria se

realiza bajo una planificación

previa

SI 2,36%

Se revisa la forma en que se planifica la

implementación de estos controles

SI 0,24%

Existe una restricción a la

exportación de software de

computadores para ejecutar

funciones criptográficas


importación de hardware de




importación de software de



Los controles de

cumplimiento técnico se

llevan a cabo bajo personas

competentes y autorizadas.

Se cuenta con una estructura

de gestión o control que

proteja datos y privacidad de

la información personal.

CU

MPLIM

IEN

TO

CO

N L

AS P

OLIT

ICAS Y

NO

RM

AS D

E S

EG

URID

AD

VERIF

ICACIO

N D

E

CU

MPLIM

IEN

TO

TECN

ICO

0,00%

NO 0,00%

SI

0,085

0,00%

NO 0,00%

REG

LAM

EN

TACIO

N D

E L

OS C

ON

TRO

LES C

RIP

TO

GRAFIC

OS

NO

CO

NTRO

LES D

E A

UD

ITO

RIA

DE L

OS S

.I

0

PRO

TECCIO

N D

E L

OS D

ATO

S Y

PRIV

ACID

AD

DE L

A

INFO

RM

ACIO

N P

ERSO

NAL

NO 0

NO

Se envían alertas a los

usuarios cuando los sistemas

detectan que se va a realizar

una acción no comercial


exportación de hardware de



CU

MPLIM

IEN

TO

CU

MPLIM

IEN

TO

CO

N L

OS R

EQ

UIS

ITO

S L

EG

ALES

CU

MPLIM

IEN

TO

DE L

AS P

OLIT

ICAS Y

LAS N

ORM

AS D

E S

EG

URID

AD

Y

CU

MPLIM

IEN

TO

TECN

ICO

PRO

TECCIO

N D

E L

OS R

EG

ISTRO

S D

E L

A O

RG

AN

IZACIÓ

N

CO

NSID

ERACIO

NES D

E A

UD

ITO

RIA

DE S

ISTEM

AS D

E IN

FO

RM

ACIO

N

PREVEN

CIO

N D

EL U

SO

IN

AD

ECU

AD

O D

E

LO

S S

ERVIC

IOS D

E P

RO

CESAM

IEN

TO

DE L

A

INFO

RM

ACIO

N

NO

Los requisitos de auditoria se

planifican acorde con la

dirección

SI 2,36%

Se retroalimenta las métricas de planificación con la

dirección

SI 0,24%

Las verificaciones las realiza

en modo solo lectura

SI 2,36%

Se controla quien realiza estas verificaciones

SI 0,24%

Se almacena la información de manera adecuada NO 0,00%

Se procesa la información de manera adecuada NO 0,00%


Se procesa la información de manera adecuada NO 0,00%


Se procesa la información de manera adecuada NO 0,00%La(s) persona(s) encargadas

de la auditoria son

independientes de las

actividades auditadas NO 0

Son personas especializadas - retroalimentan de

manera fidedigna la información encontrada NO

0,00%

17% 8,50% 2,13%

El acceso es controlado de manera periódica SI 0,00%

El acceso es auditado de manera periódica SI 0,00%

El acceso es controlado de manera periódica

SI 2,13%

El acceso es auditado de manera periódica

SI 2,13%


No Cumple 54%

Cumple 46%

Total general 100%


No Cumple 95%

Cumple 5%

Total general 100%

El acceso a las herramientas

del sistema están protegidas

para evitar mal uso.

El acceso a los datos del

sistema están protegidos para

evitar mal uso

Se documentan todos los

requisitos

Se documentan todos los

procedimientos

Se documentan todas las

responsabilidades

0



PRO

TECCIO

N D

E L

AS

HERRAM

IEN

TAS D

E A

UD

ITO

RIA

DE

LO

S S

.I

SI

NO 0

SI 8,50%

8,50%

CO

NTRO

LES D

E A

UD

ITO

RIA

DE L

OS S

.I

NO 0

NO

CU

MPLIM

IEN

TO

CO

NSID

ERACIO

NES D

E A

UD

ITO

RIA

DE S

ISTEM

AS D

E IN

FO

RM

ACIO

N

No Cumple

54%

Cumple 46%


No Cumple 95%

Cumple 5%


SECCION SUBSECCION GESTION PREGUNTAS DE CONTROL Y AUDITORIA PREGUNTAS DE RIESGOS Y PREVENCION

100% 50% 6% 1,25% 0,31%

existe una estructura de gestión para iniciar y

controlar la implementación de la seguridad de la

información dentro de la organización

SI 1,25%existe una asesoría externa especializada en

seguridad de la informaciónNO 0,00%

existe un responsable para aprobar cambios SI 1,25%existen grupos o especialistas externos en

seguridadNO 0,00%

se coordina y revisa la implementación de la

seguridad en la organizaciónNO 0,00% la dirección apoya las iniciativas de seguridad SI 0,31%

la dirección asegura que las metas de la seguridad

de la información estén identificadas y que

satisfacen

NO 0,00% las metas son alcanzables SI 0,31%

las necesidades de la organización están integradas

en los procesos de seguridad de la informaciónNO 0,00% 0,00%

6% 3,13% 0,78%

las actividades de la seguridad de la información

son coordinadas por los representantes de todas las

áreas de la organización

SI 3,13%en la coordinación participan las cabezas de cada

áreaSI 0,78%

SI 3,13%

esta coordinación debe: garantizar que las

actividades de seguridad se efectúan en

cumplimiento de la política de seguridad de

información

SI 0,78%

SI 3,13%

identificar la forma de manejar los

incumplimientos, aprobar metodologías y procesos

como la evaluación

SI 0,78%

SI 3,13%

se promueve la educación, formación y la

concientización de la seguridad de la información

en toda la organización

SI 0,78%

6% 2,08% 0,69%

la asignación de responsabilidades para la seguridad

de la información se debe realizar de acuerdo a la

política de la seguridad de la información

SI 2,08%

se deben definir claramente las responsabilidades

locales para la protección de activos y para realizar

procesos específicos de seguridad

SI 0,69%

el director de seguridad de la información tiene

como responsabilidad el desarrollo e

implementación de la seguridad

NO 0,00%

los individuos con responsabilidades de seguridad,

pueden delegar las labores de seguridad a otros y

realizan el seguimiento respectivo

NO 0,00%

los recursos y la implementación de controles

también están a su cargo o aquí actúan los

directores individuales

SI 2,08%

los activos y los procesos de seguridad asociados a

cada sistema, son áreas responsables de los

individuos a cargo de la seguridad de la información

SI 0,69%

6% 6,25% 6,25%

PROCESOS DE

AUTORIZACIÓN

PARA LOS

SERVICIOS DE

PROCESAMIENTO

DE INFORMACIÓN

existe un proceso de autorización de la dirección

para nuevos servicios de procesamiento de

información

SI 6,25%

los servicios nuevos para el usuario apropiado,

deben ser autorizados por la dirección y el director

responsable de mantener el entorno de seguridad

del sistema

SI 6,25%

6% 1,25% 0,31%

existen requisitos de confidencialidad o acuerdos de

no-divulgaciónSI 1,25% esta definida que información se debe proteger SI 0,31%

conoce las necesidades de la organización para la

protección de la informaciónSI 1,25%

conoce las vulnerabilidades de la información

critica de la informaciónSI 0,31%

los acuerdos de confidencialidad cumplen todas las

leyes y las regulaciones que se aplican en la

jurisdicción correspondiente

SI 1,25%si no cumple con las normas o leyes conoce las

sancionesNO 0,00%

los acuerdos de confidencialidad protegen la

información de la organización e informan a los que

suscriben el acuerdo, sus responsabilidades

SI 1,25%existen procedimiento para la terminación de

acuerdos de confidencialidadNO 0,00%

utiliza y divulga información de forma responsable

y autorizadaSI 1,25% 0,00%

6% 2,08% 1,04%

la organización tiene procedimientos establecidos

que especifiquen cuando contactar a las

autoridades

NO 0,00%

las organizaciones sometidas a ataques

provenientes de internet, existen proveedores

externos para tomar acción sobre estos ataques

SI 1,04%

conoce los organismos de control a los que debe

contactarSI 2,08%

es necesario realizar mantenimiento a estos

contactos para dar soporte a la gestión de

incidentes de seguridad de la información

NO 0,00%

se deben reportar los incidentes que afecten la

seguridad de la informaciónNO 0,00%

6% 0,89% 0,13%

existen listas de contactos apropiados con grupos

de interés especiales, otros foros especializados en


SI 0,89%

los acuerdos que se establecen para compartir

información con el objeto de mejorar la son

controlados

NO 0,00%

están permitidas las asociaciones de profesionales

dentro de la organizaciónNO 0,00%

se identifican los riesgos de la creación de grupos

informativosSI 0,13%

tiene el conocimiento sobre las mejores prácticas

de la actualización de la informaciónSI 0,89% actualiza con frecuencia la información del grupo SI 0,13%

garantiza que la comprensión del entorno de

seguridad de la información es actual completaNO 0,00%

la información corresponde a lo que necesita el

grupo de informaciónSI 0,13%

recibe advertencias oportunas de alertas, avisos y

parches relacionados con ataques y vulnerabilidadesNO 0,00% tiene algún procedimiento para mitigar las alertas SI 0,13%

existe asesoría especializada sobre seguridad de la

informaciónNO 0,00%

aplica recomendaciones de la asesoría de la

seguridadSI 0,13%

comparte o intercambia información acerca de

nuevas tecnologías, productos, amenazas o

vulnerabilidades

SI 0,89%

aplica la información de estos foros para el

correcto funcionamiento de la protección de la

información

SI 0,13%

6% 1,04% 0,21%

el enfoque de la organización para la gestión de la

seguridad de la información y su implementaciónSI 1,04%

los individuos encargados de realizar esta revisión

deben tener experiencia, y conocimientos en cada

área involucrada

SI 0,21%

ACUERDOS

SOBRE

CONFIDENCIALID

AD

CONTACTO CON

LAS

AUTORIDADES

COORDINACIÓN

DE LA

SEGURIDAD DE

LA INFORMACIÓN

es necesario utilizar grupos con funciones separadas

ASIGNACIÓN DE

RESPONSABILIDA

DES PARA LA

SEGURIDAD DE

LA INFORMACIÓN

CONTACTO CON

LAS

AUTORIDADES

GESTION ORGANIZACIÓN SEGURIDAD DE LA INFORMACION CHK-RES-GOSI

O

R

G

A

N

I

Z

A

C

I

Ó

N

D

E

S

E

G

U

R

I

D

A

D

D

E

L

A

I

N

F

O

R

M

A

C

I

Ó

N

O

R

G

A

N

I

Z

A

C

I

Ó

N

I

N

T

E

R

N

A

.

COMPROMISO DE

LA DIRECCIÓN

CON LA

SEGURIDAD DE

LA INFORMACIÓN

REVISIÓN

INDEPENDIENTE

DE LA

SEGURIDAD DE

LA INFORMACIÓN

se deberían revisar independientemente a

intervalos planificados o cuando ocurran cambios

significativos

SI 1,04%los resultados de cada una de las revisiones que se

realicen se deben conservarSI 0,21%

se revisa de manera autónoma la implementación

de seguridad de la informaciónSI 1,04%

las técnicas de revisión pueden incluir entrevistas

de la dirección, verificación de registros o revisiónSI 0,21%

la dirección pone en marcha la revisión

independiente de los documentos de política de

seguridad

NO 0,00%

esta revisión independiente es necesaria para

asegurar la eficacia, idoneidad y propiedadNO 0,00%

existe enfoque de la organización para la gestión

de la seguridad de la informaciónNO 0,00% el enfoque esta dado según el corre del negocio SI 0,21%

5

0 17% 5,56% 0,69%

existe la posibilidad de reducir la seguridad de la

información y de los servicios de procesamiento de

información introduciendo productos o servicios de

partes externas

SI 5,56%se controla todo acceso a los servicios de

procesamiento de información por partes externasSI 0,69%

se identifica y aplican los controles para

administrar el acceso de la parte externa a los

servicios de procesamiento de información

SI 5,56%

es necesario identificar los riesgos para la

información y los servicios de procesamiento de

información

SI 0,69%

NO 0,00%identifica los controles apropiados antes de

autorizar el accesoSI 0,69%

NO 0,00%los servicios de procesamiento de información

requieren acceso la parte externaSI 0,69%

NO 0,00%tipo de acceso que requiere: fisiológico, conexión

de red entre las redes de la organizaciónSI 0,69%

NO 0,00%

conoce los controles necesarios para proteger la

información que no debe ser acezada por partes

externas

SI 0,69%

NO 0,00%

el personal de la parte externa involucrado en

manejar la información de la organización debe ser

capacitado

NO 0,00%

NO 0,00%

realizan contratación externa de servicios, sistemas

de tecnología de información, servicios de

recolección de datos

NO 0,00%

NO 0,00%existe limpieza, alimentación y otros servicios de

soporte contratados externamenteNO 0,00%

17% 5,67% 1,13%

todos los requisitos de seguridad identificados se

deben abordan antes de dar acceso a los clientesSI 5,67%

es necesario considerar los siguientes términos

para abordar la seguridad antes de dar accesoSI 1,13%

se abordan los activos o la información de la

organizaciónSI 5,67%

abordan los clientes a cualquiera de los activos de

la organizaciónSI 1,13%

NO 0,00%solicita documentación de experiencia y

confidencialidad de terceras partesSI 1,13%

NO 0,00%

existe protección de activos incluyendo

procedimientos para proteger los activos de la

organización

SI 1,13%

SI 5,67%conoce el derecho de propiedad intelectual(dpi) y

asignación de derechos de copia. SI 1,13%

17% 2,13% 0,30%

exigen que todos los acuerdos con terceras partes

que implican acceso, procesamiento, comunicación

o gestión de la información cuenten con la

seguridad pertinente

SI 2,13%en el acuerdo debe estar documentada la política

de seguridad de la informaciónSI 0,30%

los acuerdos pueden variar considerablemente para

diferentes organizaciones y entre las terceras

partes

SI 2,13%existen controles para asegurar la protección del

activo incluyendo procedimientos para protegerloSI 0,30%

conoce los riesgos y requisitos de seguridad

identificados en los acuerdosSI 2,13%

implementan formación del administrador en

métodos, procedimientos y seguridad de la

información

NO 0,00%

en caso de que la gestión de la seguridad de la

organización sea contratada externamente

identifica los acuerdos a tener en cuenta

SI 2,13%

se debe asegurar la concientización del usuario

sobre responsabilidades y aspectos de seguridad de

la información

SI 0,30%

abarcar la forma en que la tercera parte

garantizará la seguridad adecuada según la

evaluación de riesgos y vulnerabilidades

NO 0,00%existe disposiciones para la transferencia de

personal, cuando es apropiadoNO 0,00%

es necesario considerar en el acuerdo los

procedimientos para el procesamiento continuo en

caso de que la tercera parte

SI 2,13%es clara la estructura de formatos acordados para

la presentación de los informes

no pueda suministrar sus servicios SI 2,13%

las terceras partes pueden desarrollar acuerdos e

imponerlos a la organizaciónNO 0,00%

es claro el proceso específico para la gestión de

cambiosSI 0,30%


No Cumple 20%

Cumple 80%

Total general 100%

Rótulos de fila % IDEAL2

No Cumple 74%

Cumple 26%

Total general 100% 74



O

R

G

A

N

I

Z

A

C

I

Ó

N

D

E

S

E

G

U

R

I

D

A

D

D

E

L

A

I

N

F

O

R

M

A

C

I

Ó

N

O

R

G

A

N

I

Z

A

C

I

Ó

N

I

N

T

E

R

N

A

.

SI 0,30%

NO 0,00%

P

A

R

T

E

S

E

X

T

E

R

N

A

S

IDENTIFICACIÓN

DE LOS RIESGOS

RELACIONADOS

CON LAS PARTES

EXTERNAS

si se aplica un alto grado de contratación externa,

las organizaciones pueden enfrentar riesgos

asociados con procesos, gestión y comunicación

REVISIÓN

INDEPENDIENTE

DE LA

SEGURIDAD DE

LA INFORMACIÓN

existen controles de versiones sobre los

documentos de la política de seguridad de la

información

ABORDAJE DE LA

SEGURIDAD

CUANDO SE

TRATA DE LOS

CLIENTESlos acuerdos con las partes externas también

pueden involucrar a otras partes

ABORDAJE DE LA

SEGURIDAD EN

LOS ACUERDOS

CON TERCERAS

PARTES

No Cumple

20%

Cumple 80%


No Cumple

74%

Cumple 26%


100% 50% 17% 4,17% 1,04%

están organizados los activos designados a

la compañíaSI 4,17%

hay alguien encargado de los

activos en la ausencia de los

encargados

NO 0,00%

si llegan activos, se encuentran en el

inventarioSI 4,17% se conoce los datos de cada activo NO 0,00%

si la el encargado del activo no se

encuentra, se tiene un custodio que cuide

el activo

NO 0,00%



encargados

NO 0,00%

se identifica las reglas sobre el uso

aceptable de los activosSI 4,17%

si llegan activos, se encuentran en

el inventarioSI 1,04%

17% 3,33% 0,83%

están organizados los activos designados a

la compañíaSI 3,33%



encargados

NO 0,00%

se garantiza que la información de los

activos se clasifica correctamenteSI 3,33%

están organizados los activos

designados a la compañía NO0,00%

se definen las restricciones y

clasificaciones de acceso, teniendo en

cuenta las políticas aplicables sobre el

control de acceso

SI 3,33%se identifica las reglas sobre el uso


se revisa periódicamente las restricciones

y clasificaciones de acceso, teniendo en

cuenta las políticas aplicables sobre el

control de acceso

SI 3,33% 0,00%

si la el encargado del activo no se

encuentra, se tiene un custodio que cuide

el activo

NO 0,00%



encargados

NO 0,00%

17% 2,08% 0,35%


aceptable de la informaciónSI 2,08%

están claramente identificadas

todas las reglas sobre como debe

manejarse los activos de la

compañía

NO 0,00%



se documenta las reglas sobre el uso

aceptable de la información

SI

2,08%

se tiene documentando todas las

reglas sobre como debe manejarse

los activos de la compañía

NO 0,00%

se documenta las reglas sobre el uso


se implementa las reglas sobre el uso


se tienen implementadas todas las

reglas sobre como debe manejarse

los activos de la compañía

NO 0,00%

se implementa las reglas sobre el uso

aceptable de la informaciónSI 2,08%

SI 2,08%

se aplican debidamente las políticas

de uso móviles por fuera de la

entidad

NO 0,00%

SI 2,08%se toman medidas pertinentes en

caso de incumplir estas políticasNO 0,00%

el director correspondiente da aporta las

reglas o directrices especificas

NO 0,00%

el jefe agrega las políticas que solo

competen a cada sección de la

organización

NO 0,00%

50% 25% 8,33% 0,93%

se encuentra protegida la


existen directrices de clasificación

de la informaciónSI 0,93%



están consideradas las necesidades

de la compañía en cuanto a sus

requisitos legales

SI 0,93%


de la informaciónNO 0,00%



están consideradas las necesidades

de la compañía en cuanto a la

importancia de la compañía

SI 0,93%


de la informaciónNO 0,00%



25% 12,50% 3,13%

el proceso de etiquetado

comprende los activos físicamenteSI 3,13%

GESTION DE ACTIVOS CHK-RES-GAC

se desarrolla un conjunto de

procedimientos adecuados para el

etiquetado y el manejo de la información

SI 12,50%

se clasifica la información por la

importancia para la compañíaSI 8,33%

existen políticas para el uso de dispositivos

móviles, especialmente los que se utilizan

por fuera de la compañía

CLASIFICACIÓN

DE LA

INFORMACIÓN

DIRECTRICES DE

LA INFORMACIÓN

se clasifica la información en términos de

su valor

ETIQUETADO Y

MANIPULACIÓN

DE LA

INFORMACIÓN

SI 8,33%

se clasifica la información por sus

requisitos legalesSI 8,33%

PROPIEDAD DE

LOS ACTIVOS

USO ACEPTABLE

DE LOS ACTIVOS

GESTIÓN DE

ACTIVOS

RESPONSABILIDA

D DE ACTIVOS

INVENTARIO DE

ACTIVOS


comprende los activos

electrónicamente

SI 3,13%


comprende los activos físicamenteSI 3,13%


comprende los activos

electrónicamente

SI 3,13%


No Cumple 8%

Cumple 92%

Total general 100%


No Cumple 83%

Cumple 17%

Total general 100%



se desarrolla un conjunto de



SI 12,50%

se implementa un conjunto de



SI 12,50%

CLASIFICACIÓN

DE LA

INFORMACIÓN

ETIQUETADO Y

MANIPULACIÓN

DE LA

INFORMACIÓN

GESTIÓN DE

ACTIVOS

No Cumple

8%

Cumple 92%


No Cumple

83%

Cumple 17%


SECCIÓ

N

SUBSE

CCIÓ

N


RESP

UEST

A

% IDEAL


RESP

UEST

A

% IDEAL

100% 33% 11,11% 0,93% 0,04%

se definen roles para los empleados de acuerdo con la

política de seguridad de información de la compañíaSI 0,93% se ejecutan los roles SI 0,04%

se definen roles para los contratistas de acuerdo con la

política de seguridad de información de la compañíaSI 0,93% se ejecutan los roles SI 0,04%

se definen roles para los usuarios de terceras partes de

acuerdo con la política de seguridad de información de

la compañía

SI 0,93% se ejecutan los roles SI 0,04%

son documentos estandarizados SI 0,04%

hay un control de acceso a los documentos SI 0,04%





se verifica que se cumpla las

responsabilidades de cada empleadoSI 0,04%

se toman las medidas pertinentes en caso

de que un empleado no cumpla con la

responsabilidad

SI 0,04%





responsabilidad

SI 0,04%





responsabilidad

SI 0,04%

son documentos estandarizados NO 0,00%

hay un control de acceso a los documentos NO 0,00%





3,70% 0,62%

se tiene en cuenta la legislación

correspondiente a la privacidadSI 0,62%

se tiene en cuenta la protección de los

datos personalesNO 0,00%


correspondiente a la privacidadNO 0,00%




correspondiente a la privacidadNO 0,00%



3,70% 0,62%

los términos de acuerdo reflejan la

política de seguridad de la compañíaNO 0,00%

los empleados firman un acuerdo de

confidencialidad cuando tienen acceso a

la información de la entidad

SI 0,62%


política de seguridad de la compañíaNO 0,00%

los contratistas firman un acuerdo de

confidencialidad cuando tienen acceso a

la información de la entidad

SI 0,62%


política de seguridad de la compañíaSI 0,62%

los usuarios de terceras partes firman un

acuerdo de confidencialidad cuando

tienen acceso a la información de la

entidad

SI 0,62%

11,11% 1,85% 0,21%

los empleados están informados sobre las

funciones respecto a la seguridad de la

información antes de que se les otorgue

acceso a la misma

SI 0,21%


responsabilidades respecto a la

seguridad de la información antes de que

se les otorgue acceso a la misma

SI 0,21%




acceso a la misma

SI 0,21%





SI 0,21%




acceso a la misma

SI 0,21%





SI 0,21%

1,85% 0,17%

los empleados están motivados a aplicar

la norma de seguridad según los

procedimientos establecidos por la







la dirección exige a los usuarios de terceras partes que

apliquen la seguridad según los procedimientos

establecidos por la compañía

la dirección exige a los empleados que apliquen la

seguridad según los procedimientos establecidos por la

compañía

la dirección exige a los contratistas que apliquen la

seguridad según las políticas establecidos por la

compañía

la dirección exige a los contratistas que apliquen la

seguridad según los procedimientos establecidos por la

compañía

la dirección exige a los usuarios de terceras partes que

apliquen la seguridad según las políticas establecidos

por la compañía

1,85% SI

los empleados estuvieron de acuerdo y firman los

términos y condiciones de su contrato laboral

los contratista estuvieron de acuerdo y firman los términos

y condiciones de su contrato laboral

los usuarios de terceras partes estuvieron de acuerdo y

firman los términos y condiciones de su contrato laboralSI 3,70%

la dirección exige a los empleados que apliquen la

seguridad según las políticas establecidos por la

compañía

se documentan responsabilidades para los usuarios de

terceras partes de acuerdo con la política de seguridad

de información de la compañía

se realizan verificaciones de los antecedentes a los

candidatos a ser empleados de la compañía

NO 0,00%


candidatos a ser contratistas de la compañía


candidatos a ser usuarios de terceras partes de la

compañía

3,70%

SI 3,70%

se documentan los roles para los empleados de acuerdo

con la política de seguridad de información de la

compañía

se documentan los roles para los contratistas de acuerdo

con la política de seguridad de información de la

compañía

se documentan los roles para los usuarios de terceras

partes de acuerdo con la política de seguridad de

información de la compañía

se definen responsabilidades para los empleados de


la compañía

se definen responsabilidades para los contratistas de


la compañía

SI 0,93%

SI 0,93%

se definen responsabilidades para los usuarios de

terceras partes de acuerdo con la política de seguridad

de información de la compañía

se documentan responsabilidades para los empleados de


la compañía

se documentan responsabilidades para los contratistas de


la compañía

SI 1,85%

SI

S

E

G

U

R

I

D

A

D

D

E

L

O

S

R

E

C

U

R

S

O

S

H

U

M

A

N

O

S

A

N

T

E

S

D

E

L

A

C

O

N

T

R

A

T

A

C

I

Ó

N

L

A

B

O

R

A

L

ROLES Y

RESPONSABILIDA

DES

TÉRMINOS Y

CONDICIONES

LABORALES

SI 0,93%

SI 0,93%

SI 0,93%

SI 0,93%

SELECCIÓN

SI 3,70%

SI 0,93%

SI 0,93%

SI

D

U

R

A

N

T

E

L

A

V

I

G

E

N

C

I

A

D

E

L

C

O

N

T

R

A

T

O

L

A

B

O

R

A

L

RESPONSABILIDA

DES DE LA

DIRECCIÓN

SI 3,70%

SI 3,70%

SI 0,21%

NO 0,00%

SI 1,85%

NO 0,00%

SI 0,21%

0,21%

SI 1,85%

GESTION SEGURIDAD DE RRHH CHK-RES-GRRHH

las actividades de concientización son

pertinentes a su función desempeñadaNO 0,00%

las actividades de formación sobre

seguridad son pertinentes a su función

desempeñada

NO 0,00%





desempeñada

NO 0,00%





desempeñada

NO 0,00%





desempeñada

NO 0,00%





desempeñada

NO 0,00%

hay un proceso disciplinario para los empleados que

hayan cometido alguna violación de la seguridadNO 0,00%

se verifica antes que se haya presentado

la violación antes de ejecutar el proceso

disciplinario

NO 0,00%

11,11% 0,06 5,56%

se definen claramente las responsabilidades para llevar

a cabo la terminación o cambio de la contratación

laboral

SI 0,06%

se asigna claramente las responsabilidades para llevar a

cabo la terminación o cambio de la contratación laboralSI 0,06%

se formaliza el proceso de terminación

para incluir la devolución del software

previamente publicado

NO


para incluir la devolución de los

documentos corporativos?

NO


para incluir la devolución los equiposNO




NO



documentos corporativos

NO






NO



documentos corporativos

NO



los derechos de acceso de los empleados a la

información se retiran al final su contratación laboral,

contrato o acuerdo

NO 0,00% NO

los derechos de acceso de los empleados a los servicios

de procesamiento de información se retiran al final su

contratación laboral, contrato o acuerdo

SI 1,85% NO

los derechos de acceso de los contratistas a la

información se retiran al final su contratación laboral,

contrato o acuerdo

SI 1,85% NO

los derechos de acceso de los contratistas a los servicios

de procesamiento de información se retiran al final su

contratación laboral, contrato o acuerdo

SI 1,85% NO

los derechos de acceso de los usuarios de terceras partes

a la información se retiran al final su contratación

laboral, contrato o acuerdo

SI 1,85% NO

los derechos de acceso de los usuarios de terceras partes

a los servicios de procesamiento de información se

retiran al final su contratación laboral, contrato o

acuerdo

SI 1,85% NO 0,62%


No Cumple 42%

Cumple 58%

Total general 100%

Rótulos de fila % IDEAL2

No Cumple 23%

Cumple 6%

Total general 28%

si la decisión es por parte del empleado

los derechos de los empleados se retiran

antes de la finalización o cambio del

contrato laboral

si la decisión es por parte del contratista

los derechos de los empleados se retiran

antes de la finalización o cambio del

contrato laboral

si la decisión es por parte de los usuarios

de terceras partes los derechos de los

empleados se retiran antes de la

finalización o cambio del contrato laboral

todos los empleados de la organización, cuando sea

pertinente recibieron adecuada en concientización y

actualizaciones regulares en los procedimientos respecto

a sus funciones laborales

todos los empleados deben devolver todos los activos

pertenecientes a la organización que estén a cargo para

poder finalizar su contratación laboral, contrato o

acuerdo

todos los contratistas deben devolver todos los activos

pertenecientes a la organización que estén a cargo para

poder finalizar su contratación laboral, contrato o

acuerdo?

todos los usuarios de terceras partes deben devolver

todos los activos pertenecientes a la organización que

estén a cargo para poder finalizar su contratación

laboral, contrato o acuerdo

los cambios en la responsabilidad o en el

contrato laboral son gestionados como

terminación de responsabilidad o contrato

laboral







actualizaciones regulares en las políticas respecto a sus

funciones laborales







actualizaciones regulares en las políticas respecto a sus

funciones laborales

NO 0,00%

NO

S

E

G

U

R

I

D

A

D

D

E

L

O

S

R

E

C

U

R

S

O

S

H

U

M

A

N

O

S

PROCESO

DISCIPLINARIO

5,56%

NO 0,00%

D

U

R

A

N

T

E

L

A

V

I

G

E

N

C

I

A

D

E

L

C

O

N

T

R

A

T

O

L

A

B

O

R

A

L

SI 1,85%



5,56%

5,56%

SI 3,70%

5,56%

0,00%

DEVOLUCIÓN DE

ACTIVOS

T

E

R

M

I

N

A

C

I

Ó

N

O

C

A

M

B

I

O

D

E

L

A

C

O

N

T

R

A

T

A

C

I

Ó

N

L

A

B

O

R

A

L

RESPONSABILIDA

DES EN LA

TERMINACIÓN

RETIRO DE LOS

DERECHOS DE

ACCESO

0,00%

NO 0,00%

NO 0,00%

0,00%

0,00%

SI 3,70%

0,00%

NO

No Cumple 42% Cumple

58%


No Cumple 80%

Cumple 20%


SECCIÓ

N

SU

BSECCIÓ

NCONTROL PREGUNTAS DE CONTROL Y AUDITORIA

RESPU

ESTA

% ID

EAL


RESPU

ESTA

% ID

EAL

100% 50% 8,33% 1,19% 0,17%

PERÍMETRO DE

SEGURIDAD FÍSICA

la estructura locativa cuenta con algún nivel de seguridad

para impedir acceso a personal no autorizadoSI 1,19%

tienen alarmas en puertas y ventajas en caso de intento de rompimiento de los

mismosSI 0,17%

CONTROLES FÍSICOS DE

ENTRADA

tienen algún medio de control (tarjetas inteligentes,

ingreso con clave o tras medios) de ingreso al centro de

datos

SI 1,19%se tiene registro del personal que ingresa al centro de datos (empleado,

proveedor, contratista, cliente, etc.).SI 0,17%

SEGURIDAD DE

OFICINAS, DESPACHOS E

INSTALACIONES

todas las personas (visitantes, clientes, proveedores,

contratistas), tienen conocimiento de la ubicación física

del centro de datos

SI 1,19%el personal que entra al centro de datos conoce los controles por los tiene que

pasar antes de llegar al centro de datosSI 0,17%

tienen un procedimiento que indique que hacer en casos

de emergencia o desastreSI 1,19% los directivos tienen conocimiento de dicha política NO 0,00%

tienen una política divulgada de procedimientos en caso

de emergencia o desastreSI 1,19%

los responsables tienen claridad del procedimiento en caso de emergencia o

desastreSI 0,17%

TRABAJO EN ÁREAS

SEGURAS

supervisan las labores específicas del personal

(contratista, proveedor y personal no autorizado) que

ingresa al centro de datos

SI 1,19%

tienen una política donde restrinjan a el personal que desarrollan actividades

especificas (contratista, proveedor y persona no autoriza) el acceso de

material fotográfico, grabación, video, audio, dispositivos móviles otro

elemento que pueda poner en peligro el centro de datos al personal

SI 0,17%

ÁREAS DE ACCESO

PUBLICOla recepción esta alejada del centro de datos SI 1,19% la correspondencia que llega es registrado e inspeccionado SI 0,17%

5

0

%

7,14% 1,02% 0,15%

PROTECCIÓN DE

EQUIPOS

monitorean los dispositivos de ventilación, humedad y

temperatura del centro de datosSI 1,02%

hay una persona responsable de lleva el registro constante de

mantenimientos de dispositivos de ventilación, humanidad y temperaturaSI 0,15%

INSTALACIONES DE

SUMINISTROS

manejan ups ó planta eléctrica que permita sustituir el

fluido eléctrico en caso de caída del servicio que presta

el proveedor

SI 1,02% se hace monitoreo y seguimiento del estado de las ups ó planta eléctrica SI 0,15%

SEGURIDAD DEL

CABLEADO

el cableado de datos esta separado del cableado

eléctricoSI 1,02% tienen plano del cableado de datos y eléctrico SI 0,15%

MANTENIMIENTO DE LOS

EQUIPOS

se tiene una bitácora actualizada de los mantenimientos

de los servidoresSI 1,02% se tiene registro de las fallas de los mantenimientos SI 0,15%

SEGURIDAD DE LOS

EQUIPOS FUERA DE LAS

INSTALACIONES

se tiene un procedimiento acerca de la salida de equipos

fuera de las instalaciones de quintecSI 1,02% el seguro contratado cubre los equipos que están fuera de la compañía. SI 0,15%

REUTILIZACIÓN O

RETIRADA SEGURA DE

EQUIPOS

tienen una política para reutilización o reasignación de

equiposNO 0,00% realizan backups antes de reutilizar un equipos en forma segura los equipos SI 0,15%

RETIRADA DE MATERIALES

PROPIEDAD DE LA

EMPRESA

todo personal esta autorizado a retirar material o

equipos propiedad de la empresaNO 0,00% se hace registro de todos los elementos que entran y salen de la empresa SI 0,15%

Etiquetas de fila % IDEAL

No Cumple 87%

Cumple 13%

Total general 100%


No Cumple 98%

Cumple 2%

Total general 100%

GESTION DE SEGURIDAD FISICA Y EL ENTORNO CHK-RES-SFE


S

E

G

U

R

I

D

A

D

F

Í

S

I

C

A

Y

D

E

L

E

N

T

O

R

N

O

Á

R

E

A

S

S

E

G

U

R

A

S

PROTECCIÓN CONTRA

LAS AMENAZAS

EXTERNAS Y DE ORIGEN

AMBIENTAL

S

E

G

U

R

I

D

A

D

D

E

L

O

S

E

Q

U

I

P

O

S


No Cumple

87%

Cumple

13%


No Cumple

98%

Cumple 2%


SEC

CIÓ

N TIENEN CONTROL

CONSTANTE DEL

SOFTWARE DE

APLICACIÓN

TIENEN PROCEDIMIENTOS DE BACKUPS

GESTIÓN DE

COMUNICACIONES

OPERACIONES

MANEJAN UN

DIRECTORIO DE

CONTACTOS DE

SOPORTE EN

CASO DE

EMERGENCIA Ò

DESASTRE

RESPONSABILIDA

DES Y

PROCEDIMIENTOS

DE OPERACIÓN

PREGUNTAS DE

RIESGOS Y

PREVENCIÓN

DOCUMENTACIÓ

N DE LOS

PROCEDIMIENTOS

DE OPERACIÓN

% ID

EA

L

DOCUMENTACIÓN DE LOS

PROCEDIMIENTOS DE OPERACIÓN

responsabilidad de

tareasSI 0,36%

manejan un directorio

de contactos de

soporte en caso de

emergencia ò desastre

SI 0,04%

tienen procedimientos

de seguridad para la

protección de

información

NO 0,00%

aplica los

procedimientos de

seguridad para la

protección de

información

NO 0,00%



protección de

información

SI 0,36%

aplica los

procedimientos de

seguridad para la

protección de

información

SI 0,04%

SI 0,36%

los usuarios están

perfilados en ingreso

al sistema, para reducir

error

SI 0,04%

SI 0,36%

tienen niveles de

seguridad para la

protección de

información

SI 0,04%

identifican claramente

el grado de

separación del centro

de datos y oficinas

operativas

SI 0,36%

los datos sensibles se

copian en el entorno

de prueba

SI 0,04%



protección de

información

SI 0,36%

aplica los

procedimientos de

seguridad para la

protección de

información

SI 0,04%

tiene políticas de

seguridad

implementadas para

la protección de

información

SI 0,36%

documentan las labores

de pruebas de clientes

internos y externos

SI 0,04%

PRESTACION DE SERVICIOS

tienen niveles de

seguridad para la

protección de

información

SI 1,11%

garantizar el servicio

del tercero para

eventos como desastres

o fallas significativas

SI 0,28%

SI 1,11%

se hace auditoria de

manera regulada a

servicios

SI 0,28%

SI 1,11%

se hace auditoria de

manera regulada a

reportes.

SI 0,28%

GESTIÓN DEL CAMBIO EN LOS

SERVICIOS PRESTADOS POR

TERCEROS

los terceros están

comprometidos a

mejorar en los

servicios actuales

ofrecidos por ellos

NO 0,00%

documentan la creación

de nuevos controles

para evitar riesgo de

incidentes

NO 0,00%

hace seguimiento de

los recursos para

asegurar el

desempeño del futuro

SI 1,25%

tiene controles de

indagación para

identificar problemas a

tiempo

SI 0,31%

tiene conocimiento de

los recursos para

asegurar el

desempeño futuro

SI 1,25%

hacen adquisición de

los recursos necesarios,

en tiempo requerido

SI 0,31%

garantizan la

actualización en las

aplicaciones

SI 1,25%

controles contra el

código descargado en

el cliente

SI 0,31%

garantizan la

instalación de nuevas

versiones en las

aplicaciones

SI 1,25%

tiene registro de

instalaciones de los

sistemas que no fallan

SI 0,31%

CONTROL CONTRA EL CÓDIGO

MALICIOSO

divulgan la políticas

de control que

prohíba el uso de

software malicioso

SI 2,50%

tienen personal

encargado de hacer

revisión de los reportes

de control

SI 1,25%

GESTION DE COMUNICACIONES Y OPERACIONES CHK-RES-GCOP

GESTIÓ

N D

E C

OM

UN

ICA

CIO

NES O

PERA

CIO

NES

RESPONSABILIDA

DES Y

PROCEDIMIENTOS

DE OPERACIÓN

GESTIÓN DE CAMBIOS

LOS USUARIOS ESTÁN PERFILADOS EN

INGRESO AL SISTEMA, PARA REDUCIR

ERROR

SEPARACIÓN DE LOS RECURSOS DE

DESARROLLO PRUEBA Y OPERACIÓN

GESTIÓN DE LA

PROVISIÓN DE

SERVICIOS DE

TERCEROS

HACE SEGUIMIENTO DE LOS

RECURSOS PARA ASEGURAR EL

DESEMPEÑO DEL FUTURO

PLANIFICACIÓN Y

ACEPTACIÓN DEL

SISTEMA

GESTIÓN DE CAPACIDADES

ACEPTACIÓN DEL SISTEMA

TIENEN POLÍTICAS

DE RESPALDO DE

BACKUPS

tienen responsables

de procedimientos de

la gestión que

garantice el control,

satisfactorio de los

cambios en los

equipos de cómputo

los terceros están

comprometidos por

medio de un acuerdo

jurídico inicial a

resolver y manejar

todos los problemas

identificados que se

presenten y afecten la

operación

CONTROLES CONTRA EL CÓDIGO

DESCARGADO EN EL CLIENTE

tienen registro de

restablecimiento de

backups

SI 2,50%

tiene algún

procedimiento de

bloqueo de búsqueda

de códigos móviles

dentro del centro de

datos

SI 1,25%

tienen políticas de

respaldo de backupsSI 3,33%

aplican las políticas de

respaldo de backups

reguladamente

SI 1,11%

tienen política de

acceso remotoSI 3,33%

tienen claramente

identificados el

personal autorizado

para acezar

remotamente a la red

SI 1,11%

tienen un

procedimiento de

respaldo de backups

SI 3,33%

se tienen el

almacenamiento o

custodia de los medios

de respaldo en un sitio

alejado que impidan

daño de los mismos en

caso de catástrofe

SI 1,11%

tienen política de

acceso remotoSI 1,67%

autentican a los

usuarios a los servicios

de red

SI 0,56%

manipulación de los

soportesSI 1,67%

tienen registro de

acciones de seguridad

pertinentes a acceso

remoto

SI 0,56%

SEGURIDAD DE LOS SERVICIOS DE RED

autentican a los

usuarios a los servicios

de red

SI 1,67%

tienen parámetros

técnicos para

conexiones de

servicios de red

SI 0,56%

tienen políticas para

la protección de

documentos en medios

magnéticos, contra

modificación

NO 0,00%

los procedimientos

para la protección de

documentos medios

magnéticos, contra

modificación.

NO 0,00%

tiene políticas para la

protección de

información contra

eliminación

SI 0,50%

todos los medios son

almacenados y

vigilados con su

respectivo registro y

control

NO 0,00%

TIENEN ROTULACIÓN CLARA DE LOS

MEDIOS DE RESPALDO PARA LA

CAPTACIÓN DE LA PERSONA

RESPONSABLE DEL PROCESO

tienen un

procedimiento para

establecer los casos

que pueden requerir

eliminación de

información

SI 0,50%

registran de manera

formal y segura la

eliminación de los

medios

SI 0,10%

PROCEDIMIENTOS DE MANIPULACIÓN

DE LA INFORMACIÓN

tienen rotulación clara

de los medios de

respaldo para la

captación de la

persona responsable

del proceso

SI 0,50%

tienen restricciones de

acceso para impedir

acceso a personal no

autorizado en sitios

sensibles de

información

SI 0,10%

SEGURIDAD DE LA DOCUMENTACIÓN

DEL SISTEMA

hay un responsable

de acceso de la

documentación del

sistema

NO 0,00%

la información que se

publica a la red tiene

procedimientos de

seguridad antes de ser

publicadas

NO 0,00%


control que lleven a

cabo la encriptación

de información para

proteger el contenido

SI 0,25%

el acceso a la

información puede

ocurrir en varios medio

de comunicación como

lo son teléfonos, correo

electrónico, fax,

copiadoras

SI 3,13%





proteger la

integración de la

información

SI 0,25%

tienen registro del

seguimiento de

políticas

SI 3,13%

GESTIÓ

N D

E C

OM

UN

ICA

CIO

NES O

PERA

CIO

NES

TIENEN POLÍTICAS

DE RESPALDO DE

BACKUPS

COPIAS DE

SEGURIDAD

COPIA DE SEGURIDAD DE LA

INFORMACIÓN

GESTIÓN DE LA

SEGURIDAD DE

LAS REDES

CONTROLES DE RED

MANIPULACIÓN

DE LOS

SOPORTES

TODOS LOS MEDIOS SON

ALMACENADOS Y VIGILADOS CON SU

RESPECTIVO REGISTRO Y CONTROL

INTERCAMBIO DE

INFORMACIÓN

POLÍTICAS Y PROCEDIMIENTOS DE

INTERCAMBIO DE LA INFORMACIÓN





proteger la

confidencialidad.

SI 0,25%acuerdos de

intercambioSI 3,13%

ACUERDOS DE INTERCAMBIO

tienen una política

para la protección de

los datos, con

respecto intercambio

de información

SI 0,25%

tienen registros

documentados para el

trazado y

empaquetamiento de

información

SI 3,13%

los terceros de

mensajería tienen la

capacidad para

identificar el tipo de

información que

trasladan

NO 0,00%

la empresa de

mensajería identifica

con claridad el tipo de

mercancía que lleva

NO 0,00%

se tiene registro de

los elementos que son

transitados por el

proveedor de

mensajería

SI 0,25%

se tiene registro de los

elementos que son

transitados por el

proveedor de

mensajería

SI 3,13%

MENSAJERÍA ELECTRÓNICA

tienen protegidos los

datos contra acceso

no autorizado

SI 0,25%

cuentan con niveles

solidos de

autenticación

SI 3,13%

SISTEMAS DE INFORMACIÓN

EMPRESARIALES

tienen documentado

las vulnerabilidades,

en los sistemas

administrativos como

información contable

SI 0,25%

tienen manuales de uso

de los sistemas

administrativos

SI 3,13%

COMERCIO ELECTRÓNICO

hay política de

confidencialidad a

personal interno y

externo (entiéndase

por externo

proveedores, clientes

y contratistas)

SI 1,10%

regulan el control de

información de

transferencias

económicas de los

clientes

SI 0,37%

TRANSACCIONES EN LÍNEA

las credenciales han

sido verificadas para

el procesos de

transacción en línea

NO 0,00%

se tienen los

respectivos certificados

de seguridad para

llevar a cabo las

transacciones en línea

de forma segura

NO 0,00%

INFORMACIÓN PÚBLICAMENTE

DISPONIBLE

la información

disponibles en la web

es aprobada por la

gerencia de la

compañía sin tener

riesgos de

vulnerabilidad

NO 0,00%

la información

disponible no pondrá

en peligro la

integridad de los

clientes y de la entidad

misma

NO 0,00%

tienen registros

completo de eventos e

incidentes de control

al hardware.

SI 0,19%

tienen conocimiento de

la información que

operan los usuarios

SI 0,0002

tienen registros


incidentes de control

al software, que

afecten la operación

NO 0,00%

hacen capacitación, de

las aplicaciones

habilitadas para

utilizar en la compañía

NO 0,00%

tienen registros


incidentes de control a

las telecomunicaciones

que afecten la

operación

SI 0,19%

tienen registro de las

actualizaciones de los

procedimientos

SI 0,02%

SUPERVISIÓN DEL USO DEL SISTEMAS

tienen registro de

intentos de acceso no

autorizado al sistema

0,00%

hacen con regularidad

control al seguimiento

de registros.

tienen control en el

riesgo de la

capacidad sobre

escritura

0,00%

GESTIÓ

N D

E C

OM

UN

ICA

CIO

NES O

PERA

CIO

NES

INTERCAMBIO DE

INFORMACIÓN

POLÍTICAS Y PROCEDIMIENTOS DE

INTERCAMBIO DE LA INFORMACIÓN

SOPORTES FÍSICOS EN TRANSITO

PROTECCIÓN DE LA INFORMACIÓN DE

LOS REGISTROS

SERVICIOS DE

COMERCIO

ELECTRÓNICO

SUPERVISIÓN

REGISTROS DE AUDITORIA

0,00%NO NO

tienen control en el

riesgo de la

capacidad sobre

saturación

SI 0,19%

almacenan la evidencia

de incidencias que

pueden afectar de

manera crítica al

sistema como parte de

la auditoria

SI 0,02%

REGISTRO DE ADMINISTRACIÓN Y

OPERACIÓN

tienen políticas que

permitan informar

sobre los eventos de

los sistemas

SI 0,19%

documentan la hora

del incidente con firma

del responsable

SI 0,02%

REGISTRO DE FALLOS

revisan

constantemente las

medidas correctivas

para garantizar que

no vuelva a ocurrir

dicho evento.

SI 0,19%

hacen revisión de los

registro para

garantizar que estos

hayan quedado

solucionados en su

totalidad

SI 0,02%

SINCRONIZACIÓN DEL RELOJ

sincronizan reloj de

servidores y equipos

de escritorios

SI 0,19%tienen bitácora de

seguimiento revisiónSI 0,02%


No Cumple 64%

Cumple 36%

Total general 100%


No Cumple 68%

Cumple 32%

Total general 100%

GESTIÓ

N D

E C

OM

UN

ICA

CIO

NES O

PERA

CIO

NES

PROTECCIÓN DE LA INFORMACIÓN DE

LOS REGISTROS



SUPERVISIÓN

No Cumple

64%

Cumple 36%


No Cumple

68%

Cumple 32%


SECCIO

NSUBSECCION CONTROL PREGUNTAS DE CONTROL Y AUDITORIA

RESPU

ESTA

% ID

EAL


RESPU

ESTA

% ID

EAL

100% 14,29% 14,29% 2,38% 0,22%

Conoce Ud. toda la documentación respectiva NO 0,00%

La política se aplica correctamente SI 0,22%

Están activos estos accesos SI 0,22%

Se le efectúa mantenimiento periódicamente SI 0,22%

Existen políticas para distribuir y autorizar la información de los

niveles de seguridad y clasificación de la informaciónSI 2,38% En la empresa se aplica esta política SI 0,22%

Es aplicado dentro de la empresa SI 0,22%

Se comprueba que estén funcionando conforme a la seguridad de la empresa SI 0,22%

Se aplica dentro de la empresa SI 0,22%

Se realiza auditoria a la distribución NO 0,00%

Se realiza mensual o semestralmente NO 0,00%

Se corrigen los errores que arroja la prueba NO 0,00%

14,29% 3,57% 0,60% 0,06%

Se realizan pruebas para establecer la efectividad del control NO 0,00%

Se documenta este proceso NO 0,00%

Se asocia el ID al usuario NO 0,00%

Se hace verificación de correspondencia de ID con Nombre de Usuario NO 0,00%

Hay niveles de acceso y perfiles de usuario SI 0,58% El administrador de sistema verifica que estén adecuadamente asignados NO 0,00%

Conocen la documentación escrita de derechos de usuario NO 0,00% En caso de no acatar los derechos hay alguna sanción respectiva NO 0,00%

Los usuarios inactivos son purgados del sistema NO 0,00%

Se tiene documentación respectiva de esa verificación NO 0,00%

El compromiso esta debidamente archivado NO 0,00%

En caso de perdida hay backup digital del mismo NO 0,00%

3,57% 1,19% 0,20%

Son aplicadas dentro de la empresa SI 0,20%

Se ejerce el control mensual o semestralmente NO 0,00%

Se tiene definida la métrica de privilegios según función del usuario NO 0,00%

Se tiene un encargado de control de esto NO 0,00%

La conservación es segura NO 0,00%

Se tiene a un responsable de esto NO 0,00%

3,57% 0,89% 0,11%

Se aplica en la empresa NO 0,00%

La asignación es documentada de forma escrita NO 0,00%

Queda algún record digital de la asignación NO 0,00%

El usuario obtiene algún documento donde quede constancia del acuerdo NO 0,00%

Tienen copia del documento creado NO 0,00%

Hay algún acuerdo de cambio de contraseñas periódicamente por

parte del usuarioSI 0,89% Hay un tiempo máximo de cambio de contraseña (mensual, semestral) NO 0,00%

El almacenamiento es de forma digital o escrita SI 0,11%

Donde se almacena la información de las contraseñas esta restringido SI 0,11%

3,57% 1,19% 0,20%

Se aplica el proceso NO 0,00%

Se corrigen los errores encontrados durante el proceso NO 0,00%

Este proceso queda documentado de manera escrita SI 0,20%

En dada situación de perdida del documento se guarda alguna copia digital SI 0,20%

Este registro es administrado por una persona responsable SI 0,20%

Queda constancia escrita de los cambios NO 0,00%

14,29% 4,76% 2,38% 0,48%

Se tienen sanciones en caso de no incumplir lo acordado NO 0,00%

Queda constancia en un documento escrito NO 0,00%

Tienen copia de respaldo digital del mismo NO 0,00%

Tiene aplicación la política SI 0,47%

Los usuarios tienen la obligación de crear contraseñas alfanuméricas SI 0,47%

4,76% 1,19% 0,17%

Se tiene control de los equipos periódicamente (Semanal, Mensual), Cuentan

con algún antivirus NO 0,00%

Están protegidos por un firewall SI 0,17%

Las sesiones vienen con mecanismo de bloqueo automático por

inactividadSI 1,19% Se activa la sesión del equipo por medio de contraseña SI 0,17%

Se genera un log de eventos enviado al administrador del sistema SI 0,17%

Cuando hay cierre de los equipos se controla la manera de reactivación SI 0,17%

La contraseña cuenta con la política de seguridad establecida (alfanumérica) SI 0,17%

En caso de perdida de clave se cuenta con claves alternativas SI 0,17%

4,76% 2,38% 0,60%

Se aplican sanciones al no cumplir con el acuerdo NO 0,00%

La restricción esta sustentada en un documento escrito NO 0,00%

Se guarda copia del mismo NO 0,00%

CONTROL DE ACCESO CHK-RES-CTRLACC

C

O

N

T

R

O

L

D

E

A

C

C

E

S

O

Requisitos de negocio

para el control de

acceso

0,00%

Gestión del acceso de

usuarios

Registro de Usuario

2,38%

Existe distribución de las funciones de control de acceso (solicitud,

autorización y administración)SI 2,38%

2,38%

Tienen accesos lógicos y físicos SI 2,38%

Política de Control

de Acceso

Tienen establecidos la documentación y revisión de la política de

control de acceso basándose en los requerimientos de la empresa.SI

Tienen definidos los perfiles de usuario, normas y derechos de los

mismosSI

Se efectúa una revisión periódica de controles de acceso NO

Hay compromiso escrito de rol de usuario NO 0,00%

Existe ID de usuario SI 0,58%

Existe un procedimiento formal para registrar y cancelar usuarios

para dar y denegar el acceso a los sistemas y servicios de

información

NO 0,00%

Se hace verificación de perfiles de usuario y usuarios activos e

inactivos en el sistemaSI 0,58%

Hay algún acuerdo de confidencialidad de contraseña y

responsabilidad por parte del usuarioNO 0,00%

1,19%

Gestión de

contraseñas para

usuarios

Conoce Ud. algún proceso formal de asignación de contraseñas SI 0,89%

1,19%

Se asignan privilegios según función del usuario SI 1,19%Gestión de

privilegios

Hay restricciones y control de la asignación y el uso de privilegios SI

Hay conservación de procesos de autorización y asignación de

privilegiosSI

NO 0,00%

Hay una revisión y reasignación de derecho de acceso a usuarios

que cambian de cargo dentro de la empresaSI 1,17%

El almacenamiento de contraseñas es seguro SI 0,89%

Revisión de los

derechos de acceso

de los usuarios

Existe algún proceso de revisión periódica de los derechos de

acceso de los usuarios

Hay alguna política de creación de contraseñas (Longitud,

Caracteres Especiales, Alfanumérica)SI 2,38%

Se aplica la clausula de confidencialidad de la contraseña NO 0,00%

Sabe Ud. de algún registro de cambios de derechos de acceso NO 0,00%

1,19%


despejado y de

pantalla despejada

Hay restricción de manejo y exposición de información sensible de

la empresaSI 2,38%

1,19%

Hay registros de cierre de computadores y servidores SI 1,19%

Equipo de usuario

desatendido

Los equipos de usuario desatendido cuentan con seguridad

apropiadaSI

Existe control de activación de equipos por medio de contraseña SI

Responsabilidades del

usuario

Uso de contraseñas

Conoce Ud. algún manejo restringido de tecnologías de

reproducciónNO 0,00% Es aplicado el método que conoce NO 0,00%

14,29% 2,04% 0,68% 0,11%

Es aplicada dentro de la empresa SI 0,11%

Se cuenta con un administrador encargado de velar por el cumplimiento de la

mismaSI 0,11%

Son aplicados en la empresa SI 0,11%

Se cuenta con autorización por medio de contraseña SI 0,11%

Son aplicados en la empresa SI 0,11%

Las redes inalámbricas están protegidas por algún método de seguridad (MAC,

WAP,WEP)SI 0,11%

2,04% 1,02% 0,26%

Se aplica SI 0,26%

Las contraseñas cumplen la política de seguridad (alfanuméricas), Queda un log

de acceso por usuarioSI 0,26%

Se aplica SI 0,26%

En dado de fallo en el sistema de autenticación cuentan con otro SI 0,26%

2,04% 1,02% 0,34%

Se lleva un registro digital de cada uno de los equipos que se tienen SI 0,34%

En caso de tener un equipo no autorizado se tiene un método de seguridad para

evitar el accesoSI 0,34%

Hay autenticación de conexiones de los equipos SI 1,02% La autenticación se efectúa de manera física SI 0,34%

2,04% 2,04% 0,68%

Se aplica SI 0,68%

El acceso solo es efectuado por el administrador del sistema SI 0,68%

Se puede acceder de forma remota SI 0,68%

2,04% 2,04% 1,02%

Existe un sistema esquematizado de las redes SI 1,02%

Se identifican claramente los grupos creados SI 1,02%

2,04% 1,02% 0,20%

Se aplica SI 0,20%

Si se excede el numero de usuarios permitidos se deniega la conexión al ultimo

equipo NO 0,00%

Se lleva un log de eventos del numero de conexiones por red SI 0,20%

Se aplica SI 0,20%

El control es ejercido por un administrador de sistema SI 0,20%

2,04% 1,02% 0,20%

Los proxy cuentan con sistemas de seguridad para evitar ataques informáticos SI 0,20%

Se protege el acceso a estos por contraseña SI 0,20%

Se utilizan dentro de las reglas de DHCP SI 0,20%

Conoce las direcciones de los mismos SI 0,20%

Se aplican por medio de hardware SI 0,20%

14,29% 2,38% 0,60% 0,07%

Se aplica SI 0,07%

Queda registro del procedimiento SI 0,07%

El proceso presenta excepciones para los usuarios SI 0,07%

Esta garantía es supervisada por el administrador del sistema SI 0,07%

En caso de haber acceso no autorizado es informado de manera inmediata por

el sistema al administradorSI 0,07%

Este registro es enviado al administrador SI 0,07%

El envío es seguro SI 0,07%

Si se excede el numero de intentos el bloqueo es comunicado al administrador

del sistema SI 0,07%

El administrador es el único que levanta el bloqueo SI 0,07%

2,38% 0,48% 0,05%

Cuentan con ID de usuario SI 0,48%Se lleva registro de los ID de manera digital . En caso de perdida del ID es

restablecido por el administrador SI 0,05%

Se utiliza este sistema SI 0,05%

Se actualiza el método periódicamente (mensual, semestral) SI 0,05%



Las contraseñas cumplen con la norma de seguridad (Alfanumérica) SI 0,05%

Las contraseñas usadas tienen caducidad SI 0,05%



Se realiza mantenimiento periódico al sistema (mensual, semestral) SI 0,05%

2,38% 0,79% 0,20%

El sistema tiene ID de contraseña SI 0,79% El ID suministrado es guardado en un record digital SI 0,20%

Se tiene un limite para cambio de contraseñas (máximo 3 cambios al mes) SI 0,20%

El cambio de contraseñas es autorizado por el administrador del sistema SI 0,20%

Se efectúan cambios de contraseña periódicos SI 0,79%La periodicidad del cambio de contraseñas en general se efectúa (semestral,

anual)SI 0,20%

2,38% 0,79% 0,13%

Existen restricciones y controles en el uso de programas que

puedan anular los controles del sistemaSI 0,79%

Si se intenta el uso de estos programas el sistema realiza un reporte al

administrador del sistemaSI 0,13%

Se aplican SI 0,13%

Se tienen registros de las aplicaciones permitidas dentro de la empresa SI 0,13%

El sistema reporta al administrador cuando hay programas no permitidos SI 0,13%

Existe seguridad dentro de las redes ad hoc SI 0,13%

Se cifra la información que se comparte SI 0,13%

2,38% 2,38% 2,38%

C

O

N

T

R

O

L

D

E

A

C

C

E

S

O

Control de acceso al

sistema operativo

0,60%

0,60%

0,60%

Control de acceso a la

red

Política de uso de

los servicios de red

Existe una política de uso de las redes y los servicios de red


despejado y de

pantalla despejada

Responsabilidades del

usuario

Hay procesos de protección de acceso a conexiones de red SI 0,68%

Autenticación de

usuarios para

conexiones externas

Cuentan con autenticación de usuarios remotos

SI 0,68%

Sabe Ud. de los procedimientos de autorización de uso de red NO 0,00%

Protección de los

puertos de

configuración y

diagnostico remoto

Existe control de acceso lógico y físico a los puertos de

configuración y de diagnosticoSI 2,04%

Identificación de los

equipos en las redes

Cuentan con identificación de los equipos que están conectados en

la redSI 1,02%

SI 1,02%

Existen algunos de estos sistemas de autenticación (Token de

Hardware, ID de software, Desafío/Respuesta, Protocolos)SI 1,02%

1,02%

Existe alguna política de control de acceso SI 1,02%

Control de conexión

a las redes

Conoce alguna restricción de la capacidad de los usuarios para la

conexión a la redSI

Separación en las

redes

Cuentan con separación de grupos de servicios de información,

usuarios y sistemas de informaciónSI 2,04%

Procedimientos de

registro de inicio

seguro

El usuario tiene algún procedimiento de inicio seguro NO

1,02%

Cuentan con gateways de seguridad SI 1,02%

Control de

enrutamiento en la

red

Hay aplicación de proxy SI

Existe algún limite de cantidad de intentos permitidos de registro

de inicioSI

0,00%

Se garantiza que solo podrán tener acceso al sistema operativo los

usuarios autorizadosSI

Hay validación de información de registro de inicio SI

Sistema de gestión

de contraseñas

Se permite a los usuarios selección y cambio de contraseñas SI 0,79%

0,48%

Existe autenticación biométrica NO 0,00%

0,48%

Cuentan con medios criptográficos SI 0,48%Identificación y

autenticación de

usuarios

Existen tarjetas inteligentes o tokens SI

Utilizan contraseña SI

Existe la autorización de uso de ad hoc SI 0,79%

Uso de utilidades del

sistema

Hay Procedimientos de identificación, autenticación y autorización

para las utilidades del sistemaSI 0,79%

Tiempo de

inactividad de la

sesión

Se emplea la suspensión de sesión por inactividad SI 2,38% Se activa la sesión del equipo por medio de contraseña NO 2,38%

2,38% 2,38% 1,19%

El administrador del sistema determina los tiempos de acceso de los equipos SI 1,19%

Las sesiones no autorizadas pueden tener conexión SI 1,19%

14,29% 7,15% 2,38% 0,34%

El administrador del sistema implementa permisos lógicos SI 0,34%

Están protegidos estos permisos SI 0,34%

Hay fuga de datos SI 0,34%

Se utilizan dentro de la operación SI 0,34%

En caso de fallo se bloquea el sistema SI 0,34%

Los derechos de acceso son controlados por el administrador SI 0,34%

Los cambios efectuados son registrados y enviados al administrador del sistema SI 0,34%

7,15% 7,15% 3,58%

Se utiliza dentro de la empresa SI 3,58%

En caso de caída tienen contingencia SI 3,58%

14,29% 7,15% 7,15% 2,38%

Se aplica SI 2,38%

Hay restricción en el uso dentro de la empresa de los medios móviles SI 2,38%

Hay restricción en el uso de dispositivos de almacenamiento masivo SI 2,38%

7,15% 1,43% 0,13%

Hay implementación de políticas, planes operativos y

procedimientos para el trabajo remotoNO 0,00%

El trabajo remoto tiene un reporte diario de actividades realizadas por el

usuarioNO 0,00%

El administrador del sistema utiliza sistemas de autenticación para el trabajo

remoto NO 0,00%

Si hay un acceso no autorizado es reportado al administrador del sistema SI 0,13%

Las claves de acceso a redes inalámbricas son conocidas por los usuarios SI 0,13%

Las redes están protegidas por sistemas de seguridad de autenticación SI 0,13%

Se utiliza restricción de acceso físico (Mac) SI 0,13%

Están debidamente licenciados SI 0,13%

Se efectúan pruebas de efectividad del firewall SI 0,13%

Es revisado en detalle cada una de las actividades remotas SI 0,13%

Se lleva documentación de los resultados de auditoria SI 0,13%

Se corrigen los errores que son arrojados durante la auditoria SI 0,13%


No Cumple 28,79%

Cumple 71,21%

Total general 100%


No Cumple 61,56%

Cumple 38,44%

Total general 100%


C

O

N

T

R

O

L

D

E

A

C

C

E

S

O


sistema operativo


2,38%

Control de acceso a

las aplicaciones y a la

información

Restricción del

acceso a la

información

Limitación de

tiempo de conexiónHay restricción en el tiempo de conexión para mejor seguridad SI

Hay control de derechos de acceso NO 0,00%

Se restringe el acceso a la información y funciones del sistema SI 2,38%

Existen menús para control de acceso NO 0,00%

Existe una política de seguridad para protección contra riesgos de

uso indebido de dispositivos de computación y comunicación

móviles

NO 0,00%

7,15%

Computación móvil y

trabajo remoto

Computación y

comunicaciones

móviles

Aislamiento de

sistemas sensiblesCuentan con un entorno informático dedicado SI

1,43%

Ejercen alguna auditoria y monitoreo de seguridad NO 0,00%

1,43%

Conocen las restricciones en la configuración de redes inalámbricas SI 1,43%Trabajo remoto

Hay control de acceso no autorizado a trabajo remoto SI

Tienen algún tipo de protección antivirus y firewalls SI

No Cumple 28,79%

Cumple 71,21%


No Cumple 61,56%

Cumple 38,44%


SECCIO

NSUBSECCION CONTROL PREGUNTAS DE CONTROL Y AUDITORIA

RESPU

ESTA

% ID

EAL


RESPU

ESTA

% ID

EAL

100% 16,67% 16,67% 4,17% 1,04%

Conocen los análisis de requisitos de seguridad SI 4,17% Son aplicados dentro de la empresa SI 1,04%

Hay procesos de adquisición y prueba NO 0,00% La pruebas fallidas son corregidas NO 0,00%

Los requisitos de seguridad y control están involucrados

con el valor de los activos del negocioSI 4,17%

La seguridad de los activos esta garantizada con el cumplimiento de

lo requeridoSI 1,04%

Hay una evaluación de riesgos desde el comienzo del

desarrollo del sistemaNO 0,00%

Se efectúan los correctivos respectivos para la minimización de

riesgosNO 0,00%

16,67% 4,17% 1,04% 0,15%

Se lleva un registro de las entradas NO 0,00%

El registro se guarda en un lugar seguro NO 0,00%

Si el registro se corrompe, se tiene una copia de seguridad del mismo NO 0,00%

Hay verificación de fronteras o campos limitantes para los

rangos de entradaNO 0,00% Si la verificación es fallida se realiza corrección de la misma NO 0,00%

Hay backup de la información NO 0,00%

Se valida la información para discriminar la información corrupta NO 0,00%

Conoce algún tipo de procedimiento de respuesta ante

errores de validaciónNO 0,00% El administrador de sistema se encarga de brindar respuesta NO 0,00%

4,17% 0,70% 0,10%

Se efectúan verificaciones de validación en las

aplicacionesNO 0,00%

Si no se pasa el proceso de validación en las aplicaciones, estas son

eliminadas del sistemaNO 0,00%

Utilizan funciones tales como (Agregar, modificar y borrar) NO 0,00% Se aplican restricciones de uso de privilegios para los usuarios NO 0,00%

Si el programa se ejecuta de forma errónea envía un mensaje al

administrador del sistema NO 0,00%

Se corrigen las ejecuciones erróneas para evitar corrupción de datos NO 0,00%

Hay protección contra ataques empleando desbordamiento

/ exceso en el búferNO 0,00% El sistema tiene un método de reinicio después del desbordamiento NO 0,00%

Hay protección contra ataques empleando desbordamiento

/ exceso en el búferNO 0,00%

Si no es correcto y apropiado se realiza una restricción de acceso a

datosNO 0,00%

Hay control programa a programa NO 0,00%Si se encuentra un programa no autorizado se termina la ejecución

del mismoNO 0,00%

4,17% 2,09% 0,52%

Si no cumple con lo requerido el sistema previene el envío del mismo NO 0,00%

Se realiza filtrado de mensajes NO 0,00%

Si es un mensaje potencialmente peligroso es eliminado del sistema NO 0,00%

Se tienen algoritmos de verificación establecidos NO 0,00%

4,17% 1,04% 0,17%

Si los datos no son razonables se restringe la salida de los mismos NO 0,00%

Se le informa al usuario por la irracionalidad en los datos SI 0,17%

Conoce Ud. si hay cuentas de control de conciliación para

asegurar el procesamiento de todos los datosNO 0,00%

Las cuentas de control son verificadas por el administrador del

sistemaNO 0,00%

Se hacen pruebas de validación de salida NO 0,00% Si el mensaje no supera las pruebas se rechaza la salida del mismo NO 0,00%

El registro se envía al administrador del sistema NO 0,00%

Se guarda copia de los registros SI 0,17%

16,67% 8,34% 2,08% 0,26%

Se aplica la política NO 0,00%

Se realizan pruebas de vulnerabilidad NO 0,00%

Si el algoritmo no pasa la evaluación es corregido para minimizar el

riesgo NO 0,00%

Se utilizan algoritmos alternativos NO 0,00%

Esta documentación se encuentra en un lugar seguro NO 0,00%

Hay copia de seguridad digital de los documentos SI 0,26%

Se sancionan a los usuarios que incumplan con lo requerido NO 0,00%

Se tiene control en dado caso de un ataque de virus informático SI 0,26%

8,34% 1,39% 0,13%

La gestión de claves es debidamente documentada NO 0,00%

Se guardan copias de seguridad de la gestión realizada NO 0,00%

Se aplican dentro de la empresa NO 0,00%

Se verifican que no tenga errores en el proceso de generación de

clavesNO 0,00%

El equipo donde se almacenan esta protegido por medios físicos NO 0,00%

Se tiene un equipo de respaldo en caso de falla del primario NO 0,00%

Se hace tratamiento de claves perdidas NO 0,00%Las claves que son remplazadas son inutilizadas para acceso al

sistemaNO 0,00%

El archivo esta protegido por contraseña NO 0,00%

Se hace validación de datos de entrada a las aplicaciones NO 0,00%

Se hace revisión del contenido de los campos clave NO 0,00%

A

D

Q

U

I

S

I

C

I

O

N

,

D

E

S

A

R

R

O

L

L

O

Y

M

A

N

T

E

N

I

M

I

E

N

T

O

D

E

L

O

S

S

I

S

T

E

M

A

S

D

E

I

N

F

O

R

M

A

C

I

O

N

Requis

itos

de

seguri

dad d

e los

sist

em

as

de

info

rmació

n

Análisis y

especificación de los

requisitos de

seguridad

Pro

cesa

mie

nto

corr

ecto

en las

aplicacio

nes

Validación de los

datos de entrada

Hay una evaluación de riesgos de seguridad en la

integridad del mensajeNO 0,00%

Validación de los

datos de salida

Hay verificación de verosimilitud para los datos de salida NO 0,00%

Control de

procesamiento

interno

Se ejerce algún control de programas para ejecución de

forma errónea0,00%

Integridad del

mensaje

Se hace verificación de requisitos mínimos para garantizar

la autenticidad y protección de integridad de los mensajesNO 0,00%

Se hace una evaluación de fortaleza y calidad del

algoritmo de encriptación requeridoNO 0,00%

Poseen documentación de los responsables de la

implementación y gestión de clavesNO 0,00%

Existe algún registro de actividades de validación NO 0,00%

Hay una política de uso de controles criptográficos para la

protección de la informaciónNO 0,00%

0,00%

Poseen un archivo de claves con copia de seguridad 0,00%

Hay control sobre la confidencialidad de uso de

encriptaciónNO 0,00%

Gestión de claves

Existe una gestión de claves y responsables de las mismas 0,00%

Conoce diferentes sistemas criptográficos y aplicaciones

para generación de claves 0,00%

El almacenamiento de contraseñas es seguro

Contr

ole

s cri

pto

grá

ficos

Política sobre el uso

de controles

criptográficos

ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION CHK-RES-AMD

NO

NO

NO

NO

NO

Se verifica que la copia de seguridad este al día con el original NO 0,00%

Las claves tienen un tiempo de caducidad definido NO 0,00%

Cada cuanto caducan las claves (Mensual, Trimestral, Semestral) NO 0,00%

16,67% 5,56% 0,93% 0,08%

La instalación de software se encuentra protegida por claves

administrativas SI 0,08%

Se tiene un registro del software instalado en cada maquina SI 0,08%

Se cuenta con copia de seguridad de los registros NO 0,00%

Se realiza una evaluación de riesgos al efectuar las actualizaciones

respectivas SI 0,08%

Se evalúa la facilidad de manejo para el usuario después de

efectuadasSI 0,08%

Los controles de códigos ejecutables son autorizados por el

administradorSI 0,94%

Se previene la ejecución por medio de permisos administrativos del

sistemaSI 0,09%

Las aplicaciones solo pueden ser instaladas si han tenido

un resultado exitoso en la ejecución de las mismasSI 0,94%

Se consulta con los usuarios que interactúan con el sistema la

facilidad de uso de las mismasSI 0,08%

Se guarda la documentación en un sitio seguro SI 0,08%

Hay copia de seguridad de la documentación NO 0,00%

Los registros son verificados por el administrador del sistema NO 0,00%

Se realiza restauración en caso de no ser exitosa NO 0,00%

5,56% 1,85% 0,46%

Los datos de prueba contienen información personal NO 0,00%

Se evita el uso de información reconocible para usuarios no deseados 0 0,00%

Se efectúa una autorización en caso de copia de datos NO 0,00% La copia de datos es protegida por contraseña NO 0,00%

La información operativa es borrada una vez termina la

pruebaNO 0,00% Se verifica que no quedan copias de seguridad de los datos utilizados NO 0,00%

5,56% 1,85% 0,26%

Se restringe el acceso por medio de contraseña SI 0,26%

El almacenamiento del código es central controlado NO 0,00%

El listado de programas esta en un entorno seguro SI 0,26%

Se implementan privilegios de acceso SI 0,26%

Hay una autorización previa de manejo de código fuente para su

actualización NO 0,00%

Se guarda copia de seguridad del registro NO 0,00%

Esta protegido por contraseña SI 0,26%

16,67% 3,33% 1,11% 0,16%

Se realiza documentación de la implementación de cambios NO 0,00%

Se sigue el proceso normal de cambios (documentación,

especificación, prueba, control de calidad e implementación

gestionada)

NO 0,00%

El administrador de sistema es el encargado de dar la autorización NO 0,00%

Se evalúa la capacidad del personal para realizar cambios NO 0,00%

Se documenta la aprobación NO 0,00%

Se realiza copia del documento NO 0,00%

Se archiva en un lugar seguro SI 0,16%

3,33% 1,11% 0,22%

Se realizan pruebas y revisiones de las aplicaciones para evitar

impactos negativos en la empresa NO 0,00%

Se verifica que se mantenga el estándar de seguridad de la

información después de los cambiosSI 0,22%

La documentación es guardada en un sitio seguro SI 0,22%

Se tiene copia de seguridad de la documentación NO 0,00%

Se efectúa una revisión con una periodicidad definida NO 0,00% Las revisiones se realizan cada (Mes, Trimestre, Semestre, Año) NO 0,00%

3,33% 1,67% 0,42%

Se evalúan los riesgos de cambios efectuados al software NO 0,00%

Se cuenta con el consentimiento del tercero NO 0,00%

Se mantiene una copia anterior a los cambios o actualizaciones NO 0,00%

Se evalúa la funcionalidad con el usuario NO 0,00%

3,33% 1,11% 0,22%

Se realiza revisión del comportamiento de las comunicaciones y sus

sistemas de modulación y enmascaramiento NO 0,00%

Se utilizan sistemas de canales encubiertos NO 0,00%

Se realiza un monitoreo permanente de la información NO 0,00% Se utiliza software certificado NO 0,00%

Si se encuentra que un proceso consume los recursos del sistema de

forma inapropiada es finalizado por el sistema SI 0,22%

Se lleva un registro de resultados del monitoreo NO 0,00%

3,33% 1,11% 0,19%

A

D

Q

U

I

S

I

C

I

O

N

,

D

E

S

A

R

R

O

L

L

O

Y

M

A

N

T

E

N

I

M

I

E

N

T

O

D

E

L

O

S

S

I

S

T

E

M

A

S

D

E

I

N

F

O

R

M

A

C

I

O

N

Poseen un archivo de claves con copia de seguridad 0,00%

Sabe Ud. si el sistema de gestión de claves se basa en la

serie de normas, procedimientos y métodos seguros.0,00%

Seguri

dad d

e los

arc

hiv

os

de s

iste

ma

El control del

software operativo

Tienen controles para instalación de software en los

sistemas operativos

Gestión de claves

Contr

ole

s cri

pto

grá

ficos

Se efectúa algún registro de auditoria de software NO 0,00%

Protección de los

datos de prueba del

sistema

Hay algún proceso de control, selección y protección de

datos de prueba0,00%NO

SI 0,94%

Hay algún control de actualizaciones de software,

aplicaciones y librerías para evitar mal funcionamientoSI 0,94%

Hay documentación del sistema SI 0,94%

0,00%

Seguri

dad e

n los

pro

ceso

s de d

esa

rrollo y

soport

e

Procedimientos de

control de cambios

Existe algún control de implementación de cambios y

procedimientos formalesNO 0,00%

Se garantiza que los cambios efectuados son hechos por

gente autorizadaNO


código fuente de los

programas

Hay restricción de acceso al código fuente de los

programasSI 2,00%

El personal de soporte tiene acceso restringido para la

gestión de código fuenteSI 2,00%

Hay un registro para auditoria de acceso al código fuente NO

0,00%

Hay una aprobación formal y detallada de los cambios NO 0,00%

Revisión técnica de

las aplicaciones

después de los

cambios en el

sistema operativo

Se efectúa una revisión de procedimientos de integridad y

control de aplicacionesNO 0,00%

Se hace una notificación escrita de la revisión técnica SI 1,11%

Restricciones en los

cambios a los

paquetes de

software

Hay algún limite de cambios a los paquetes de software NO 0,00%

Se hace una estandarización de cambios y actualizaciones NO 0,00%

Fuga de información

Hay control de medios y comunicaciones de salida para

evitar fuga de información NO 0,00%

Hay monitoreo de recursos del sistema SI 1,11%

NO

NO

Se hacen pruebas para evaluación de riesgos y códigos maliciosos NO 0,00%

Se realizan pruebas antes de la implementación del software por

tercerosSI 0,19%

Se tiene documentación de esos acuerdos SI 0,19%

Se legalizan ante una entidad autorizada NO 0,00%

Hay copia de seguridad de la documentación NO 0,00%

Existen derechos de acceso de auditoria NO 0,00% Cuentan con certificación de calidad del desarrollo de software NO 0,00%

16,67% 16,67% 3,33% 0,33%

Se encuentra en un sitio seguro NO 0,00%

Poseen copia de seguridad de la documentación NO 0,00%

Se efectúan pruebas de efectividad de los planes de contingencia SI 0,33%

Los usuarios conocen los planes de contingencia NO 0,00%

Se encuentra en un sitio seguro NO 0,00%

Poseen copia de seguridad de la documentación NO 0,00%

Se realizan Pruebas de ataques y monitoreo SI 0,33%

Se realiza mantenimiento periódico sobre los firewalls (mensual,

semestral, anual)NO 0,00%

El registro de pruebas se analiza para realizar correctivos sobre las

falencias técnicas NO 0,00%

Se guarda copia de seguridad del registro NO 0,00%



No Cumple 72,97%

Cumple 27,03%

Total general 100%



No Cumple 93,54%

Cumple 6,46%

Total general 100%

A

D

Q

U

I

S

I

C

I

O

N

,

D

E

S

A

R

R

O

L

L

O

Y

M

A

N

T

E

N

I

M

I

E

N

T

O

D

E

L

O

S

S

I

S

T

E

M

A

S

D

E

I

N

F

O

R

M

A

C

I

O

N

Seguri

dad e

n los

pro

ceso

s de d

esa

rrollo y

soport

e

Desarrollo de

software contratado

externamente

Realizan supervisión y monitorización del desarrollo de

software por tercerosNO 0,00%

Se hacen acuerdos de licencias, propiedad de códigos

fuente y derechos de autorSI 1,11%

3,33%

Se hace algún registro de pruebas NO 0,00%

0,00%

Existen planes de contingencia SI 3,33%

Tienen documentación de los responsables de la gestión NO 0,00%

Gest

ión d

e la v

uln

era

bilid

ad t

écnic

a

Control de las

vulnerabilidades

técnicas

Se tiene documentación de vulnerabilidades técnicas NO

Hay control de acceso o firewalls SI

No Cumple 72,97%

Cumple 27,03%


No Cumple 93,54%

Cumple 6,46%


GESTIO

N .

SEC

CIO

N

SU

B-S

EC

CIO

N

PREGUNTAS DE AUDITORIA

RESPU

ESTA

PO

RC

EN

TAJE

PREGUNTAS DE RIESGO

RESPU

ESTA

PO

RC

EN

TAJE

100% 50% 25% 1,92% 0,13%

conoce la forma en que se reportan los incidentes SI 1,92% se reportan en el menor tiempo posible los incidentes SI 0,13%

identifica claramente un incidente de t.i SI 1,92% conoce el riesgo que implica no identificar claramente un incidente t.i SI 0,13%

conoce los canales para reportar un incidente SI 1,92% están siempre disponibles los canales para reportar incidentes SI 0,13%

sabe a quien reportar un incidente SI 1,92% esta siempre disponible el personal que controla los incidentes SI 0,13%

sus clientes internos saben como reportar un incidente SI 1,92% se atienden estos reportes según una categoría de prioridad SI 0,13%

que porcentaje de sus clientes externos considera usted que

conocen como reportar incidentesSI 1,92%

cuenta con la infraestructura adecuada para la concurrencia de reporte de incidentes de sus

clientesSI 0,13%

les notifica siempre que cambian los canales o medios para reportar incidentes. SI 0,13%

capacita a todos sus clientes sobre la forma en que se reportan incidentes SI 0,13%

conoce el tiempo máximo para reportar un incidente SI 1,92% reporta el incidente al área adecuada a tiempo SI 0,13%

conoce el tiempo mínimo de atención a un incidente SI 1,92% el área encargada atiende en el tiempo mínimo los incidentes reportados SI 0,13%

conoce las instancias de escalada de los incidentes SI 1,92% se escalan a tiempo los incidentes SI 0,13%

toda la organización conoce el canal de reporte de incidentes SI 1,92% esta siempre disponibles los canales para reportar incidentes SI 0,13%

existe un formato para reporte de incidentes SI 1,92% es un formato actualizado - se usa debidamente el formato SI 0,13%

es un repositorio actualizado SI 0,13%

es un repositorio disponible y seguro siempre SI 0,13%

25% 4,17% 0,52%

trabaja para mejorar las debilidades SI 0,52%

prioriza las debilidades que debe mejorar SI 0,52%

sabe como reportar una debilidad SI 4,17% es atendida el reporte de una debilidad SI 0,52%

sabe a quien reportar una debilidad SI 4,17% el personal al que se le reportan las debilidades esta capacitado SI 0,52%

al terminar el seguimiento se reporta el resultado del mismo SI 0,52%

se toman las medidas pertinentes para la mejora de la debilidad SI 0,52%

sabe quien debe reportar las debilidades SI 4,17% se reportan a tiempo las debilidades SI 0,52%

existe un formato para reporte de las debilidades NO 0,00% es un formato actualizado SI 0,52%

50% 17% 0,60% 0,01%

están siempre disponibles SI 0,01%

cuenta con la cantidad necesaria de responsables para la gestión t.i SI 0,01%

son procedimientos actualizados SI 0,01%

son procedimientos que conoce todo el personal relacionado con el área t.i SI 0,01%

son procedimientos actualizados NO 0,00%

son procedimientos realizados por personal adecuado NO 0,00%



















































17% 1,42% 0,06%


son procedimientos realizados por personal adecuado SI 0,06%


existe un procedimiento para documentar acciones de emergencias

existe un responsable para documentar acciones de emergencias

existe un procedimiento para confirmar con un retraso mínimo la

integridad de los s.i

existe un responsable para confirmar con un retraso mínimo la

integridad de los s.i

existe un procedimiento para cuantificar el volumen de los

incidentes

existe un procedimiento para monitorear el volumen de los

incidentes

existe un responsable para la contención del incidente

existe un procedimiento para evitar la recurrencia

existe un responsable para evitar la recurrencia

existe un procedimiento para comunicarse con los afectados por el

incidente

existe un responsable para comunicarse con los afectados por el

incidente

existe un procedimiento para controlar el personal de acceso a

los sistemas

existe un procedimiento para controlar el personal de acceso a los

datos activos

existe un responsable para controlar el personal de acceso a los

sistemas

existe un responsable para controlar el personal de acceso a los

datos activos

G

E

S

T

I

O

N

D

E

I

N

C

I

D

E

N

T

E

S

Y

L

A

S

M

E

J

O

R

A

S

E

N

L

A

S

E

G

U

R

I

D

A

D

D

E

L

A

I

N

F

O

R

M

A

C

I

O

N

REPO

RTES S

OBRE L

OS E

VEN

TO

S Y

DEBIL

IDAD

ES D

E L

A S

EG

URID

AD

DE L

A IN

FO

RM

AC

ION

REPO

RTES S

OBRE L

OS E

VEN

TO

SREPO

RTES S

OBRE L

AS

DEBIL

IDAD

ES

GESTIO

N D

E L

OS IN

CID

EN

TES Y

LAS M

EJO

RAS E

N L

A S

EG

URID

AD

DE L

A IN

FO

RM

AC

ION

están informados de los medios para reportar incidentes

existe un sistema de almacenamiento de reportes (cmdb)

conoce la debilidad de un sistema t.i

sabe que seguimiento se le da a una debilidad

existen responsables de la gestión de s.i

existe un procedimiento para fallas en el s.i o perdida del servicio

existe un procedimiento para códigos maliciosos

existe un responsable para códigos maliciosos

existe un procedimiento y responsable para negación del servicio

existe un procedimiento para errores producidos por datos del

negocio incompletos o inexactos

existe un responsable para errores producidos por datos del

negocio incompletos o inexactos

existe un procedimiento para violaciones de la integridad

existe un procedimiento para violaciones de la confidencialidad

existe un responsable para violaciones de la integridad

existe un responsable para violaciones de la confidencialidad

existe un procedimiento para uso inadecuado de los s.i

existe un responsable para uso inadecuado de los s.i

existe un procedimiento y responsable para análisis y la

identificación de la causa del incidente

existe un procedimiento para la contención del incidente

NO 0,00%

SI 4,17%

SI 1,92%

SI 1,92%

SI 0,60%

NO 0,00%

REPO

NSABIL

IDAD

ES Y

PRO

CED

IMIE

NTO

S

SI 0,60%

NO 0,00%

NO 0,00%

NO 0,00%

SI 0,60%

SI 0,60%

NO 0,00%

NO 0,00%

NO 0,00%

NO 0,00%

SI 0,60%

SI 0,60%

NO 0,00%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 0,60%

SI 1,42%

GESTION DE INCIDENTES Y MEJORAS CHK-RES-GIM

APREN

DIZ

AJE D

EBID

O A

LO

S IN

CID

EN

TES E

N L

A S

EG

URID

AD

DE L

A IN

FO

RM

AC

ION

SI 1,42%






















17% 4,25% 0,53%

es evidencia fidedigna NO 0,00%

se cumplen las medidas disciplinarias indicadas NO 0,00%









No Cumple 30%

Cumple 70%

Total general 100%

PREGUNTAS DE RIESGOS Y PREVENCION (Todas)


No Cumple 92%

Cumple 8%

Total general 100%

existe un responsable para recolectar información para la toma de

medidas disciplinarias

existe un procedimiento para monitorear el costo de los incidentes

existe un responsable para cuantificar el costo de los incidentes

existe un responsable para monitorear el costo de los incidentes

existe un procedimiento para cuantificar el tipo de los incidentes

existe un procedimiento para monitorear el tipo de los incidentes

existe un responsable para cuantificar el tipo de los incidentes

existe un responsable para monitorear el tipo de los incidentes

existe un procedimiento para recolectar información para la toma

de medidas disciplinarias

existe un procedimiento para recolectar evidencia para la toma de

medidas disciplinarias

existe un procedimiento para monitorear el volumen de los

incidentes

existe un responsable para cuantificar el volumen de los incidentes

existe un responsable para monitorear el volumen de los incidentes

existe un procedimiento para cuantificar el costo de los incidentes

G

E

S

T

I

O

N

D

E

I

N

C

I

D

E

N

T

E

S

Y

L

A

S

M

E

J

O

R

A

S

E

N

L

A

S

E

G

U

R

I

D

A

D

D

E

L

A

I

N

F

O

R

M

A

C

I

O

N

GESTIO

N D

E L

OS IN

CID

EN

TES Y

LAS M

EJO

RAS E

N L

A S

EG

URID

AD

DE L

A IN

FO

RM

AC

ION

SI 1,42%

SI 1,42%

SI 1,42%

SI 1,42%

SI 1,42%

SI 1,42%

NO 0,00%

NO 0,00%

REC

OLEC

CIO

N D

E E

VID

EN

CIA

NO 0,00%

existe un responsable para recolectar evidencia para la toma de

medidas disciplinariasNO 0,00%

SI 1,42%

APREN

DIZ

AJE D

EBID

O A

LO

S IN

CID

EN

TES E

N L

A S

EG

URID

AD

DE L

A IN

FO

RM

AC

ION

SI 1,42%

SI 1,42%

SI 1,42%

SI 1,42%

No Cumple

30%

Cumple 70%


No Cumple

92%

Cumple 8%


Documents

ANÁLISIS Y DEFINICIÓN DE PROCESOS PARA EL SISTEMA DE