Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Declaracion de aplicabilidad de controles de seguridad

Anuncio 
DECLARACION DE APLICABILIDAD
Numero
5
5.1
5.1.1
5.1.2
CONTROL
6.1
6.1.1
ORGANIZACIÓN SEGURIDAD
Control: Generar El documento de la política de seguridad de la
información, aprobandola por la dirección, publicandola y
comunicadola a todos los empleados y partes externas.
X
Control: la dirección debe apoyar activamente la seguridad dentro de
la entidad con un rumbo claro, un compromiso demostrado , una
asignación explicita y el conocimiento de las responsabilidades de la
seguridad de la información
X
x
Proceso de Autorización
a áreas de procesamiento de información
Control: Se debe definir e implementar un proceso de autorización de
La dirección para nuevos servicios de procesamiento de información
x
Se realizan acuerdos de confidencialidad
Control: Se deben identificar y revisar con regularidad los requisitos de
confidencialidad o los acuerdos de no-divulgación que reflejan las
necesidades de la entidad para la protección de la información
Control: Se deben mantener contactos apropiados con las autoridades
pertinentes
Asignación de responsabilidades
6.1.4
Contacto con las autoridades
6.1.7
Contacto con grupos de interés
6.1.8
x
Control: Se deben definir claramente todas las responsabilidades en
cuanto a seguridad de la información.
6.1.3
6.1.6
Se realiza Auditoría interna
6.2
TERCEROS
6.2.1
Identificación de riesgos
x
x
Control: Tener contactos adecuados con grupos especiales de interés u
otros foros especializados de seguridad o asociaciones profesionales
deben ser implementados.
x
Control: La aproximación de la entidad a la gestión de la seguridad de
la información y su implementación debe ser revisada
independientemente a intervalos planeados o cuando cambios
significativos ocurran en la implementación de la seguridad.
x
Control: Los riesgos de la seguridad de la información de los procesos
de negocio y sus instalaciones de procesamiento, que incluyan a
terceras partes deben ser identificados y adicionalmente se deben
implementar los controles apropiados antes de permitir el acceso.
Control: Todos los requerimientos de seguridad deben ser atendidos
antes de permitir el acceso a los clientes sobre la información o los
activos de la entidad
Aproximación a la seguridad en acuerdos con terceros Control: Los acuerdos con terceros que incluyan el acceso,
procesamiento, comunicación o gestión de la información de la entidad
o las instalaciones de procesamiento de información, o añadir
productos o servicios a las mismas deben cubrir todos los
requerimientos de seguridad relevantes.
6.2.2
X
Control: la política de seguridad de la información debe ser revisada a
intervalos planeados, o si cambios significativos ocurren, para
garantizar la continuidad, sostenibilidad, efectividad y que es
adecuada.
Coordinación de la
Seguridad
6.1.5
x
Aproximación a la seguridad al tratar con clientes
6.2.3
7
7.1
7.1.2
7.1.3
7.2
7.2.1
7.2.2
8
8.1
8.1.1
Normas para
clasificación de la información
Control: La información debe ser clasificada en términos de su valor,
requisitos legales, sensitividad y criticidad para la organización.
Identificación y Manejo de la información
Control: Un conjunto de procedimientos para el etiquetado y
manipulación debe ser desarrollado e implementado de acuerdo al
esquema de clasificación adoptado por la entidad
Es necesario que las actividades de la seguridad de la información
sean coordinadas por los representantes de todas las oficinas de la
ESAP con roles y funciones laborlaes para un excelente cumplimiento
al objetivo de seguridad
Se requiere definir todas las responsabilidades en cuanto a seguridad
de la información para una mejor gestion en los procesos de seguridad
Por ser los representantes de alto nivel de la ESAP, estan en el deber
de validar y autorizar la implementacion de nuevos servicios de
procesamiento de informacion.
Con el objetivo de preservar la confidencialidad de la información se
deben realizar acuerdos de confindencialidad, que impliquen la no
divulgacion de la informacion
Se es necesario tener el contacto con las autoridades para darle
solucion a problemas estrictamente legales que incumplan las leyes
penales colombianas
Se hace necesario para un mejor cumplimiento, contar con la
orientaciíon o asesoría de personas expertas en temas de seguridad
de la información, para en el caso de presentarse incidentes saberlos
tratar.
Para determinar fallas que ocasionen retrasos en las operaciones de la
empresa, así como vulnerabilidades y oportunidades de mejora en sus
sistemas de informacion
Es necesario ya que permite conocer las amenazas y
vulenerabilidades de los activos de informacion
X
Es necesario tratar las vulnerabilidades detectadas, con el fín de
garantizar la confiabilidad a los clientes.
X
Con el fín de mantener la integridad, disponibilidad y confidencialidad
de la información, se debe dar cumplimiento a los requerimientos
definidos en el SGSI en cuanto a terceros.
X
Es necesario tener un inventario de activos de informacion para tener
una trazabilidad en los recursos, y saber que recuperar en caso de
desastres
Para una mejor trazabilidad de los procesos
X
X
se ve en la necesidad de definir lineamientos que orientan en el uso
adecuado de la plataforma tecnológica de la entidad, así como definir
recomendaciones para obtener el mayor provecho y evitar el uso
indebido de los recursos tecnológicos.
X
La informacion debe ser clasificada para una mejor trazabilidad y
tratamiento de la información
Para tener un buen conocimiento de la informacion a tratar.
X
SEGURIDAD RECURSO HUMANO
PREVIO A LA CONTRATACION
Términos y condiciones laborales
8.2
la direccion debe tener un compromiso porque son los representantes
de alto nivel de la entidad que le dan viabilidad a la iniciativa
requerida para la implementacion del modelo de la politica de
seguridad publica
CLASIFICACION DE LA INFORMACION
Investigación del personal que va a ser contratado
8.1.3
se ve en la necesidad de definir lineamientos que orientan en el uso
adecuado de la plataforma tecnológica de la entidad, así como definir
recomendaciones para obtener el mayor provecho y evitar el uso
indebido de los recursos tecnológicos.
Se debe realizar la revision y evaluacion de la politica de seguridad de
la información para saber que cambios se deben aplicar para tener una
version final y a su vez poder comunicarla a la comunidad de la ESAP.
GESTION DE ACTIVOS
Roles y responsabilidades
8.1.2
JUSTIFICACION DE APLICACIÓN O EXCLUSION
RESPONSABILIDAD DE ACTIVOS
Inventario de activos tecnológicos y de la información. Control: Todos los activos deben estar claramente identificados y se
deben elaborar y mantener un inventario de todos los
activosimportantes.
Responsables de los activos tecnológicos
Control: Toda la información y los activos asociados con los servicios
de procesamiento de información deben estar en custodia de unaparte
designada de la entidad.
Uso aceptable de las activos tecnológicos
Control: Se deben identificar, documentar e implementar las reglas
sobre el uso aceptable de la información y de los activos asociados
conlos servicios de procesamiento de la información.
7.1.1
APLICA
NO
ORGANIZACIÓN INTERNA
Compromiso de la dirección con la seguridad de la
información
6.1.2
SI
POLÍTICA DE SEGURIDAD
POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN
Se tiene documento de la política de seguridad de la
Información
Se hace revisión y evaluación de este documento y se
promulga su lectura y aplicación.
6
DESCRIPCION
DURANTE EL EMPLEO
Control: Se deben definir y documentar los roles y responsabilidades
de los empleados, contratistas y usuarios de terceras partes, de
acuerdo con la política de seguridad de la información de la entidad.
Para un excelente cumplimiento de la politica de seguridad se deben
de definir y documentar los roles y responsabilidades
X
Control: Se deben realizar revisiones para la verificación de
antecedentes de los candidatos a ser empleados, contratistas o
usuarios de terceras partes, de acuerdo con los reglamentos, la ética y
las leyes pertinentes, y deben ser proporcionales a los requisitos del
negocio, la clasificación de la información a lo cual se va a tener
acceso y los riesgos percibidos.
X
Control: Como parte de su obligación contractual, los empleados,
contratistas y usuarios de terceras partes deben estar de acuerdo y
firmar los términos y condiciones de su contrato laboral, el cual debe
establecer sus responsabilidades y las de la entidad con relación a la
seguridad de la información.
X
Se debe tener la certeza que el personal a vincular en la entidad deben
ser la idoneas y no haber sido sancionadas ni disciplinaria, fiscal ni
judicialmente, de acuerdo a la Ley
Con la firma de las clausulas, se busca garantizar el cumplimiento del
objeto contractual y sus funciones u obligaciones. Lo anterior con el fin
de salvaguardar la intregridad, disponibilidad y confidencilidad
8.2.1
Responsabilidades de la dirección
Control: [La dirección] debe exigir que los empleados, contratistas y
usuarios de terceras partes apliquen la seguridad según las políticas y
los procedimientos establecidos por la entidad.
Conciencia de la seguridad, educación y entrenamiento Control: Todos los empleados de la entidad y, cuando sea pertinente,
los contratistas y los usuarios de terceras partes deben
recibirformación adecuada en concientización y actualizaciones
regularessobre las políticas y los procedimientos de la entidad, según
sea pertinente para sus funciones laborales.
8.2.2
8.2.3
Procesos disciplinarios
8.3
8.3.1
8.3.2
TERMINACION DEL CONTRATO O CAMBIO DE
EMPLEO
Responsabilidades en la terminación del contrato
Devolución de activos tecnológicos
8.3.3
9.1.1
9.1.2
9.1.3
9.2
9.2.2
9.2.3
Controles físicos de entrada
Control: Las áreas seguras deben estar protegidas con controles de
acceso apropiados para asegurar que sólo se permite el acceso
apersonal autorizado.
Control: Se debe diseñar y aplicar la seguridad física para oficinas,
recintos e instalaciones.
Ubicación y protección de equipos tecnológicos
Seguridad en el suministro de electricidad y servicios
(utilities)
Seguridad en el cableado
Seguridad de equipos fuera de las áreas seguras
10.1.1
Control: Se deben diseñar y aplicar protecciones físicas contra daño
por incendio, inundación, terremoto, explosión,
manifestacionessociales y otras formas de desastre natural o artificial.
Control: Se deben diseñar y aplicar la protección física y las directrices
para trabajar en áreas seguras.
Por ejemplo, a fin de evitar accesos físicos no autorizados, daños e
interferencias contra las instalaciones y la información de la entidad;
deberían definirse áreas seguras, resguardadas por un perímetro de
seguridad, con barreras de seguridad y controles de acceso apropiados
Los puntos de acceso tales como las áreas de carga y despacho y otros
puntos por donde pueda ingresar personal no autorizado a las
instalaciones, se deben controlar y si es posible, aislar de los servicios
de procesamiento de información para evitar el acceso no autorizado.
X
X
X
Se hace necesarios para evitar accesos no autorizados a la
informacion y daños de la misma
Se hace necesarios para evitar accesos no autorizados a la
informacion y daños de la misma
las oficians, cuartos e instalaciones se deben asegurar como
prevención y contramedidas ante amenazas a los recursos e
información confidencial
las oficians, cuartos e instalaciones se deben asegurar como
prevención y contramedidas ante amenazas a los recursos e
información confidencial
el trabajo en areas seguras se debe realizar por cumplimiento a la
normatividad ambiental y salud ocupacional , y protegiendo los activos
de informacion
X
Para evitar daños perdias y destruccion de la informaion por acceso no
autorizado a las areas restringidas del manejo de la información
X
Control: Los equipos deben estar ubicados o protegidos para reducir el
riesgo debido a amenazas o peligros del entorno, y las oportunidades
de acceso no autorizado.
Control: Los equipos deben estar protegidos contra fallas en el
suministro de energía y otras anomalías causadas por fallas en los
servicios de suministro.
Control: El cableado de energía eléctrica y de telecomunicaciones que
transporta datos o presta soporte a los servicios de información
debenestar protegidos contra interceptaciones o daños.
Control: Los equipos deben recibir mantenimiento adecuado para
asegurar su continua disponibilidad e integridad.
Control: Se debe suministrar seguridad para los equipos fuera de las
instalaciones teniendo en cuenta los diferentes riesgos de trabajar
fuera de las instalaciones de la entidad.
X
Garantizar que el riesgo de amenzas a equips tecnologicos no se
materialice por oportunidades de acceso no autorizados
X
Para garantizar la continuidad del negocio y disponiblidad de los
servicios
X
X
Para garantizar que las transferencias de informacion por la canales de
comunicación se realicen de forma segura.
Para asegurar la continuidad e integridad de los equipos
Para garantizar la seguridad de los equipos fuera de la entidad
X
Control: Se deben verificar todos los elementos del equipo que
contengan medios de almacenamiento para asegurar que se haya
eliminado cualquier software licenciado y datos sensibles o asegurar
que se hayan sobrescrito de forma segura, antes de la eliminación.
X
Extracción de activos informáticos
Control: Ningún equipo, información ni software se deben retirar sin
autorización previa.
X
Para tener un control en cuanto a licenciamientos, garantizando la
confidencialidad e integridad de la información
Para mantener la informacion que se encuentre en los equi´pos y el
buen funcionamiento del mismo
COMUNICACIONES Y MANEJOS OPERATIVOS
PROCESAMIENTOS OPERATIVOS Y
RESPONSABILIDADES
Documentación de procesos operativos
Control de Cambios
10.1.3
Segregación de funciones
10.1.4
Separación de los ambientes de Desarrollo, prueba y
producción
10.2
Para garantizar la integridad y confidencialidad de la informcion
Eliminación, destrucción
y reutilización de equipos
10.1.2
10.2.1
Por custudia de la informacion, y seguimiento a los activos de
informacion pertenecientes a la ESAP
SEGURIDAD DE LOS COMPONENTES TECNOLOGICOS
Mantenimiento
10
10.1
X
X
9.2.5
9.2.7
Para garantizar la ejecucion y cumplimento de lo contratado
Control: Se deben utilizar perímetros de seguridad (barreras tales
como paredes, puertas de acceso controladas con tarjeta o
mostradores de recepción atendidos) para proteger las áreas que
contienen información y servicios de procesamiento de información.
9.2.4
9.2.6
X
Perímetro de Seguridad
Física
Acceso público, envíos y áreas de carga
9.2.1
Se debe aplicar ya que la ley asi lo exige
SEGURIDAD FISICA Y AMBIENTAL
Trabajo en áreas restringidas / seguras
9.1.6
Se hace necesario la sensibilzación a las personas en cunto a
seguridad de la información con el fin de generar una cultura en la
entidad en el contexto de seguridad.
AREAS RESTRINGIDAS
Protección contra amenazas externas y ambientales
9.1.5
Control: Todos los empleados, contratistas o usuarios de terceras
partes deben devolver todos los activos pertenecientes a la entidad
que estén en su poder al finalizar su contratación laboral, contrato o
acuerdo.
la direccion debe tener un compromiso porque son los representantes
de alto nivel de la entidad que le dan viabilidad a la iniciativa
requerida para la implementacion del modelo de la politica de
seguridad publica y a su vez exigir el cumplimento de la misma
X
X
Aseguramiento de
oficinas, cuartos e instalaciones
9.1.4
Control: Se deben definir y asignar claramente las responsabilidades
para llevar a cabo la terminación o el cambio de la contratación
laboral.
X
Control: Los retiros de acceso de todos los empleados, contratistas o
usuarios de terceras partes a la información y a los servicios de
procesamiento de información se deben retirar al finalizar su
contratación laboral, contrato o acuerdo o se deben ajustar después
del cambio.
Eliminación de permisos sobre los activos
9
9.1
Control: Debe existir un proceso disciplinario formal para los
empleados que hayan cometido alguna violación de la seguridad.
X
Control: Procedimientos operativos deben ser documentados, operados
y estar disponibles a todos los usuarios que los necesiten.
Control: Los cambios a las instalaciones para el procesamiento de la
información y a los sistemas, deben ser controlados
Control: Las responsabilidades y las aéreas de responsabilidad deben
ser segregadas para reducir las oportunidades de modificación no
intencional o no autorizada, o un mal uso a las mismas.
Control: Los ambientes de desarrollo, pruebas e instalaciones
operacionales deben separarse para reducir el riesgo de acceso no
autorizado o cambios al sistema operacional.
X
X
X
X
se deben tener documentados todos sus procesos y registros con su
respectiva codificación; esto con la finalidad de mantener controles
internos que van a permitir una mejor gestión y desempeño por parte
del personal en cada área.
Para tener un control sobre los cambios en instalaciones para el
procesamiento de la informacion y los sistemas
Con el fin de reducir las oportunidades de modificación no intencional
o no autorizada, se deben segrega las funciones
se debe contar con ambientes de pruebas o desrrollo
independientemente de los ambientes de producción, esto con el fin de
reducir el riezgo de cambios o accesos no autorizados.
GESTION DE SERVICIOS DE TERCEROS
Prestación de servicios
Control: Se debe garantizar que los controles de seguridad, las
definiciones del servicio y los niveles de prestación del servicioincluidos
en el acuerdo, sean implementados, mantenidos y operados por las
terceras partes.
X
Con esto se busca garantizar la prestación de los servicios y dar
continuidad al negocio
10.2.2
10.2.3
10.3
10.3.1
10.3.2
Monitoreo y revisión de servicios de terceros
Gestión de cambios a servicios de terceros
Gestión de la capacidad
Aceptación de sistemas
PROTECCION CONTRA CODIGO MALICIOSO Y MOVIL
10.4.1
Controles contra código malicioso
10.5
10.5.1
10.6
10.6.1
10.6.2
10.7
Controles contra código móvil
Respaldo de la información.
Controles de la Red
Seguridad de los
Servicios de Red
Destrucción de medios
10.8
10.8.2
10.8.3
Procedimientos de manejo de la información
10.10
Control: Controles de detección, prevención y recuperación para la
protección contra código malicioso y los procedimientos de
sensibilización de los usuarios deben ser implementados.
Control: Cuando el uso de código móvil esté autorizado, la
configuración debe garantizar que el código móvil autorizado opera de
acuerdo a lo definido claramente en la política de seguridad, y la
ejecución del código móvil no autorizado debe ser prevenida.
Control: Se deben hacer copias de seguridad de la información y del
software, y se deben poner a prueba con regularidad de acuerdo con
la política de respaldo acordada.
Control: Las redes se deben mantener y controlar adecuadamente para
protegerlas de las amenazas y mantener la seguridad de los
sistemas y aplicaciones que usan la red, incluyendo la información en
tránsito.
Control: En cualquier acuerdo sobre los servicios de la red se deben
identificar e incluir las características de seguridad, los niveles de
servicio y los requisitos de gestión de todos los servicios de la red, sin
importar si los servicios se prestan en la entidad o se contratan
Control: Deben existir procedimientos para la gestión de medios
removibles
Control: Los medios deben ser eliminados de manera segura y sin
peligros (técnica, ambiental e industrialmente), usando procedimientos
formales.
Control: Los procedimientos para la manipulación y almacenamiento
de información debe ser establecido para proteger la información de la
divulgación no autorizada, o un mal uso
Control: Se deben establecer políticas, procedimientos y controles
formales de intercambio para proteger la información mediante el uso
de todo tipo de servicios de comunicación. Haciendo uso del manual
de interoperabilidad de GEL
Acuerdos para el
intercambio de información.
Control: Se deben establecer acuerdos para el intercambio de la
información y del software entre la entidad y partes externas.
Medios físicos en transito
Control: Los medios que contienen información se deben proteger
contra el acceso no autorizado, el uso inadecuado o la corrupción
durante el transporte más allá de los límites físicos de la entidad.
Sistemas de información de la entidad
10.9.3
x
Políticas y procedimientos del intercambio de
información
10.8.5
10.9.2
Control: Se deben establecer criterios de aceptación para sistemas de
información nuevos, actualizaciones y nuevas versiones y llevar a cabo
los ensayos adecuados del sistema durante el desarrollo y antes de la
aceptación y puesta en producción.
Control: La documentación del sistema debe ser protegida contra el
acceso no autorizado
Mensajería Electrónica
10.9
x
Seguridad de la documentación de los sistemas
intercambio de información.
INTERCAMBIO DE INFORMACION
10.8.4
10.9.1
Control: Se debe hacer seguimiento y adaptación del uso de los
recursos, así como proyecciones de los requisitos de la capacidad
futura para asegurar el desempeño requerido del sistema.
se busca tener una proyección del crecimiento de los diferentes
recursos del sistema, para de esta forma poder gestionar y garantizar
los reursos que se requerirán para el adecuado funcionamiento del
sistema.
debe existir un protocolo para aceptación de nuevos sistemas, con
esto se busca garantizar que los sistemas que se adquieran cumplan
con el objetivo para el cual se adquirió.
con esto se busca reducir el riesgo de perdida de información,
alteración de la información y no disponibilidad de la misma
X
El control en código movil se hace necesario para una mejor
confiabilidad de los usuarios
X
Se busca que la ESAP pueda recuperarse ante posibles desastres
X
se busca reducir el riesgo de accesos no autorizados a la red y a la
información, así como posibles ataques a la red
X
se debe garantizar que los servicios de red funcionen correctmente y
de forma segura.
X
MANIPULACION DE MEDIOS
Gestión de medios removibles
10.8.1
X
Para seguir con la linea de seguridad de la informacion implementada
y aplicada por la ESAP.
GESTION DE SEGURIDAD DE LA RED
10.7.2
10.7.4
Control: Los cambios en la prestación de los servicios, incluyendo
mantenimiento y mejora de las políticas exigentes de seguridad de la
información, en los procedimientos y los controles se deben gestionar
teniendo en cuenta la importancia de los sistemas y procesos de la
entidad involucrados, así como la reevaluación de los riesgos.
COPIAS DE SEGURIDAD
10.7.1
10.7.3
el objetivo es llevar un control yseguimiento del servicio prestado por
terceros
X
PLANEAMIENTO Y ACEPTACION DE SISTEMAS
10.4
10.4.2
Control: Los servicios, reportes y registros suministrados por terceras
partes se deben controlar y revisar con regularidad y las auditorías se
deben llevar a cabo a intervalos regulares.
Control: La información contenida en la mensajería electrónica debe
tener la protección adecuada.
Control: Se deben establecer, desarrollar e implementar políticas y
procedimientos para proteger la información asociada con la
interconexión de los sistemas de información de la entidad.
X
con esto se busca reducir el riesdo de fuga o perdida de información
confidencial
Se busca dar un adecuado tratamiento a los residuoe tecnológicos,
para no atentar con el medio ambiente
X
se busca reducir el riezgo de que la imagen o reputación de la ESAP
se vea afectada por divulgación o generación de información falsa o no
autorizada
X
Se busca evitar accesos no autorizados a la información
X
se busca garantizar la disponibilidad, integridad y confidencialidad de
la información a intercambiar con otras entidades.
X
el objetivo es establecer confidencialidad entre las partes a
intercambiar información
X
se debe garantizar la integridad y confidencilidad de los activos de
información cuando estos se transportan fuera de la entidad
X
se debe garantizar la integridad y confidencilidad de la información
cuando es enviada por medios electrónicos.
Con esto se busca garantizar el buen funcionamiento y seguridad de
los sistemas de información.
X
X
SERVICIOS DE COMERCIO ELECTRONICO
Comercio Electrónico
Transacciones en Línea
Información pública /
disponible al público
MONITOREO
Control: La información involucrada en el comercio electrónico que se
transmite por las redes públicas debe estar protegida contra
actividades fraudulentas, dispuestas por contratos y divulgación o
modificación no autorizada.
Porque no se tiene implemntado sistema de comercio electronico
X
Control: La información involucrada en las transacciones en línea debe
estar protegida para evitar transmisión incompleta, enrutamiento
inadecuado, alteración, divulgación, duplicación o repetición no
autorizada del mensaje.
Control: La integración de la información que se pone a disposición en
un sistema de acceso público debe estar protegida para evitar la
modificación no autorizada.
Porque no se tiene implemntado sistema de comercio electronico
X
el objetivo es garantizar la integridad de la información.
X
10.10.1
10.10.2
10.10.3
10.10.4
10.10.5
10.10.6
11
11.1
11.1.1
11.2
11.2.1
Registros de Auditoría
Monitoreo del uso del sistema
Protección de registros de monitoreo
Registros de monitoreo
de administradores y operadores
Registro de fallas
Sincronía /
sincronización de relojes
Política de Control de
Acceso
Registro de Usuarios
Gestión de Contraseñas
(passwords)
Revisión de los permisos asignados a los usuarios
Uso de las contraseñas
Equipos desatendidos
11.3.3
Política de escritorios y pantallas limpias
11.4
11.4.2
11.4.3
11.4.4
Políticas para el uso de
los servicios de la red de datos
Autenticación de
usuarios para conexiones externas
Identificación de equipos en la red
Diagnóstico remoto y
protección de la configuración de puertos
Separación en la redes
11.4.6
Control de conexión a la red de trabajo
11.5
11.5.1
11.5.2
Control de enrutamiento de red
Procedimientos para
inicio de sesión de las estaciones de trabajo
Identificación y autenticación de los usuarios.
Sistema de gestión de contraseñas.
11.5.4
Uso de las utilidades del sistema
11.5.6
11.6
X
X
X
estos registros son valiosos para el control de cambios generados y
serían útiles en procesos de auditoría.
el analisis de fallas servirá para tomar acciones de mejora
El objetivo es que todos los sistemas manejen el mismo horario para
evitar inconsistencias en procesamientos de información y posibles
reclamaciones por parte de los usuarios.
Control: Se debe establecer, documentar y revisar la política de
control de acceso con base en los requisitos de la entidad y de la
seguridad para el acceso.
X
Se debe garantizar que unicamente acceda a la información, red y
servicios el personal autorizado.
Control: Debe existir un procedimiento formal para el registro y
cancelación de usuarios con el fin de conceder y revocar el acceso a
todos los sistemas y servicios de información.
Control: Se debe restringir y controlar la asignación y el uso de
privilegios.
Control: La asignación de contraseñas se debe controlar a través de un
proceso formal de gestión.
Control: [La dirección]3debe establecer un procedimiento formal de
revisión periódica de los derechos de acceso de los usuarios.
X
X
X
permitirá controlar el personal al que se le brinda acceso y
manipulación a la información
permitirá controlar el personal al que se le brinda acceso y
manipulación a la información
para garantizar la confidencialidad, integridad de la información
X
Se busca garantizar que no se realice elevación de permisos a los
usuarios
Control: Se debe exigir a los usuarios el cumplimiento de buenas
prácticas de seguridad en la selección y el uso de contraseñas.
X
se busca reducir el riezgo de suplantación de identidad por el mal uso
de contraseñas.
Control: Los usuarios deben asegurarse de que a los equipos
desatendidos se les da protección apropiada.
Control: Se debe adoptar una política de escritorio despejado para
reportes y medios de almacenamiento removibles y una política de
pantalla despejada para los servicios de procesamiento de información.
x
el objetivo es que los equipos estén debidamente custodiados.
Para garantizar la confindencialidad de la informacion
X
Control: Los usuarios sólo deben tener acceso a los servicios para cuyo
uso están específicamente autorizados.
Control: Se deben emplear métodos apropiados de autenticación para
controlar el acceso de usuarios remotos.
Control: La identificación automática de los equipos se debe considerar
un medio para autenticar conexiones de equipos y ubicaciones
específicas.
Control: El acceso lógico y físico a los puertos de configuración y de
diagnóstico debe estar controlado.
Control: En las redes se deben separar los grupos de servicios de
información, usuarios y sistemas de información.
Control: Para redes compartidas, especialmente aquellas que se
extienden más allá de las fronteras de la entidad, se debe restringir la
capacidad de los usuarios para conectarse a la red, de acuerdo con la
política de control del acceso y los requisitos de aplicación de la
entidad.
Control: Se deben implementar controles de enrutamiento en las redes
con el fin de asegurar que las conexiones entre computadores y los
flujos de información no incumplan la política de control del acceso de
las aplicaciones de la entidad.
X
X
X
X
X
garantizar la confindecialidad e integridad de la informacin
garantizar la condencialidad de la informacion establecioendo
autenticaciones seguras de usuarios para conexiones externas
La identificación automática de los equipos se debe considerar un
medio para autenticar conexiones de equipos y ubicaciones
específicas.
Para garantizar la cofindecialidad e integridad de la informacion
para tener una trazabilidad en las comunicaciones
Para garantizar la cofindecialidad e integridad de la informacion
X
Se busca evitar el inclumplimiento de las políticas de control de acceso
X
CONTROL DE ACCESO A LOS SISTEMAS OPERATIVOS
11.5.3
11.5.5
se busca garantizar la integridad de la información.
X
CONTROL DE ACCESO A LA RED DE DATOS
11.4.5
11.4.7
El monitoreo constante permitirá identificar posibles anomalias, y
permitirá realizar correctivos cuando sea necesario.
RESPONSABILIDADES DE LOS USUARIOS
11.3.2
11.4.1
Control: Se debe registrar las actividades tanto del operador como del
administrador del sistema.
Control: Las fallas se deben registrar y analizar, y se deben tomar las
acciones adecuadas.
Control: Los relojes de todos los sistemas de procesamiento de
información pertinentes dentro de la entidad o del dominio de
seguridad deben estar sincronizados con una fuente de tiempo exacta
y acordada.
X
Gestión de acceso de los usuarios
11.2.3
11.3
Control: Los servicios y la información de la actividad de registro se
deben proteger contra el acceso o la manipulación no autorizados.
X
CONTROL DE ACCESO A LA INFORMACION
Gestión de privilegios
11.3.1
Control: Se deben establecer procedimientos para el monitoreo del uso
de los servicios de procesamiento de información, y los resultados de
las actividades de monitoreo se deben revisar con regularidad.
Para determinar fallas que ocasionen retrasos en las operaciones de la
ESAP, así como vulnerabilidades y oportunidades de mejora
Requerimientos de control de acceso de acuerdo a las necesidades del negocio.
11.2.2
11.2.4
Control: Se deben elaborar y mantener durante un periodo acordado
las grabaciones de los registros para auditoría de las actividades de los
usuarios, las excepciones y los eventos de seguridad de la información
con el fin de facilitar las investigaciones futuras y el monitoreo del
Tiempo de la inactividad de la sesión
Limitación en los periodos de tiempo de conexión a
servicios y aplicaciones
CONTROL DE ACCESO A LAS APLICACIONES
Control: El acceso a los sistemas operativos se debe controlar
mediante un procedimiento de registro de inicio seguro.
Control: Todos los usuarios deben tener un identificador único (ID del
usuario) únicamente para su uso personal, y se debe elegir una
técnica apropiada de autenticación para comprobar la identidad
declarada de un usuario.
Control: Los sistemas de gestión de contraseñas deben ser interactivos
y deben asegurar la calidad de las contraseñas.
Control: Se debe restringir y controlar estrictamente el uso de
programas utilitarios que pueden anular los controles del sistema y de
la aplicación.
X
X
X
X
Control: Las sesiones inactivas se deben suspender después de un
período definido de inactividad.
X
Control: Se deben utilizar restricciones en los tiempos de conexión
para brindar seguridad adicional para las aplicaciones de alto riesgo.
X
se busca garantizar que solo puedan acceder a la red y sus servicios
aquellos usuarios debidamente autorizados.
se busca evitar el riesgo de suplantación de identidad, el cual puede
ocasionar accesos no autorizados y posibles violaciones a la
confidencializad e integridad de la información.
Se deben generar contraseñas seguras, para reducir el riesgo de
acceso no autorizado
Se busca evitar que las utilidades abran huecos de seguridad en la red
y aplicaciones, los cuales pueden ser utilizados para realizar ataques.
para evitar bloqueos que impidan que otros usuarios puedan ingresar a
los servicios y de esta forma no afectar la disponibilidad de los
servicios.
asegurar que la información se procese en tiempos prudenciales, con
el fin de tener una trazabilidad en los servicios.
11.6.1
11.6.2
11.7
11.7.1
11.7.2
12
12.1
12.1.1
12.2
12.2.1
12.2.2
12.2.3
12.2.4
12.3
12.3.1
12.3.2
12.4
12.4.1
12.4.2
12.4.3
12.5
Restricción de acceso a los sistemas de información
Aislamiento de sistemas sensibles
Computación Móvil y comunicaciones
Teletrabajo / trabajo remoto
13.2.1
13.2.2
se debe garantizar ofreciendo las condiciones de seguridad
adecuadas, que el personal autorizado pueda acceder y desempeñar
sus labores cuando se encuentre fuera de las instalaciones de la
ESAP y se requiera este tipo acceso
X
Se deberían validar los datos de entrada utilizados por las aplicaciones
para garantizar que estos datos son correctos y apropiados.
X
Garantizar que los datos de entrada sean los correctos mediante una
correcta validacion
X
Evitar la corrupcion de la informacion debidos a errores de
procesamiento
Validación de los datos de entrada
Control del procesamiento interno
Integridad de los mensajes
Validación de los datos de salida
Se deberían incluir chequeos de validación en las aplicaciones para la
detección de una posible corrupción en la información debida a errores
de procesamiento o de acciones deliberadas.
identificar los requisitos para asegurar la autenticidad y protección de
la integridad del contenido de los mensajes en las aplicaciones, e
identificar e implantar los controles apropiados.
Validar los datos de salida de las aplicaciones para garantizar que el
procesamiento de la información almacenada es correcto y apropiado a
las circunstancias
X
X
Se busca mantener los niveles de seguridad ante cualquier adquisición
o mejoras realizadas a las aplicaciones.
se busca garantizar que que los datos procesados sean los
adecuados, para que de esta forma la información generada sea
consistente.
Asegurar la auntenticidad y proteccion de la integridad del contenido
de los mensajes en las aplicaciones, e identificar e implementar los
controles apropiados.
Garantizar que el procesamiento de la informacion es el correcto
X
CONTROLES CRIPTOGRAFICOS
Política para el uso de controles criptográficos
Gestión de llaves
Control: Se debe desarrollar o implementar una política sobre el uso de
controles criptográficos para la protección de la información.
X
Control: Se debe implementar un sistema de gestión de llaves para
apoyar el uso de las técnicas criptográficas por parte de la entidad.
x
Garantizar la integridad de la informacion
Garantizar la confidencialidad e integridad de la informacion,
garantizando el no repudio
SEGURIDAD EN LOS ARCHIVOS DEL SISTEMA (System Files)
Control: Deben existir procedimientos en funcionamiento para
controlar la instalación de software en los sistemas operativos
Protección de los datos en sistemas de prueba
Control: Datos de prueba deben ser seleccionados cuidadosamente,
protegidos y controlados.
Control de acceso a las librerías de código fuente
Control: El acceso al código fuente de los programas debe ser
restringido.
Seguridad en el desarrollo y en los procesos de soporte técnico
Control del software operacional(operativo)
Restricciones a cambios en paquetes de software
Desarrollo de software
por parte de Outsourcing
/ contratado externamente
GESTION TECNICA DE VULNERABILIDADES
13.2
X
Control: Los datos de entrada para las aplicaciones deben ser
validados para garantizar que estos datos son correctos y apropiados
12.5.5
13.1.2
X
Procesamiento correcto en aplicaciones
Fuga de información
13.1.1
Control: Se deben desarrollar e implementar políticas, planes
operativos y procedimientos para las actividades de trabajo remoto.
se busca evitar el riezgo de filtración de información confidencial o
perdida de la confidencialidad
Control: Las declaraciones sobre los requisitos de la entidad para
nuevos sistemas de información o mejoras a los sistemas existentes
deben especificar los requisitos para los controles de seguridad.
12.5.4
13.1
Control: Se debe establecer una política formal y se debe adoptar las
medidas de seguridad apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y comunicaciones
móviles.
Análisis y
especificaciones de los requerimientos de seguridad
Revisión técnica de aplicaciones después de cambios
al sistema operativo
13
Para evitar posibles pérdidas de información.
REQUERIMIENTO DE SEGURIDAD PARA LOS SISTEMAS DE INFORMACION
Procedimientos para el control de cambios
12.6
X
DESARROLLO DE SOFTWARE
12.5.2
12.6.1
Control: Los sistemas sensibles deben tener un entorno informático
dedicado (aislados).
X
Es necesario contar con una definición de roles en el sistema, para
evitar el acceso no autorizado por parte de usuarios o personal no
idoneo.
COMPUTACION MOVIL O TELETRABAJO
12.5.1
12.5.3
Control: Se debe restringir el acceso a la información y a las funciones
del sistema de aplicación por parte de los usuarios y del personal de
soporte, de acuerdo con la política definida de control de acceso.
Control técnico de vulnerabilidades
GESTION DE INCIDENTES DE SEGURIDAD DE LA
INFORMACION
REPORTE DE
EVENTOS DE SEGURIDAD INFORMÁTICA Y DE SUS
DEBILIDADES
Reporte de eventos de Seguridad de la información.
Reporte de debilidades de seguridad
Gestión de incidentes de
seguridad informática y de su mejoramiento
Responsabilidades y procedimientos
Aprendizaje a partir de los incidentes de seguridad
Control: Se deben controlar la implementación de cambios utilizando
procedimientos formales de control de cambios.
Control: Cuando se cambian los sistemas operativos, las aplicaciones
críticas para el negocio se deben revisar y someter a prueba para
asegurar que no hay impacto adverso en las operaciones ni en la
seguridad de la entidad.
Control: Se debe desalentar la realización de modificaciones a los
paquetes de software, limitarlas a los cambios necesarios, y todos los
cambios se deben controlar estrictamente.
Control: Se deben evitar las oportunidades para que se produzca fuga
de información.
Control: La entidad debe supervisar y monitorear el desarrollo de
software contratado externamente.
Control: Se debe obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de información que están en
uso, evaluar la exposición de la entidad a dichas vulnerabilidades y
tomar las acciones apropiadas para tratar los riesgos asociados.
X
X
X
X
Para evitar alteraciones no permitidas y controladas a las aplicaciones
que afecten el funcionamiento de las mismas
Para tener un control preciso de los cambios efectuados
Asegurar que no halla impacto adverso en las operaciones ni en la
seguridad de la ESAP, al efectuar cambios en los sistemas operativos
X
X
X
X
Para tener un control preciso en los cambios efectuados en los
paquetes de software
Garantizar la confidencialidad de la informacion
Tiene como objetivo garantizar que el producto software a desarrollar
cumpla con los requerimientos exigidos en seguridad y en
funcionamiento
se busca evitar que las vulnerabilidades no sean explotadas por
alguna amenaza
X
Debería establecerse el informe formal de los eventos y de los
procedimientos de escalada.
X
Control: Los eventos de seguridad de la información deben ser
reportados a través de los canales con la dirección tan rápido como
sea posible.
X
Control: Todos los funcionarios, contratistas y terceros que utilicen los
sistemas de información y servicios, se les debe requerir identificar y
reportar cualquier debilidad observada o sospechosa
X
establecer las responsabilidades y procedimientos para manejar los
eventos y debilidades en la seguridad de información de una manera
efectiva y una vez que hayan sido comunicados.
establecer las responsabilidades y procedimientos de gestión para
asegurar una respuesta rápida, efectiva y ordenada a los incidentes en
la seguridad de información
implementar un mecanismo que permita cuantificar y monitorear los
tipos, volúmenes y costos de los incidentes en la seguridad de
información
Para conocer concer el rendimiento y capacidad, y para efectos de
licenciamiento del software operativo
Para respaldo, pruebas sin afectacion de la producción
Garantizar que los eventos y debilidades en la seguridad asociados
con los sistemas de información se comuniquen de modo que se
puedan realizar acciones correctivas oportunas.
Garantizar que los eventos y debilidades en la seguridad asociados
con los sistemas de información se comuniquen de modo que se
puedan realizar acciones correctivas oportunas.
Para conocer con exactitud las debilidades en cuanto a seguridad de la
informacion
x
Garantizar que se aplica un enfoque consistente y eficaz para la
gestión de los incidentes en la seguridad de información
X
Garantizar que se aplica un enfoque consistente y eficaz para la
gestión de los incidentes en la seguridad de información
X
Garantizar que se aplica un enfoque consistente y eficaz para la
gestión de los incidentes en la seguridad de información
13.2.3
14
14.1
14.1.1
14.1.2
14.1.3
14.1.4
14.1.5
15
15.1
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.2
15.2.1
15.2.2
15.3
15.3.1
15.3.2
Recolección de evidencia
implementar acciones de seguimiento contra una persona u
organización, después de un incidente en la seguridad de información,
implique acción legal (civil o criminal), la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la
evidencia establecidas en la jurisdicción relevante.
Conocer las causas del incidente de seguridad de la informacion, para
poder ejecutar acciones correctivas y preventivas
X
GESTION DE LA CONTINUIDAD DEL NEGOCIO
ASPECTOS DE SEGURIDAD DE LA INFORMACION
PARA LA GESTION DE DE LA CONTINUIDAD DEL
NEGOCIO
Inclusión de seguridad de la información en el proceso Control: Se debe desarrollar y mantener un proceso de gestión para la
de administración de la continuidad del negocio
continuidad de la entidad, el cual trate los requisitos de seguridad de
la información necesarios para la continuidad de la actividad de
entidad
Continuidad del negocio y análisis de impacto (BIA)
Control: Se deben identificar los eventos que pueden ocasionar
interrupciones en los procesos de la entidad junto con los riesgos
identificados de dichas interrupciones, así como sus consecuencias
para la seguridad de la información.
Desarrollo e implementación de planes de continuidad Control: Se deben desarrollar e implementar planes para mantener o
recuperar las operaciones y asegurar la disponibilidad de la
información en el grado y la escala de tiempo requeridos, después de
la interrupción o la falla de los procesos críticos para el negocio.
Marco de planeación para la continuidad del negocio
Pruebas, mantenimiento
y revisión de los planes de continuidad del negocio
Control: Se debe mantener una sola estructura de los planes de
continuidad de la entidad, para asegurar que todos los planes son
consistentes, y considerar los requisitos de la seguridad de la
información de forma consistente, así como identificar las prioridades
para pruebas y mantenimiento.
Control: Los planes de continuidad de la entidad se deben someter a
pruebas y revisiones periódicas para asegurar su actualización y su
eficacia.
Garantizar la continuidad de las actividades de la ESAP
x
Evitar la materializacion de los riesgos que puedan afectar la
continuidad de la ESAP
x
Evitar la materializacion de los riesgos que puedan afectar la
continuidad de la ESAP
x
Evitar la materializacion de los riesgos que puedan afectar la
continuidad de la ESAP
x
x
Para tener un trazabilidad en los procesos de continuidad de las
actividades de la ESAP
CUMPLIMIENTO
CUMPLIMIENTO CON
REQUERIMIENTOS LEGALES
Identificación de leyes /
legislación aplicables
Derechos de autor y propiedad intelectual
Control: Todos los requisitos estatutarios, reglamentarios y
contractuales pertinentes, así como el enfoque de la entidad para
cumplir estos requisitos se deben definir explícitamente, documentar y
mantener actualizados para cada sistema de información y para la
entidad.
Control: implementar procedimientos apropiados para asegurar el
cumplimiento de los requisitos legales, reglamentarios y
contractuales sobre el uso del material con respecto al cual pueden
existir derechos de propiedad intelectual y sobre el uso de productos
de software patentados.
Para dar cumplimiento a ley y normatividad vigente que cubra la
seguridad de la informacion
x
x
Control: Los registros importantes se deben proteger contra pérdida,
destrucción y falsificación, de acuerdo con los requisitos estatutarios,
reglamentarios, contractuales definidos para las entidades del Estado.
x
Protección de los datos y privacidad de la información Control: Se debe garantizar la protección de los datos y la privacidad,
personal
de acuerdo con la legislación y los reglamentos pertinentes y, si se
aplica, con las cláusulas del contrato.
x
Protección de los registros de la organización
Garantizar el cumplimento de la legislación, regulaciones y requisitos
contractuales para el uso de material con posibles derechos de
propiedad intelectual asociados y para el uso de productos software
propietario.
Garantizar la integridad de los registros de la organización
garantizar la protección de los datos y la privacidad, de acuerdo con la
legislación y los reglamentos pertinentes.
Prevención mal uso de
los componentes tecnológicos
Control: Se debe disuadir a los usuarios de utilizar los servicios de
procesamiento de información para propósitos no autorizados.
x
Para garantizar que la seguridd de los activos de la informacion
informacion se este efectuando
Regulación de controles criptográficos
Control: Se deben utilizar controles criptográficos que cumplan todos
los acuerdos, las leyes y los reglamentos pertinentes.
x
Para efectuar cumplimiento a las leyes y reglamentos pertinentes en
cuanto a controles criptograficos
x
la direccion debe tener un compromiso con la continuidad de la politica
de seguridad porque son los representantes de alto nivel de la
entidad
REVISION DE LA POLITICA DE SEGURIDAD Y
CUMPLIMIENTO TECNICO
Cumplimiento de los
diferentes requerimientos y controles establecidos por
la política de
seguridad
Verificación del cumplimiento técnico
CONSIDERACIONES RELACIONADAS CON LA
AUDITORIA INTERNA
Controles para auditoría del sistema
Protección de las herramientas para auditoría del
sistema
Control: Los directores deben garantizar que todos los procedimientos
de seguridad dentro de sus áreas de responsabilidad se llevan a cabo
correctamente para lograr el cumplimiento con las políticas y los
lineamientos de seguridad.
Control: Los sistemas de información se deben verificar periódicamente
para determinar el cumplimiento con los lineamientos
de implementación de la seguridad.(Veracidad e integridad de la
Información y que esta se encuentre disponible)
x
Control: Los requisitos y la actividades de auditoría que implican
verificaciones de los sistemas operativos se deben planificar y acordar
cuidadosamente para minimizar el riesgo de interrupciones de los
procesos del negocio.
x
Control: Se debe proteger el acceso a las herramientas de auditoría de
los sistemas de información para evitar su uso inadecuado o ponerlas
en peligro.
x
Se es necesario para determinar el cumplimento con los lineamientos
de implementacion de la seguridad
permite minimizar el riesgo de interrupcion los procesos de la entidad
garantizando su cumplimiento
Para garantizar la confindencialidad de la informacion generada en las
auditorias.
Documentos relacionados
SOLICITUD DE ACCESO A LA INFORMACION PUBLICA Fecha y
SOLICITUD DE ACCESO A LA INFORMACION PUBLICA Fecha y
Mapa_conceptual.docx
Mapa_conceptual.docx
The Capita Corporation de Argentina S.A.
The Capita Corporation de Argentina S.A.
Descargar
Anuncio
Anuncio