SI/NO/NA RECOMENDACIONE S 1.1.

1 Se tiene definido un documento referente a NO la poltica de seguridad de la informacin, ha sido aprobado por la Direccin y se encuentra disponible para todos los usuarios? 1,1,2 Se tiene establecido un proceso de NA revisin de la poltica de seguridad en perodos de tiempo determinado, con un soporte escrito? ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD SI/NO/NA RECOMENDACIONE S DE LA INFORMACIN. 2.1.1 2,1,2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 Existe un compromiso escrito por parte de la Direccin frente a la seguridad de la informacin? Existe un comit multidisciplinario para la coordinacin de la seguridad de la informacin? Estn establecidas en un documento las funciones y responsables de la seguridad de la informacin? Esta definido el proceso de autorizacin de recursos para el tratamiento de la SI? Existe un documento que permita definir los acuerdos de confidencialidad? Se tiene definido un procedimiento para establecer contacto con las autoridades pertinentes en caso de emergencia? Se tiene definido un procedimiento de participacin y contacto con grupos de especial inters en la seguridad de la informacin? Se tienen establecidos procedimientos independientes para la revisin de la seguridad de la informacin? Se tiene un procedimiento para la identificacin de los riesgos derivados del acceso de terceros? Existe un procedimiento en el cual se garantice el tratamiento de la seguridad en relacin con los clientes? Existe un procedimiento que contemple los aspectos de seguridad en contratos con terceros? GESTIN DE ACTIVOS. NO NO NO NO NO NO NO

POLTICA DE SEGURIDAD DE LA INFORMACIN

2.1.8 2.2.1 2.2.2 2.2.3

NO NO NO NO SI/NO/NA RECOMENDACIONE

S 3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 Existe un inventario de los activos de la organizacin? Existe un procedimiento para la asignacin de responsables sobre los activos? Existe un documento donde se establezca cual es el uso adecuado de los activos por parte de los responsables? Existe un documento que contemple las directrices de clasificacin de la informacin? Existe un procedimiento escrito que defina la forma de etiquetado y manipulacin de la informacin? SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. Existe un documento en el cual se defina el procedimiento teniendo en cuenta funciones y responsabilidades de cada cargo o perfil? Existe un procedimiento de investigacin de antecedentes del personal antes de su ingreso? Existe un documento donde se establezcan los trminos y condiciones de contratacin? Existe un documento por parte de la gerencia en el cual se establezca la responsabilidad de cada persona frente a la seguridad de la informacin? NO NO NO NO NO SI/NO/NA RECOMENDACIONE S NO

4.1.1

4.1.2 4.1.3 4.2.1

NO NO NO

4.2.2

Existe un mecanismo que permita NO sensibilizar, formar y capacitar en seg. de la informacin a cada uno de los empleados? Existe un procedimiento escrito que estipule sanciones y/o procesos disciplinarios en caso de violacin de la seguridad de la informacin? Se tiene definidos procedimientos para garantizar la seguridad de la informacin en caso de retiro de un empleado? Se tienen establecidos procedimientos escritos para la devolucin de activos al finalizar el contrato de un empleado? Se tienen establecidos procedimientos NO

4.2.3

4.3.1 4.3.2 4.3.3

NO NO NO

escritos para eliminacin de usuarios, contraseas y derechos de acceso al finalizar el contrato del empleado? SEGURIDAD FSICA Y DEL ENTORNO. SI/NO/NA RECOMENDACIONE S 5.1.1 Existe un documento que defina los NO permetros de seguridad fsica dentro de la organizacin? 5.1.2 Existe controles fsicos de entrada? NO 5.1.3 Existe un documento en el cual se definan NO las normas mnimas de seguridad de oficinas, despachos e instalaciones? 5.1.4 Existe un procedimiento documental que NO defina las medidas de proteccin y respaldo de la informacin contra las amenazas externas y de origen ambiental (cortes de energa, tormentas, terremotos,..? 5.1.5 Se tiene definido un procedimiento sobre NO los elementos y requerimientos para el trabajo en reas seguras, con soporte escrito? 5.1.6 Existe un documento donde se NO establezcan las normas y procedimientos de seguridad referente a las reas de acceso pblico, carga y descarga? 5.2.1 Se tiene establecido un procedimiento que NO se defina la ubicacin y proteccin de los equipos de la organizacin? 5.2.2 Existe un procedimiento que defina las NO normas para proteger las instalaciones de suministro (servicios pblicos)? 5.2.3 Se tiene establecido un procedimiento NO para controlar y proteger el cableado? 5.2.4 Se tiene definido un procedimiento para el NO mantenimiento preventivo y/o correctivo de los equipos? 5.2.5 Existe un procedimiento para garantizar la NO seguridad de los equipos que se conectan fuera de las instalaciones? 5.2.6 Existe un documento que defina el NO procedimiento de reutilizacin o retirada segura de equipos? 5.2.7 Existe un documento en el cual se NO establezcan los procedimientos y mtodos de retirada de materiales propiedad de la empresa? GESTIN DE COMUNICACIONES Y OPERACIONES SI/NO/NA RECOMENDACIONE

S 6.1.1 6.1.2 6.1.3 6.1.4 6.2.1 Existe documentacin de los procedimientos de operacin? Existe un documento donde se establezca los procedimientos para la gestin de cambios? Existe un documento en el cual se defina y asignen las funciones y responsabilidades (segregacin de tareas)? Existen un procedimiento donde se establezca la separacin de los recursos de desarrollo, prueba y operacin? Existe un documento el cual se establezcan las caracteristicas de seguridad que deben garantizar los servicios provistos por terceros? Existen un procedimiento de supervisin y revisin de los servicios prestados por terceros? Se tiene establecido un procedimiento de cambios en los servicios prestados por terceros? Se tiene un documento en el cual se planee como se llevara a cabo la gestin de capacidades de los diferentes sistemas? Se tiene establecido en un documento los procedimientos de comprobacin de operatividad y funcionamiento de cada uno de los sistemas? Se tiene establecido procedimientos para controlar el cdigo malicioso? Se tienen establecidos procedimientos para controlar el cdigo descargado por los usuarios? Se tienen establecidos en un documento los procedimientos para realizar copias de seguridad de la informacin? Se tienen definidos procedimientos para los controles de red? Se tienen establecidas medidas para la seguridad de los servicios de red, por medio de un procedimiento? Se tienen establecidas en un documento las polticas para el uso y gestin de medios extrables? Se tienen establecidos procedimientos para la eliminacin y retirada de soportes de NO NO NO NO NO

6.2.2 6.2.3 6.3.1 6.3.2

NO NO NO NO

6.4.1 6.4.2 6.5.1 6.6.1 6.6.2 6.7.1 6.7.2

NO NO NO NO NO NO NO

6.7.3 6.7.4 6.8.1 6.8.2 6.8.3 6.8.4 6.8.5

6.9.1 6.9.2 6.9.3 6.10,1 6.10.2 6.10.3 6.10.4 6.10.5 6.10.6

la informacin? Se tienen establecidos los procedimientos de manipulacin de soportes de la informacin? Se tienen establecidas polticas para mantener la seguridad de la documentacin de los sistemas? Existen polticas y procedimientos de intercambio de informacin? Existe un procedimiento que defina acuerdos de intercambio de informacin? Existen procedimientos que garanticen la seguridad de los soportes fsicos en trnsito, en el intercambio de la informacin? Existen polticas para la seguridad de la mensajera electrnica? Existen polticas escritas que indiquen los procedimientos para garantizar la seguridad de los sistemas de informacin empresariales? Se tiene un procedimiento que garantice la seguridad en el comercio electrnico? Existen procedimientos que garanticen la seguridad en las transacciones en lnea? Se tienen procedimientos para garantizar la seguridad de la informacin pblicamente disponible? Se tienen documentos en los cuales se encuentren los registros de auditora? Existe un documento en el cual se establezca los mecanismos de supervisin del uso del sistema? Se tienen definidos procedimiento de proteccin de la informacin de los registros de los sistemas? Se tienen establecidos procedimientos de registros de administracin y operacin de los sistemas de informacin? Se tienen establecidas bitcoras de registro de fallos? Se tiene establecido un procedimiento por medio del cual se lleve a cabo la sincronizacin del reloj en los equipos de la organizacin ? CONTROL DE ACCESO

NO NO NO NO NO NO NO

NO NO NO NA NO NO NO NO NO

7.1.1

SI/NO/NA RECOMENDACIONE S Se tienen actualmente polticas de control NO

7.2.1 7.2.2

7.2.3 7.2.4 7.3.1 7.3.2 7.3.3 7.4.1 7.4.2 7.4.3

7.4.4 7.4.5 7.4.6 7.4.7 7.5.1 7.5.2 7.5.3

de acceso? Se tiene actualmente un procedimiento formal para el Registro de usuarios? Actualmente se tiene un procedimiento para controlar la asignacin y el uso de privilegios, para otorgar acceso a los sistemas? Se tiene un procedimeinto con el se controle de gestin de las contraseas de usuario? Revisa actualmente la gerencia los derechos de acceso de los usuarios utilizando un proceso formal? Se tienen establecidos procedimientos para la asignacin y uso de contraseas en la red? Se tienen procedimientos para el manejo casos de usuarios desatendidos? Se tiene definida una poltica de puesto de trabajo despejado y pantalla limpia? Se tienen polticas establecidas para el uso de los servicios en red? Se tienen procedimientos de autenticacin para el acceso de usuarios remoto? Se tienen procedimientos para la identificacin automtica de los equipos como un medio para autenticar las conexiones desde equipos especficos? Se tienen procedimientos para el control de acceso lgico y fsico a los puertos de configuracin y de diagnstico? Se tienen procedimientos para separar los grupos usuarios dentro de los sistemas de informacin? Se han definido procedimientos para restringir la capacidad de conexin de los usuarios en las redes compartidas? Se cuenta con un procedimeinto en el cual se defina como se debe llevar a cabo el control de enrutamiento de la red? Se tienen procedimientos de registro de inicio seguro en el acceso a los servicios operativos? Se tienen procedimientos en los cuales se defina y garantice que todos los usuarios cuentan con una Identificacin nica? Se tienen procedimientos que permitan

NO NO

NO NO NO NO NO NO NO NO

NO NO NO NO NO NO NO

que los Sistemas de gestin de contraseas sean interactivos y aseguren la calidad de las claves? 7.5.4 Se tienen definidos procedimientos que restrinjan y controlen el Uso de programas que podran sobrecargar los recursos del sistema? 7.5.5 Se tienen procedimientos que suspendan automticamente las sesiones inactivas, despus de un periodo definido? 7.5.6 Se tienen procedimientos que limiten los tiempos de conexin? 7.6.1 Se tienen definidos procedimientos que restrinjan el acceso a la informacin? 7.6.2 Se tienen procedimientos en los cuales se define cuales son los sistemas sensibles y como deben estar aislados (es decir aparte del resto de recusos informaticos de la compaia)? 7.7.1 Se tiene una poltica definida con los aspectos de seguridad que permita la proteccin contra los riesgos al uso de computacin y comunicaciones mviles? 7.7.2 Se tienen definidas polticas, planes de operacin y procedimientos para las actividades de trabajo remoto? ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE SISTEMAS DE INFORMACIN 8.1.1 Se tienen establecidos los requisitos de seguridad de los sistemas de informacin? 8.2.1 Se tienen procedimientos de validacin de los datos de entrada a las aplicaciones? 8.2.2 Se tienen procedimientos de verificacin y validacin en las aplicaciones? 8.2.3 Se tienen definidos los requisitos y procedimientos para la autenticidad e integridad de los mensajes en las aplicaciones? 8.2.4 Se tienen definidos procedimientos de validacin de los datos de salida de una aplicacin que garanticen el procesamiento de la informacin almacenada? 8.3.1 Se tienen definida una poltica de cifrado de la informacin? 8.3.2 Se tienen procedimientos de gestin de claves con tcnicas criptogrficas en la organizacin?

NO

NO NO NO NO

NO

NO SI/NO/NA RECOMENDACIONE S NO NO NO NO

NO

NO NO

8.4.1

Se tienen establecidos procedimientos par a la instalacin de software en los sistemas operativos? 8.4.2 Se tienen definidos procedimientos de proteccin de los datos de prueba del sistema? 8.4.3 Se tienen definidos procedimientos que restrinjan el acceso al cdigo fuente de los programas? 8.5.1 Se tienen establecidos procedimientos para la realizacin de cambios en los sistemas de informacin? 8.5.2 Se tienen definidos procedimientos que permitan realizar una revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo? 8.5.3 Se tienen definidos procedimientos que restrinjan las modificaciones en los paquetes de software? 8.5.4 Se tienen establecidos procedimientos que eviten las fugas de informacin? 8.5.5 Se tienen definidas supervisiones y monitoreo sobre el software contratado externamente? 8.6.1 Se tiene definido un procedimiento que permita obtener informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin? GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN 9.1.1 Se tiene definido una procedimiento de notificacin de los eventos de seguridad de la informacin? 9.1.2 Se ha establecido un procedimiento para informar sobre los puntos dbiles de seguridad, de empleados, contratistas y usuarios de terceras partes? 9.2.1 Se tienen definidas las responsabilidades y los procedimientos para los incidentes de Seguridad de la informacin? 9.2.2 Se tiene establecido un mecanismo cuantificable que permita conocer el costo de los incidentes de seguridad de la informacin? 9.2.3 Se tiene definido un procedimiento para la recopilacin de evidencias de un incidente de seguridad?

NO NO NO NO NO

NO NO NO NO

SI/NO/NA RECOMENDACIONE S NO NO

NO NA Definir e implementar se es necesario.

NO

SI/NO/NA GESTIN DE LA CONTINUIDAD DEL NEGOCIO 10.1.1 Inclusin de la seguridad de la informacin SI en el proceso de se tiene definido un proceso de gestin de continuidad del negocio con los aspectos de la seguridad de la informacin? 10.1.2 Se tiene definido un procedimiento que NO identifique los eventos que pueden ocasionar interrupciones en los procesos del negocio? Se tienen definidos planes para mantener SI o recuperar las operaciones despus de la interrupcin o falla en los procesos crticos para el negocio? Se tiene establecido los planes de SI continuidad del negocio, basados en una sola estructura?

RECOMENDACIONE S Se debe revisar y realizar pruebas para saber si funciona adems de documentar el procedimiento.

10.1.3

10.1.4

Se debe revisar y realizar pruebas para saber si funciona adems de documentar el procedimiento. Se debe revisar y realizar pruebas para saber si funciona adems de documentar el procedimiento.

10.1.5

11.1.1

11.1.2

11.1.3 11.1.4 11.1.5

Se tienen establecidos procedimientos de NO pruebas de mantenimiento y reevaluacin de planes de continuidad del negocio? SI/NO/NA RECOMENDACIONE CUMPLIMIENTO S Se cuenta con la documentacin sobre la NO legislacin aplicable para cada sistema de informacin y para cada recurso asignado a la seguridad de la informacin por parte de la organizacin? Se tienen definidos procedimientos que NO garanticen el cumplimiento de los requisitos legales, reglamentarios y contractuales con respecto a los derechos de propiedad intelectual? Se tienen definidos procedimientos contra NO la prdida, destruccin y falsificacin de los registros de la organizacin? Se tienen definidos procedimientos que garanticen la proteccin de los datos y NO privacidad de la informacin personal? Se tienen definidos procedimientos para NO que los usuarios realicen buenas prcticas de los servicios de procesamiento de la

11.1.5.6 11.2.1 11.2.2 11.3.1 11.3.3

informacin? Se tienen establecidos controles criptogrficos que cumplan con las leyes y los reglamentos pertinentes? Los directores garantizan que los procedimientos de seguridad se llevan a cabo correctamente? Se tiene establecido un procedimiento de verificacin de los sistemas de informacin? Se tienen establecidos procedimientos, actividades y requisitos de verificacin de los sistemas operativos? Se protege el acceso a las herramientas de auditoria de sistemas de informacin para evitar mal uso?

NO NO NO NO NO