Académique Documents
Professionnel Documents
Culture Documents
PRESENTADO POR:
Ari Fernando Rubio Jefe de Informtica
November 7, 2012
HISTORIAL DE REVISION
FECHA
01/10/2012
05/10/2012
08/10/2012
09/10/2012
10/10/2012
11/10/2012
15/10/2012
17/10/2012
ACTUALIZADO POR
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
DESCRIPCION DE CAMBIOS
Inspeccin Fsica y Ambiental
Planeacin
Evaluacin de Riesgo
Seguridad del Personal
Controles Tcnicos
Auditoria y responsabilidad
Revisin anexos
Revisin
INDICE
Este informe est basado en estndares internacionales de la industria como son: COBIT (Objetivos de
Control para la Informacin y Tecnologa Relacionada, preparado por la Asociacin de Auditoria de
Control de Sistema de Informacin ISACA) y e la norma ISO/IEC 17799 (Cdigo de buenas prcticas de la
gestin de la seguridad de la informacin, desarrollado por la Organizacin Internacional de
Normalizacin ISO y la comisin electrnica Internacional IEC). Por considerarse complementarios y no
excluyentes.
Controles Administrativos
Planificacin (PL)
Las organizaciones deben desarrollar, documentar, actualizar peridicamente, e implementar planes de
seguridad para los sistemas de informacin de la organizacin que describen los controles de seguridad
en el lugar o los previstos para los sistemas de informacin y de las reglas de comportamiento para las
personas que acceden a los sistemas de informacin.
PL-1
Evidencia
Recomendacin
PL-2
PL-3
Evidencia
Recomendacin
Evidencia
Recomendacin
PL-4
Evidencia
Recomendacin
PL-5
Evidencia
Recomendacin
Evidencia
Recomendacin
RA-2
Evidencia
Recomendacin
Evidencia
Recomendacin
RA-3
RA-4
Evidencia
Recomendacin
SA-1
Evidencia
Recomendacin
SA-2
Evidencia
Recomendacin
SA-3
Evidencia
Recomendacin
SA-4
Evidencia
Recomendacin
Evidencia
Recomendacin
SA-5
SA-6
Evidencia
Recomendacin
SA-7
Evidencia
Recomendacin
SA-8
Evidencia
Recomendacin
SA-9
Evidencia
Recomendacin
SA-10
Evidencia
Recomendacin
SA-11
Evidencia
Recomendacin
Controles Operativos
Concientizacin y Entrenamiento (AT)
Las organizaciones deben: (i) asegurar que los administradores y usuarios de los sistemas de informacin
de la organizacin sean conscientes de los riesgos de seguridad asociados con sus actividades y de las
leyes aplicables, rdenes ejecutivas, directivas, polticas, normas, instrucciones, reglamentos o
procedimientos relacionados con la seguridad de los sistemas de informacin de la organizacin, y (ii)
asegurar que el personal de la organizacin tengan una formacin adecuada para llevar a cabo sus
funciones asignadas y las responsabilidades relacionadas con la seguridad de la informacin.
Evidencia
Recomendacin
AT-1
10
AT-2
Evidencia
Recomendacin
AT-3
Evidencia
Recomendacin
AT-4
Evidencia
Recomendacin
11
CM-1
Evidencia
Recomendacin
CM-2
CM-3
Evidencia
Recomendacin
Evidencia
Recomendacin
12
CM-4
Evidencia
Recomendacin
CM-5
Evidencia
Recomendacin
CM-6
Evidencia
Recomendacin
13
CM-7
Menos Funcionalidad: La organizacin configura el sistema de informacin para
ofrecer slo las capacidades esenciales y, concretamente, prohbe y / o restringe el
uso de las siguientes funciones, puertos, protocolos y / o servicios: Asignacin [: la
organizacin se define la lista de productos prohibidos y / o restringido las
funciones, los puertos, protocolos y servicios].
Evidencia
Recomendacin
En Cumplimiento
CP-1
Evidencia
Recomendacin
CP-2
CP-3
Evidencia
Recomendacin
Evidencia
Recomendacin
14
CP-4
Evidencia
Recomendacin
CP-5
Evidencia
Recomendacin
CP-6
Evidencia
Recomendacin
15
CP-7
Evidencia
Recomendacin
CP-8
Evidencia
Recomendacin
CP-9
Evidencia
Recomendacin
CP-10
Evidencia
Recomendacin
16
Evidencia
Recomendacin
IR-2
Evidencia
Recomendacin
IR-3
17
Evidencia
Recomendacin
IR-4
Evidencia
Recomendacin
IR-5
Evidencia
Recomendacin
IR-6
Evidencia
Recomendacin
Evidencia
Recomendacin
IR-7
18
Mantenimiento (MA)
Las organizaciones deben: (i) realizar un mantenimiento peridico y oportuno sobre los sistemas de
informacin de la organizacin, y (ii) proporcionar un control eficaz de las herramientas, tcnicas,
mecanismos y personal utilizado para llevar a cabo mantenimientos de los sistema de informacin.
MA-1
Evidencia
Recomendacin
MA-2
Evidencia
Recomendacin
MA-3
19
Evidencia
Recomendacin
MA-4
Evidencia
Recomendacin
MA-5
Evidencia
Recomendacin
MA-6
Evidencia
Recomendacin
MP-1
Evidencia
Recomendacin
Las organizaciones deben: (i) proteger los medios de informacin del sistema, tanto en papel y digitales,
(ii) limitar el acceso a la informacin sobre los medios de comunicacin del sistema de informacin a los
usuarios autorizados, y (iii) desinfectar o destruir los medios de informacin del sistema antes de su
eliminacin o la liberacin para su reutilizacin.
20
MP-2
Acceso a la Media: La organizacin garantiza que slo los usuarios autorizados
tienen acceso a la informacin en forma impresa o en medios digitales extrados
del sistema de informacin.
Evidencia
Recomendacin
MP-3
Evidencia
Recomendacin
MP-4
Evidencia
Recomendacin
21
MP-5
Evidencia
Recomendacin
MP-6
Evidencia
Recomendacin
MP-7
Evidencia
Recomendacin
Evidencia
Recomendacin
PE-1
22
PE-2
Evidencia
Recomendacin
PE-3
Evidencia
Recomendacin
Control de Acceso Fsico: La organizacin controla todos los puntos de acceso fsico
(incluyendo puntos de entrada/salida) a las instalaciones que contienen los
sistemas de informacin (a excepcin de aquellas reas dentro de las instalaciones
designadas oficialmente como de acceso pblico) y verifica autorizaciones de
acceso individuales antes de conceder acceso a las instalaciones. La organizacin
tambin controla el acceso a reas oficialmente designadas como pblicas, segn
sea apropiado, de acuerdo con la evaluacin de riesgo de la organizacin.
En Cumplimiento
Es necesario implementar un sistema de control de acceso y cerrar el rea de
Informtica para evitar que personas ajenas a otros departamentos puedan
ingresar principalmente al rea de informtica con el afn de proteger los sistemas
de informacin
PE-4
23
Evidencia
Recomendacin
PE-5
Evidencia
Recomendacin
PE-6
Evidencia
Recomendacin
PE-7
PE-8
Evidencia
Recomendacin
Evidencia
Recomendacin
24
PE-9
Evidencia
Recomendacin
PE-10
Evidencia
Recomendacin
PE-11
Evidencia
Recomendacin
25
PE-12
Evidencia
Recomendacin
PE-13
Evidencia
Recomendacin
PE-14
Evidencia
Recomendacin
PE-15
PE-16
Evidencia
Recomendacin
Evidencia
Recomendacin
26
27
PS-1
Evidencia
Recomendacin
PS-2
PS-3
Evidencia
Recomendacin
Evidencia
Recomendacin
28
PS-4
Personal de terminacin: En caso de una terminacin laboral, la organizacin
finaliza el acceso a la informacin del sistema, lleva a cabo entrevistas, garantiza la
devolucin de toda la informacin de la organizacin relacionada con el sistema de
propiedad (por ejemplo, llaves, tarjetas de identificacin, recursos), y asegura que
el personal adecuados tienen acceso a los registros oficiales creados por el
empleado despedido que se almacenan en los sistemas de informacin de la
organizacin.
Evidencia
Recomendacin
Esta en cumplimiento.
PS-4
Evidencia
Recomendacin
PS-5
Evidencia
Recomendacin
29
PS-6
Evidencia
Recomendacin
PS-7
Evidencia
Recomendacin
Evidencia
Recomendacin
SI-2
SI-3
Evidencia
Recomendacin
Evidencia
Recomendacin
30
SI-4
Evidencia
Recomendacin
SI-5
Evidencia
Recomendacin
SI-6
Evidencia
Recomendacin
31
SI-7
Evidencia
Recomendacin
SI-8
Evidencia
Recomendacin
SI-9
Restricciones de entrada de informacin: La organizacin limita la entrada de
informacin al sistema de informacin al personal autorizado.
Evidencia
Recomendacin
Esta en cumplimiento.
SI-10
Evidencia
Recomendacin
SI-11
SI-12
Evidencia
Recomendacin
Evidencia
Recomendacin
32
Controles Tcnicos
Los controles tcnicos aseguran que la promulgacin de informacin de seguridad es eficaz y eficiente.
AC-1
Evidencia
Recomendacin
AC-2
33
Evidencia
Recomendacin
Esta en cumplimiento.
AC-3
Evidencia
Recomendacin
AC-4
Evidencia
Recomendacin
AC-5
Evidencia
Recomendacin
AC-6
Evidencia
Recomendacin
Evidencia
Recomendacin
AC-7
34
AC-8
Evidencia
Recomendacin
AC-8
Evidencia
Recomendacin
AC-10
Evidencia
Recomendacin
AC-11
35
Evidencia
Recomendacin
AC-12
Evidencia
Recomendacin
AC-13
Evidencia
Recomendacin
AC-14
Evidencia
Recomendacin
Evidencia
Recomendacin
AC-15
Evidencia
Recomendacin
AC-15
36
AC-16
Evidencia
Recomendacin
AC-17
Evidencia
Recomendacin
AC-18
Evidencia
Recomendacin
37
AC-20
Evidencia
Recomendacin
AU-1
Evidencia
Recomendacin
AU-2
AU-3
Evidencia
Recomendacin
Evidencia
Recomendacin
38
AU-4
Evidencia
Recomendacin
AU-5
Evidencia
Recomendacin
AU-6
Evidencia
Recomendacin
AU-6
39
Evidencia
Recomendacin
AU-7
Evidencia
Recomendacin
AU-8
Fecha y hora: El sistema de informacin ofrece las marcas de tiempo para su uso
en la generacin de registros para auditora.
Evidencia
Recomendacin
Esta en cumplimiento
AU-9
Proteccin de Datos de Auditora: El sistema de informacin protege la
informacin de auditora y herramientas de auditora del acceso no autorizado,
modificacin y eliminacin.
Evidencia
Recomendacin
Esta en cumplimiento
AU-9
Evidencia
Recomendacin
AU-9
Evidencia
Recomendacin
40
Evidencia
Recomendacin
IA-2
Evidencia
Recomendacin
IA-3
Evidencia
Recomendacin
41
IA-4
Evidencia
Recomendacin
IA-5
Evidencia
Recomendacin
IA-6
Evidencia
Recomendacin
Evidencia
Recomendacin
SC-1
42
SC-2
Evidencia
Recomendacin
SC-3
Evidencia
Recomendacin
SC-4
Evidencia
Recomendacin
SC-5
43
Evidencia
Recomendacin
SC-6
Evidencia
Recomendacin
SC-7
Evidencia
Recomendacin
SC-8
Evidencia
Recomendacin
SC-9
Evidencia
Recomendacin
SC-10
SC-11
Evidencia
Recomendacin
SC-12
Creacin y Gestin de la clave criptogrfica: El sistema de informacin cuenta con
mecanismos automatizados con los procedimientos de apoyo o manual de
procedimientos para el establecimiento de claves de cifrado y gestin de claves.
Evidencia
Recomendacin
44
Evidencia
Recomendacin
No
Se debe desarrollar un procedimiento y una poltica para lo sistemas a desarrollar
SC-13
Evidencia
Recomendacin
SC-14
Evidencia
Recomendacin
SC-15
Evidencia
Recomendacin
SC-16
45
Evidencia
Recomendacin
SC-17
Evidencia
Recomendacin
No aplica.
SC-18
Evidencia
Recomendacin
SC-19
Evidencia
Recomendacin
46
Recomendaciones Generales:
Basndose en el anlisis de la evaluacin de la informacin presentada, las practicas y calificacin de
riesgo proporcionada por cada una de las prcticas se puede llegar a las siguientes conclusiones las
cuales pueden ser implementadas en el orden que sea ms apropiado para la entidad.
Como muestran los resultados es de suma importancia la implementacin de las recomendaciones en
una forma pronta.
La organizacin debe desarrollar documentacin de los procesos internos y complementar informacin
con la que ya cuenta. Es de importancia la medicin de la aplicacin de estos controles en la
organizacin en una forma peridica.
47