Tecnologías de la información y

comunicación

Prof. Dr. Eduardo de la Cruz Gámez

INTEGRANTES:
 BARRERA SANDOVAL LUIS JAIME
 NAVARRETE GABINO ESMERALDA

NORMA  HERNÁNDEZ ESCALANTE CARLOS

EDUARDO.

ISO/27000 Contenido:
¿Qué es la norma ISO 27000?
¿Cómo se implementa la norma ISO 27000 en
Implementación de la norma en ALESTRA ALESTRA?
ISO 27000
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la
información. Las más importantes de esta familia son las normas ISO 27001 e ISO 27002.

La última de estas, antes conocida como ISO 17799 (modificó su nombre en el año 2007), y basada
en la norma británica BS 7799, es un código de buenas prácticas para la realización de un Sistema
de Gestión de Seguridad de la Información (SGSI). La misma está dividida en once dominios (por
ejemplo, Seguridad física y del entorno

o Control de accesos), y en cada uno de ellos se destacan cuáles son las mejores prácticas o los
controles recomendados para dar seguridad en la organización. Esta norma no es certificable.

Para ello, está la norma ISO 27001, que es la que las organizaciones deben certificar. La misma
contiene los requisitos que debe cumplir una organización, para estar acorde a las buenas prácticas
listadas en las otras normas de la familia (especialmente la 27002). Publicada en octubre 2005, hoy
es la certificación en seguridad más popular y es aplicada por empresas de todo tipo en todo el
mundo.

Además de estas dos series, podemos agregar las siguientes que conforman la familia:

ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario estándar para todas
las normas de la familia.

IS 27003: es un soporte a la norma 27001, que incluye directivas para la implementación de un

Sistema de Gestión de Seguridad de la Información. Fue publicada en febrero de 2010.

ISO 27004: incluye métricas para la gestión de la seguridad de la información. Publicada en

diciembre de 2009.

ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la

información. Fue publicada en junio de 2008.

También están las normas ISO 27006 (requisitos específicos para la certificación de un SGSI); la ISO
27007 (guía para auditar un SGSI), todavía en desarrollo y la norma ISO 27799 que es una guía para
implementar la ISO 27002 en la industria de la salud.

Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus
usuarios y el público en general. Aunque en un principio fueron de interés para las grandes
empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en el
Latinoamérica y el mundo. Además, las normas sirven para tener una guía de buenas prácticas que
pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.

Por ejemplo, en materia de seguridad antivirus, la norma explica en su capítulo sobre la Gestión de
Comunicaciones y Operaciones, en la sección sobre códigos maliciosos (Controls against malicious
code) que “es necesario tomar precauciones para prevenir y detectar la introducción de software
malicioso “, y se detallan los siguientes puntos respecto a los controles a implementar:
La empresa debe contar con la “instalación y actualización periódica de software de detección y
reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida
precautoria o rutinaria “.

La empresa debe verificar “la presencia de virus en archivos de medios electrónicos de origen
incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso” y
“la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y
archivos descargados por Internet antes de su uso “.

También extiende a modo de resumen que “se deben implementar controles de detección y
prevención para la protección contra software malicioso, y procedimientos adecuados de
concientización de usuarios “. Es decir, contar con una solución antivirus con capacidades proactivas
de detección.

Por último, la ISO 27001 también extiende, respecto a la importancia de “concientizar a los usuarios
acerca de los peligros del software no autorizado o malicioso […] En particular, es esencial que se
tomen precauciones para detectar y prevenir virus informáticos en computadoras personales “. El
trabajo de ESET Latinoamérica en la región a través de sus iniciativas educativas son otros aportes
de ESET para que las organizaciones estén acordes a lo que indican las normas más prestigiosas del
mercado.

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para

desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad
de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:

ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Introducción y base para el resto. Tercera
versión: enero de 2014.

ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los
requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un
enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como
estándar internacional en octubre de 2005. Revisada en setiembre de 2013.

ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information
security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas
prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO
17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Última versión:
27002:2013, de setiembre de 2013.

ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC
27001. Publicada el 1 de febrero de 2010. No es certificable.

ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona
recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente.
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona
recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en
la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más
relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008. Revisada en
junio de 2011.

ISO/IEC 27006 - Requisitos para la acreditación de las organizaciones que proporcionan la

certificación de los sistemas de gestión de la seguridad de la información. Esta norma específica
requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la
norma genérica de acreditación. Publicada en 2007 y revisada en diciembre de 2011 y setiembre de
2015.

ISO/IEC 27007 - es una guía para auditar al SGSI. Publicada en noviembre de 2011.

ISO/IEC 27016 - es una norma que se concentra en un análisis financiero y económico de equipos y
procedimientos de la seguridad de la información. Publicada en febrero de 2014.

ISO/IEC 27017 - es una guía de seguridad para Cloud Computing. Publicada en diciembre de 2015.

ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes

de Seguridad. Este standard hace foco en las actividades de: detección, reporte y evaluación de
incidentes de seguridad y sus vulnerabilidades. Publicada en agosto de 2011. (1)

ISO/IEC 27799:2008 - es una guía para implementar ISO/IEC 27002 en la industria de la salud.
Resumen general

Origen
Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a
AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas
prácticas para la gestión de la seguridad de la información. La norma ISO 27001 fue aprobada y
publicada como estándar internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission.

Objetivos

Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la
seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad
adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier
empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos
sectores que tengan información crítica o gestionen la información de otras empresas.

Familia 27000

ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que
componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la
Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se
emplean en toda la serie 27000. Sin traducción.
ISO/IEC 27001: 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información. Sin traducir. Actualmente, este estándar se
encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en
2012.
ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los objetivos de control
y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos
críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC
27001:2005.
ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización
de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles
o grupos de controles implementados según ISO/IEC 27001. Sin traducir.
ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo
en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC
27001. Sin traducir todavía.
ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía
en España, pero traducida en México (NMX-I-041/06-NYCE).
ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como
complemento a lo especificado en ISO 19011.
ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía
para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
ISO/IEC 27011: 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y
gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones
basada en ISO/IEC 27002. Sin traducción.
ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de requisitos y directrices
de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-
Administración.
ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada
de ISO/IEC 27001 y de ISO/IEC 20000-1.
ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la
seguridad de la información.
ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del
sector financiero y de seguros.
ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con
aspectos económicos en las organizaciones.
ISO/IEC 27031: 01 de Marzo de 2011. Describe los conceptos y principios de la tecnología de
información y comunicación (TIC)
ISO/IEC 27032: Publicación prevista en 2011. Guía relativa a la ciberseguridad.
ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales (10 de Diciembre
de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista 2011);
27033-3, escenarios de redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de
las comunicaciones entre redes mediante gateways de seguridad (prevista 2012); 27033-5,
aseguramiento de comunicaciones mediante VPNs (prevista 2012); 27033-6, convergencia IP
(prevista 2012); 27033-7, redes inalámbricas (prevista 2012).
ISO/IEC 27034: Publicación prevista desde 2011-12. Varias guías de seguridad para aplicaciones
informáticas.
ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la
información.
ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de
servicios).
ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de
evidencias digitales.
ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital.
ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y operativa de
sistemas de detección de intrusos.
ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.
ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002.
Beneficios
Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de
continuidad de la actividad comercial.
Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
Fiabilidad de cara al cliente demostrar que la información está segura.
Identificación, evaluación y gestión de riesgos.
Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
Se integra con otros sistemas de gestión
Reducción de costes y mejora de procesos
Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.
Implantación

La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa
y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la
información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con
ayuda de alguna consultoría externa a la organización.

Para aquellos que estéis interesados os dejamos enlace a un Curso sobre ISO 27001 que ofrece la
Asociación Española para la Calidad (AEC)
¿QUÉ ES ALESTRA?
Alestra es una marca de soluciones empresariales y de gobierno de Axtel; provee las más
innovadoras Tecnologías de Información y Comunicación en México para habilitar a las
organizaciones a ser más productivas.
Su portafolio incluye soluciones de conectividad, comunicación, seguridad, centro de datos, nube,
integración de sistemas y administración de aplicaciones, con el respaldo de socios tecnológicos
líderes mundiales.

ISO 27000 en Alestra

Alestra dio a conocer hoy haber obtenido el refrendo de la certificación que conjuntamente otorgan
la International Organization for Standarización (ISO), y la International Electrotechnical Comission
(IEC), ISO/IEC 27001:2005, que mereció por primera vez en 2007 para su Sistema de Seguridad de
la Información (SASI).
Al optar por la recertificación, Alestra incluyó una nueva área, la de Redes y Servicios Integrales por
ser vital para los negocios de sus clientes, ya que comprende el Centro de Operaciones de Seguridad
(SOC, por sus siglas en inglés), y la Operación de Redes Administradas. De este modo son ya seis las
áreas comprendidas en el Sistema de Administración de Seguridad de la Información de Alestra que
ostentan esta certificación internacional: los servicios de Internet, las Redes Privadas Virtuales (VPN
por sus siglas en inglés), los Procesos de Operación de la Red y el Mantenimiento y Desarrollo de los
Servicios, a los que se suman los incluidos en esta ocasión.

Con la incorporación de las nuevas áreas a su Sistema de Administración de Seguridad de la

Información y someterlas a la certificación ISO/IEC 27001:2005, Alestra suma al aseguramiento de
la continuidad de sus propias operaciones, las cuales ya estaban amparadas desde que obtuvo la
certificación por primera vez en el 2007, la continuidad del negocio de sus clientes, máxime que el
SOC monitorea y previene ataques a la información tanto en la red externa a sus instalaciones, como
en la infraestructura ubicada dentro de sus propias instalaciones.

Con este refrendo Alestra confirma su liderazgo en el mercado mexicano al erigirse como el primero
y único Operador de Telecomunicaciones en México con un Centro de Operaciones de Seguridad
certificado con el ISO/IEC 27001:2005 y confirmar la misma certificación obtenida dos años atrás
para su Sistema de Administración de Seguridad de la Información.

“El mayor beneficio que se ha aportado mediante esta recertificación del ISO27001 a nuestro
Sistema de Seguridad de la Información es poder ampliar su alcance a diversos servicios que
ofrecemos a nuestros clientes, lo que apoya en forma clara la continuidad y disponibilidad de sus
sistemas de información y por ende, sus procesos de negocio”, comentó Ricardo Morales, Gerente
de Seguridad de la Información de Alestra.

De esta manera, Alestra hace patente su compromiso con los clientes, de la mano con la más
avanzada tecnología, características que han distinguido a la compañía desde su creación hace más
de 13 años.
EVALUACIÓN DE RIESGOS
1. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD ANÁLISIS DE RIESGOS

1. El servicio de Consultoría en Seguridad de Información en la modalidad de Análisis

de Riesgos, consiste en utilizar una metodología y los procesos necesarios, para
realizar evaluaciones a los activos críticos del Cliente con la finalidad de advertir al
Cliente de los posibles impactos al negocio causados por los riesgos detectados en
este servicio de Consultoría en Seguridad de Información en la modalidad de
Análisis de Riesgos. Para la prestación de este Servicio, se toman en consideración
para la modalidad de Análisis de Riesgos: el uso de las mejores prácticas, el
involucramiento de las partes interesadas, atendiendo a las necesidades del giro de
negocio del Cliente.
La Consultoría en Seguridad de Información en la modalidad de Análisis de Riesgos
es un servicio que permite al Cliente contar con una evaluación de riesgos y de sus
controles de seguridad, lo que le permite enfocar sus recursos en mejorar la
seguridad de las áreas y Activos de Información que dan mayor valor al negocio
mediante la mitigación de dichos peligros. Este servicio de Consultoría en Seguridad
de Información en la modalidad de Análisis de Riesgos se realiza en las instalaciones
del CLIENTE, utilizando metodologías y herramientas probadas y autorizadas por
ALESTRA con las cuales se obtendrá información del status del Cliente bajo análisis,
a través de cuatro etapas:

a) Desarrollo de Modelo de Administración de Riesgos.

b) Identificación y Evaluación de Riesgos.
c) Definición de Plan de Tratamiento de Riesgos.
d) Definición de indicadores de Administración de Riesgos.

2. El servicio de Consultoría en Seguridad de Información en la modalidad de Análisis

de Riesgos contempla un periodo aproximado de tres meses para la realización de
los trabajos a partir de la firma del Anexo de Precios correspondiente a este Servicio,
toda vez que estén dadas las condiciones y compromiso de ALESTRA y EL CLIENTE
para su realización.
3. Al término de las etapas mencionadas en la sección 1.2, el alcance de este Anexo,
cubre los siguientes seis entregables que ALESTRA deberá proporcionar al CLIENTE:

a) Documento con metodología y proceso de Administración de Riesgos.

b) Documentación de apoyo al proceso de Administración de Riesgos.
c) Material de capacitación y capacitación al personal designado por el Cliente
d) Matrices de Riesgos y Plan de Tratamiento de Riesgos para los Activos de
Información dentro del alcance.
e) Cartas de Aceptación de Riesgos (ejecutivo)
f) Documento con definición de indicadores de Administración de Riesgos.
2. DESCRIPCIÓN DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD CONSULTORÍA ISA.

El Servicio de Consultoría en Seguridad de Información en la modalidad de Consultoría ISA

(Information Security Assessment) consiste en realizar una evaluación integral de la
situación actual de la Seguridad de Información del CLIENTE, con base en la norma ISO
270001, así como generar las recomendaciones y acciones necesarias para que mejorare la
seguridad en aquellas áreas designadas por el CLIENTE para prestar este Servicio.

Los paquetes se consideran en base a la cantidad de dominios descritos en el Servicio La

consultoría se realiza en las instalaciones indicadas por el CLIENTE, utilizando metodologías,
herramientas probadas y autorizadas por ALESTRA, con las cuales se obtendrá información
que posteriormente se evalúa contra buenas prácticas aplicables, no siendo sustituido por
una auditoria.

Los Entregables de la consultoría son los siguientes:

I.- Análisis de Apego a Buenas Prácticas, el CLIENTE recibirá los siguientes entregables:

a) Reporte detallado de apego a buenas prácticas (Reporte detallado de hallazgos, madurez

y recomendaciones basados en buenas prácticas) de acuerdo al servicios seleccionado
(dominios)

b) Reporte ejecutivo ISA (Reporte ejecutivo de análisis de apego a buenas prácticas) de

acuerdo al servicios seleccionado (dominios)

En todos los, casos, al final del Servicio de Consultoría en Seguridad de Información en la

modalidad de Consultoría ISA, con base en el nivel de madurez detectado en los controles
de seguridad, ALESTRA emitirá un Plan de Remediación sugerido, que describe las
recomendaciones de los consultores para el tratamiento de las áreas de oportunidad
detectadas.

El alcance del Servicio de Consultoría en Seguridad de Información en la modalidad de

Consultoría ISA no incluye en modo alguno la ejecución de las iniciativas de remediación
documentadas, sin embargo éstos servicios podrán contratarse posteriormente por
separado como complemento al Programa de Consultoría o de Seguridad del CLIENTE.

4. Los tiempos de entrega de cada análisis dependerán de los calendarios

programados y acordados en las reuniones de revisión entre el ALESTRA y el
CLIENTE. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE
INFORMACIÓN MODALIDAD CONSULTORÍA ISA El Servicio de Consultoría en
Seguridad de Información en la modalidad de Consultoría ISA de acuerdo al paquete
contratado será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.

3. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN

MODALIDAD PRUEBAS DE PENETRACIÓN O INTRUSIÓN
a. El servicio de Consultoría en Seguridad de Información, en su modalidad de Pruebas
de Penetración o Intrusión, comúnmente conocidas como “Ethical Hacking”, tiene
 como objetivo demostrar la intrusión a los activos del negocio, mediante la
explotación de las vulnerabilidades encontradas, así como el presentar los
principales impactos técnicos y de negocio, debido a la intrusión de dichos activos.

Durante una Prueba de Penetración, se sigue una metodología basada en buenas

prácticas, sin impactos hacia el CLIENTE, en donde se ejecutarán evaluaciones
enfocadas hacia vulnerabilidades previamente identificadas. En ellas se pretende
identificar y evaluar activos relevantes para el negocio y su grado de exposición e
impactos.

Alestra llevará en todo momento un control de pruebas. En las pruebas serán

utilizadas herramientas disponibles por atacantes y expertos en seguridad de
información, en las categorías de Scanners, Sniffers, Web Exploits, OS Exploits, DB
Exploits, Password crac, etc, todas ellas certificadas.

Al finalizar las pruebas se realiza un análisis y correlación de resultados, lo cual

posteriormente se documenta y revisa con el CLIENTE en conjunto con las
recomendaciones de ALESTRA, para que el mismo CLIENTE lleve a cabo las
correcciones correspondientes.

A solicitud del CLIENTE, la Prueba de Penetración se efectuará sobre los activos de

infraestructura tecnológica que soporta el proceso descritos en la propuesta, a fin
de cumplir los requisitos que operen bajo este proceso.

Una vez concretado el análisis y correlación de resultados entre el CLIENTE y

ALESTRA, los entregables de las Pruebas de penetración se componen de:

a) Documentación de pruebas realizadas sobre los activos, principales impactos

técnicos y de negocio debido a la intrusión sobre las IP’s (activos) y las
recomendaciones de ALESTRA para resolver las vulnerabilidades detectadas, las
cuales el cliente podría (si así lo decide), posterior al proyecto, implementar o
ejecutar bajo su responsabilidad.

ALESTRA se compromete a suspender actividades en las Pruebas de Penetración, si

en cualquier momento se llegasen a detectar indicios de afectación al negocio del
CLIENTE.
b. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD PRUEBAS DE PENETRACIÓN. El servicio de pruebas de penetración
será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.

4. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN

MODALIDAD ANÁLISIS TÉCNICO DE VULNERABILIDADES
a. El Servicio de Consultoría en Seguridad de Información en la modalidad Análisis
Técnico de Vulnerabilidades apoya a identificar los riesgos de seguridad asociados
a los activos y/o componentes críticos para procesos de cumplimiento, dando a
conocer el grado de exposición de su infraestructura tecnológica y proveer una lista
 de recomendaciones técnicas. Dejando así antecedente hacia el CLIENTE para
proceder con las medidas de mitigación y cierre sugeridas, las remediaciones
deberán ser realizadas por el CLIENTE en el tiempo y forma que considere
pertinentes bajo su responsabilidad.

El Servicio de Consultoría en Seguridad de Información en la modalidad Análisis

Técnico de Vulnerabilidades consiste en:

• Realizar una evaluación técnica de vulnerabilidades mediante herramientas

confiables a los activos que la organización haya seleccionado (IP´s), generando una
evaluación del riesgo sobre los mismos y considerando su impacto en la
confidencialidad, integridad y disponibilidad de la información, así como la
importancia del activo dentro de la empresa.

• Proveer una lista de recomendaciones técnicas para el cierre de vulnerabilidades

detectadas, todo esto considerando las mejores prácticas internacionales.

El alcance del Servicio de Consultoría en Seguridad de Información en la modalidad

Análisis Técnico de Vulnerabilidades cubre los siguientes entregables:

• Reporte de análisis de vulnerabilidades técnicas clasificadas por nivel de riesgo y

por activo.

• Recomendaciones técnicas para el cierre de vulnerabilidades

• Plan de mitigación y priorización de actividades de cierre de vulnerabilidades.

b. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD ANÁLISIS TÉCNICO DE VULNERABILIDADES. El Servicio de Consultoría
en Seguridad de Información en la modalidad Análisis Técnico de Vulnerabilidades
será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.

5. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN

MODALIDAD ANÁLISIS DE IMPACTO AL NEGOCIO. (BIA)
a. El Servicio de Consultoría en Seguridad de Información modalidad Análisis De
Impacto Al Negocio. (BIA). El BIA, es un servicio de consultoría el cuál analiza
funciones de negocio de manera sistemática para determinar los impactos al
negocio en términos cuantitativos y cualitativos originados por una interrupción
súbita e inesperada del negocio.

Los impactos financieros se medirán en términos de pérdida monetaria, mientras

que los impactos operacionales se medirán en términos de indisponibilidad para
proporcionar un servicio o producto del CLIENTE frente a terceros.

Dentro del alcance del Servicio de Consultoría en Seguridad de Información

modalidad Análisis De Impacto Al Negocio.
b. Alcances del Servicio. El Servicio de Consultoría en Seguridad de Información
modalidad Análisis De Impacto Al Negocio. (BIA) proveído por ALESTRA se basa en
un enfoque Top Down, entrevistas con personas mandos altos e intermedios para
 la obtención de información y correspondiente análisis, cuestionarios para la
identificación de recursos mínimos para operación en contingencia, desarrollo de
sesiones de trabajo y evaluación del Nivel de Impactos en función del tiempo de
interrupción de operaciones y mediante una escala común a procesos/actividades.
c. Como entregables del Servicio de Consultoría en Seguridad de Información
modalidad Análisis De Impacto Al Negocio. (BIA) se proporcionará en formato
acordado por las partes toda la documentación relacionada a las sesiones de trabajo
y entrevistas, así como una presentación final ejecutiva con los resultados del
análisis.
d. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN
MODALIDAD ANÁLISIS DE IMPACTO AL NEGOCIO (BIA). El servicio de análisis de
impacto al negocio será pagado por el CLIENTE según lo estipulado en el Anexo de
Precios.
REQUERIMIENTOS DE SEGURIDAD
1. Identidad y domicilio del Responsable.

De conformidad con el artículo 15 de la Ley Federal de Protección de Datos Personales en Posesión

de Particulares (LFPDPPP), las empresas Alestra, S. de R.L. de C.V., Servicios Alestra S.A. de C.V.,
Ingeniería de Soluciones Alestra, S.A. de C.V. y Servicios Alestra TI, S.A. de C.V. en lo sucesivo
“Alestra”, con domicilio en Avenida Lázaro Cárdenas No. 2321 Pte. Piso 9 Col. Residencial San
Agustín C.P. 66260 San Pedro Garza García N.L. México, hace de su conocimiento el presente Aviso
de Privacidad Integral.

2. Datos personales y Datos Sensibles sometidos a tratamiento.

Alestra como parte de sus actividades empresariales, requiere recabar y tratar datos personales
mismos que se obtienen en forma directa del titular, en forma indirecta, a través de medios físicos,
electrónicos o presenciales, así como de fuentes públicas autorizadas, con el propósito de cumplir
con las finalidades primarias y necesarias señaladas en el presente Aviso de Privacidad Integral.

Los Datos personales a los que se les dará tratamiento de acuerdo al tipo de titular son:

-Para Clientes y/o Proveedores (Personas Físicas) datos de Identificación, domicilios, datos fiscales,
datos de contacto, así como referencias personales, crediticias, comerciales, datos financieros y
patrimoniales. En el caso de clientes y/o proveedores no se da tratamiento a datos personales
sensibles.

-Para Candidatos, Empleados y/o Servicios Profesionales datos de Identificación, domicilio, datos de
contacto, datos académicos, cursos, diplomados, certificaciones, Idiomas, habilidades,
conocimientos, áreas de experiencia e Interés, datos extra-académicos, datos de referencias
laborales, personales y familiares, datos patrimoniales y financieros, así como los siguientes datos
Personales Sensibles: datos personales de salud y afiliación sindical.
 -Para Contratistas (Personas Físicas) datos de identificación, datos de contacto, datos laborales,
datos que comprueben la vigencia de derechos en materia de seguridad social o seguros de gastos
médicos mayores. En el caso de contratistas no se recaban datos personales sensibles.

-Para Visitantes de portales en internet datos de identificación y datos de contacto. En el caso

usuarios que visitan portales en internet, no se recaban datos personales sensibles.

-Para visitantes a las instalaciones datos de identificación, datos de contacto, en su caso empresa
que representa y motivo de la visita.

En el caso de visitantes no se da tratamiento a datos personales sensibles.

En todos los casos, los datos personales sensibles, patrimoniales y financieros tienen como
propósito que Alestra cumpla con las obligaciones derivadas de la relación jurídica que se establezca
con el Titular.

Es nuestro compromiso que los mismos serán tratados bajo estrictas medidas de seguridad, siempre
garantizando su confidencialidad.

En caso de proporcionar cualquier tipo de dato personal relacionado con otra persona como
referencia, para efectos del presente aviso de privacidad, usted declara y acepta que ha obtenido el
consentimiento previo correspondiente de dicha persona para ello.

No será necesario el consentimiento para el tratamiento de los Datos Personales cuando:

 Esté previsto en una Ley;

 Los datos figuren en fuentes de acceso público;

 Los Datos Personales se sometan a un procedimiento previo de disociación;

 Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el Titular de los
Datos Personales y Alestra;

 Exista una situación de emergencia que potencialmente pueda dañar a un individuo en sus bienes
o persona; o

 Se dicte resolución de autoridad competente.

3. Finalidades del tratamiento.

a) Las finalidades primarias por las que Alestra puede solicitar, obtener, almacenar y/o utilizar los
Datos Personales por tipo de Titular son:

En relación a Clientes y Proveedores para verificar y comprobar su identidad, elaborar propuestas y

cotizaciones, para su contratación comercial, para realizar todas las actividades que resulten
necesarias para la relación jurídica, para enviarle información sobre asuntos relativos a la relación
comercial, para contratar servicios necesarios para hacer entrega de las contra prestaciones
económicas y en especie acordadas y establecidas en los contratos, con fines estadísticos y
elaboración de reportes periódicos, para tener actualizada nuestras bases de datos, para realizar
todos los trámites ante las autoridades correspondientes, para contar con expedientes actualizados,
para gestión de pagos y cobranza de servicios contratados, para evaluación de la calidad y
satisfacción de los productos y servicios.

En relación a Candidatos, Empleados y/o Servicios Profesionales para verificar y comprobar su

identidad, para la evaluación y control interno de conocimientos y habilidades, para su contratación
laboral. Para la administración de recursos humanos y gestión de talento, para contratar servicios
necesarios para hacer entrega de las contra prestaciones económicas y en especie acordadas y
establecidas en los contratos, para realizar todas las actividades que resulten necesarias para la
relación jurídica, para comunicar a sus contactos toda situación que lo amerite. para tener
actualizada nuestras bases de datos, para realizar todos los trámites ante las autoridades
correspondientes, para contar con expedientes actualizados, para llevar control de programas de
salud en el trabajo, para elaboración de documentos, contratos, convenios, facturas, recibos,
reconocimientos y en general cualquier documento relacionado con la relación laboral.
En relación a Contratistas para el monitoreo y control de su visita así como para permitir el acceso
a las instalaciones.

En relación a Visitantes de portales en Internet para atender cualquier solicitud de información o

servicio a través de las opciones de contacto disponibles nuestras páginas electrónicas en internet.

En relación a Visitantes a nuestras instalaciones para el monitoreo y control de su visita, así como
permitir el acceso a las instalaciones. b) Las finalidades secundarias por las que Alestra podría
solicitar, obtener, almacenar y/o utilizar los Datos Personales son las siguientes:

Para cualquier tipo de Titular para la comunicación, promoción y difusión a través de medios físicos
y electrónicos, de nuestros productos y/o servicios. En caso de que el Titular requiera manifestar su
negativa para el tratamiento de sus datos personales para las finalidades secundarias que no dan
origen a la relación jurídica, cuenta con 5 días hábiles a partir de que otorgó su consentimiento, para
presentar su solicitud conforme lo señalado en la Sección V del presente Aviso de Privacidad. En
ningún caso se dará un uso distinto a los aquí señalados a cualquier Dato Personal recabado, salvo
que medie un cambio en este Aviso de Privacidad de acuerdo a lo establecido en la sección IX.

4. Transferencia de datos personales.

El Titular entiende y acepta que Alestra está autorizado para transferir los Datos a terceros,
respetando en todo momento las finalidades previstas en el presente Aviso de Privacidad. Alestra
como parte del tratamiento de datos personales, no realiza transferencias de Datos Personales
Sensibles, Patrimoniales o Financieros. En caso de requerirse, la misma no se realizará sin previo
consentimiento expreso y por escrito por parte del Titular.

Con fundamento en los artículos 36 y 37 de la Ley Federal de Protección de Datos Personales en

Posesión de los Particulares, los Datos Personales pueden ser transferidos lícitamente para las
finalidades establecidas en el presente Aviso de Privacidad a: a) Las sociedades subsidiarias, filiales,
afiliadas, controladoras, y/o contraladas de Alestra dentro del territorio nacional o en el extranjero,
b) Cuando la transferencia sea necesaria para proveer de los productos y servicios o dar
 cumplimiento a las relaciones laborales o comerciales contratadas. c) A terceros en materia de
atención de clientes y estudios relacionadas con la prestación de productos y servicios de Alestra y
d) Terceros como agencias de mercadotecnia que participan con Alestra para poder ofrecer sus
productos y servicios en términos de lo establecido por la regulación aplicable en materia de Datos
Personales.

El Titular acepta que al proporcionar sus Datos Personales, estos estarán sujetos a las transferencias
mencionadas en el presente Aviso de Privacidad.

 Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté
debidamente acreditado para ello;

 Cuando en su base de datos no se encuentren los datos personales del solicitante;

 Cuando se lesionen los derechos de un tercero;

 Cuando exista un impedimento legal, o la resolución de una autoridad competente que restrinja el
acceso a los datos personales o que no permita la rectificación, cancelación u oposición de los
mismos;

 Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

5. Medios y procedimiento para ejercer los derechos ARCO.

Para ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición), así como para
limitar su uso o divulgación o solicitar la revocación del consentimiento, deberá dirigirse a Alestra
mediante escrito libre en Atención a Datos Personales RH, en Av. Lázaro Cárdenas #2321 piso 9,
Residencial San Agustín, San Pedro Garza García, N.L. C.P. 66260 de Lunes a Viernes de las 9:00 a las
13:00 y de las 15:30 a las 18:00 horas, en días hábiles, según corresponda.

Para poder dar trámite a cualquier solicitud de acceso, rectificación, cancelación, oposición, así
como para limitar el uso / divulgación o para solicitar la revocación del consentimiento, deberá ser
recibida en el domicilio antes indicado, así como contener y acompañar lo siguiente: a) El nombre
del Titular, domicilio y/o cualquier otro medio para comunicarle la respuesta a su solicitud; b) Los
documentos que acrediten la identidad o, en su caso, la representación legal del Titular; c) La
descripción clara y precisa de los Datos Personales respecto de los que se busca ejercer alguno de
los derechos antes mencionados; d) Cualquier otro elemento o documento que facilite la
localización de los Datos del Titular, así como su clave de RFC y/o CURP para evitar cualquier
homonimia. e) Especificar claramente si la solicitud es de acceso, rectificación, cancelación,
oposición; limitar uso / divulgación o revocación del consentimiento) el motivo de la solicitud y g)
las modificaciones a realizarse, en caso de que la solicitud sea para la rectificación de Datos
Personales y aportar la documentación que sustente su petición.

En caso de que la información proporcionada en la Solicitud ARCO sea insuficiente o errónea para
atenderla, o bien no se acompañen los documentos necesarios para dar trámite a la misma, Alestra
requerirá al titular de los datos o su representante, dentro de los 5 días hábiles siguientes a la
recepción de la Solicitud ARCO, por una única vez, que aporte los elementos o documentos
necesarios para dar trámite a la misma. El titular de los datos o su representante, contará con 10
días hábiles contados a partir del día siguiente de la recepción del requerimiento, para darle
respuesta.

Alestra dará respuesta a la Solicitud ARCO con la determinación alcanzada, en un plazo de 20 días
hábiles contados a partir de la recepción de la solicitud, o en caso de haberse solicitado información
o documentos adicionales, en un plazo de 20 días hábiles contados a partir del día siguiente a la
presentación de la respuesta al requerimiento.

En caso de ser procedente la Solicitud ARCO, Alestra hará efectiva la determinación alcanzada
dentro de un plazo de 15 días hábiles contados a partir de que se comunique la respuesta al titular
de los datos o su representante. Tratándose de Solicitudes ARCO sobre el derecho de acceso a datos
personales, la entrega de los mismos se hará previa acreditación de la identidad del titular de los
datos o su representante. Alestra podrá ampliar los plazos para dar respuesta a una Solicitud ARCO,
y/o para hacer efectiva la determinación alcanzada, por una sola vez, por periodos iguales a los
señalados en cada caso, siempre que considere que las circunstancias del caso lo justifican.

Ante tales supuestos, Alestra le notificará al titular de los datos o su representante, la(s)
circunstancia(s) que justifican la ampliación, dentro de cada uno de los plazos originales para dar
respuesta o hacer efectiva la determinación alcanzada. Las respuestas a las Solicitudes ARCO se
entregarán al titular de los datos o a su representante legal en copias simples o en archivo
electrónico según el tipo y la cantidad de documentos de que se trate cada caso.

Para la revocación del consentimiento bastará que el titular presente su solicitud en el domicilio de
Alestra. Alestra hará efectiva dicha solicitud, siempre y cuando no se trate de un dato personal
necesario para la existencia, mantenimiento y cumplimiento de su relación jurídica con el titular de
los datos.

6. Mecanismos y procedimientos para que titular pueda revocar su consentimiento.

Alestra estará facultado para dar el tratamiento que considere adecuado a los Datos Personales,
siempre y cuando se realice con apego a las finalidades señaladas en el inciso (a) de la Sección III del
presente Aviso de Privacidad. Para el tratamiento de las finalidades señaladas en el inciso (b) de la
citada Sección, Alestra podrá realizar dicho tratamiento hasta que no reciba la negativa por parte
del Titular. A efecto de que el Titular pueda manifestar su negativa al respecto, deberá dirigirse al
Alestra por medio del procedimiento establecido para el ejercicio de los Derechos ARCO señalado
en la Sección V del presente Aviso de Privacidad.

7. Opciones para limitar uso o divulgación.

Para dar cumplimiento con las finalidades del presente Aviso de Privacidad, así como para poder
tratar los Datos Personales, es posible que Alestra entregue todo o parte de los Datos a terceras
personas que podrán ser personas físicas o morales, nacionales o extranjeras, empresas filiales o
subsidiarias, incluyendo proveedores de bienes o servicios, que requieran conocer esta información,
incluyendo proveedores de servidores de almacenamiento de información, quienes quedarán
obligados, por contrato, a mantener la confidencialidad de los Datos Personales y conforme a lo
establecido en el presente Aviso de Privacidad. Los terceros receptores, podrán ser empresas
industriales, comerciales y/o de servicios. Alestra se compromete a contar con las medidas legales
y de seguridad suficiente y necesaria para garantizar que sus Datos Personales permanezcan
confidenciales y seguros. A efecto de que el Titular pueda realizar solicitud para limitar el uso o
divulgación, deberá dirigirse al Alestra por medio del procedimiento establecido para el ejercicio de
los Derechos ARCO señalado en la Sección V del presente Aviso de Privacidad.
8. Comunicación por uso de Cookies, Web Beacons o similares.

En caso de que el Titular proporcione sus Datos a través de medios electrónicos, incluyendo el sitio
web (Internet) de Alestra, el Titular entiende, acepta y reconoce que:

a) El sitio web de Alestra puede incluir enlaces a sitios web de terceros, que de accederse, ocasionará
que se abandone el sitio web de Alestra, por lo cual Alestra no asume ninguna responsabilidad en
relación con esos sitios web de terceros.

b) El sitio web de Alestra puede incluir enlaces a sitios que administran redes sociales, en cuyo caso
el Titular acepta que al proporcionar cualquier tipo de información o Datos en dichos sitios,
ocasionará que la misma pueda ser leída, vista, accedida, retransmitida y tratada por cualquier
persona, y por lo tanto libera de cualquier responsabilidad a Alestra.

Cookies: Son archivos de datos que se almacenan en el disco duro del equipo de cómputo o del
dispositivo de comunicaciones electrónicas de un usuario al navegar en un sitio de Internet
específico, el cual permite intercambiar información de estado entre dicho sitio y el navegador del
usuario. La información de estado puede revelar medios de identificación de sesión, autenticación
o preferencias del usuario, así como cualquier otro dato almacenado por el navegador respecto al
sitio de Internet.

Web beacons: Son una imagen visible u oculta insertada dentro de un sitio web o correo electrónico,
que se utiliza para monitorear el comportamiento del usuario en estos medios. A través de éstos se
puede obtener información como la dirección IP de origen, navegador utilizado, sistema operativo,
momento en que se accedió a la página, y en el caso del correo electrónico, la asociación de los
datos anteriores con el destinatario.

Alestra puede utilizar cookies o web beacons en su página web para facilitar la navegación y para
obtener una mayor eficacia facilitando la personalización de los servicios ofrecidos a los visitantes.
Las cookies o web beacons usadas en los sitios web de Alestra, no proporcionan referencias que
permitan deducir el nombre y apellidos del visitante y no pueden leer datos de su disco duro ni
incluir virus en sus textos.

Tampoco es posible leer las cookies implantadas en el disco duro del visitante desde otros
servidores. El visitante puede configurar su navegador para aceptar o rechazar por defecto todas las
cookies o web beacons o para recibir un aviso en pantalla de la recepción de cada cookie o web
beacons y decidir en ese momento su implantación o no en su disco duro.

9. Cambios al Aviso de Privacidad.

El presente Aviso de Privacidad puede sufrir modificaciones, cambios o actualizaciones derivadas de

nuevos requerimientos legales; de nuestras propias necesidades por los productos o servicios que
ofrecemos; de nuestras prácticas de privacidad; de cambios en nuestro modelo de negocio, o por
otras causas.
POLITICAS DE SEGURIDAD

1. TERMINACIÓN Y RESCISIÓN
1. El CLIENTE al corriente en el cumplimiento de sus obligaciones podrá solicitar a
ALESTRA la terminación de cualquiera de los servicios mediante notificación por
escrito a ALESTRA con 60 (sesenta) días de anticipación a la fecha en que pretenda
que se lleve a cabo la terminación.
2. En caso de que el CLIENTE decida cancelar parcial o totalmente cualquiera de los
Servicios aquí señalados, antes de cumplir con la vigencia inicialmente contratada
y/o en caso de rescisión del contrato y/o de este anexo por incumplimiento del
CLIENTE a cualquiera de sus obligaciones derivadas del servicio contratado, deberá
de pagar a ALESTRA El 100% (cien por ciento) del valor total del proyecto.
3. En caso de terminación anticipada parcial o total de los Servicios, ALESTRA solo será
responsable de entregar al CLIENTE aquellos reportes o entregables que resulten a
la fecha efectiva de terminación anticipada, por lo que el CLIENTE reconoce que
dichos entregables pueden carecer del alcance completo que aquí se señala.

2. RESPONSABILIDADES DEL CLIENTE

1. Para los servicios de CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN, es
imprescindible la participación activa del CLIENTE durante todo el proceso, por lo
cual se hace mención a las responsabilidades que se otorgan:
a. Proporcionar un lugar de trabajo adecuado al personal que ALESTRA
designe para el desarrollo del análisis en sus instalaciones, el cual deberá
de contar con un puerto de red LAN, acceso a Internet, energía eléctrica,
escritorio y silla. Este lugar deberá estar disponible durante todo el tiempo
que dure la realización del análisis.
b. Tener agenda con disponibilidad de las personas a entrevistar para el
proceso de recopilar información para la Consultoría en Seguridad de
Información. Dichas reuniones serán acordadas con el apoyo y mediante el
punto único de contacto designado por el cliente.
c. Designar a una persona como punto único de contacto, el cual apoyará los
requerimientos que le solicite el personal designado por ALESTRA que
realice el análisis.
d. Dar todas las facilidades y apoyo al personal designado por ALESTRA que
realice el análisis para el acceso físico, acceso a la información y recursos
para llevar a cabo la realización del análisis dentro de las condiciones
acordadas en el Anexo de Precios.
e. No impedir o interrumpir de alguna manera las actividades del personal
designado por ALESTRA para la realización del análisis.
f. Contar con respaldos de su información antes que ALESTRA realizase el
análisis de información.
g. Acceso a Internet disponible para el personal designado por ALESTRA para
la realización del análisis de información.
h. Liquidar en su totalidad el precio acordado en el Anexo de Precios para el
servicio de CONSULTORIA EN SEGURIDAD DE INFORMACIÓN.
i. ALESTRA sin responsabilidad podrá suspender las actividades del Análisis o
la presentación de los entregables al CLIENTE, en caso de que este último
 no cumpla con el pago del servicio conforme a lo señalado en el Anexo de
Precios.

En caso que el CLIENTE incumpla con cualquiera de las responsabilidades aquí enumeradas,
puede ocasionar el retraso en la entrega del Servicio, así mismo, pueda incurrir en gastos
extras que ALESTRA cotizará en la factura correspondiente. Por lo anterior, el CLIENTE
acepta y reconoce el pago de cualquier gasto extra que ALESTRA pueda incurrir derivado
del incumplimiento del CLIENTE a esta sección.

3. LIMITE DE RESPONSABILIDADES
1. Para el servicio de CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN las actividades
a realizar por parte de ALESTRA, se limitan a lo señalado en la cláusulas
correspondientes en la DESCRIPCIÓN DEL SERVICIO del presente Anexo, por lo cual
ALESTRA no llevará a cabo acciones o actividades encaminadas a la remediación de
las posibles vulnerabilidades que sean detectadas en la organización del CLIENTE,
durante el proceso de Consultoría.

4. PROTECCIÓN DE INFORMACIÓN
1. ALESTRA mantendrá en todo momento protegida la información del CLIENTE
durante la vigencia del Servicio, y una vez concluido el servicio ALESTRA la
mantendrá igualmente protegida, hasta que se proceda a la destrucción de la
misma.

5. AUDITORÍAS
1. El CLIENTE acepta y reconoce que los servicios que se describen en este Anexo de
Servicio, no constituye, ni podrán ser considerados, como parte de una Auditoría de
sistemas, procesos o cualquier análogas. Los Servicios aquí descritos son
informativos, de recomendación y mejora para la seguridad del CLIENTE. Es
responsabilidad del CLIENTE seguir las recomendaciones emitidas por los Servicios
de ALESTRA, y así mismo el CLIENTE deberá realizar sus Auditorías a través de otro
servicios prestados por ALESTRA, 10.2. El CLIENTE acepta y reconoce que los
Servicios aquí descritos y prestados por ALESTRA podrán ser susceptibles de
Auditoría por parte del CLIENTE, siempre y cuando el CLIENTE lo solicite con
anticipación, detallando los alcances y por escrito, por lo cual el CLIENTE acepta y
reconocer que deberá pagar la cotización que ALESTRA le haga llegar para llevar
acabo la auditoría que el CLIENTE solicite.

6. PROPIEDAD INTELECTUAL
1. Todos los Servicios prestados y descritos en este Anexo están protegidos por las
leyes de Propiedad Intelectual aplicables en México y el extranjero. Por lo anterior,
ALESTRA otorga una licencia de derecho y uso exclusivo al CLIENTE, sin que pueda
ser copiado parcial o totalmente, quedando prohibida su distribución, publicación,
y/o comercialización total o parcial, sin el consentimiento por escrito de ALESTRA.
GESTIÓN DE ACTIVOS
DESCRIPCIÓN DEL SERVICIO DE ANALISIS DE VULNERABILIDADES. El servicio de Análisis de
Vulnerabilidades consiste en realizar un estudio de los activos (servidores, routers, swiitches, etc)
del CLIENTE para determinar si tiene vulnerabilidades que puedan afectar al activo, a sus servicios
de telecomunicaciones o a la información del CLIENTE. Este estudio se realiza durante un periodo
de tiempo determinado en las instalaciones del CLIENTE utilizando herramientas autorizadas por
ALESTRA con las cuales se obtendrá información que servirá para generar y entregar los siguientes
reportes al CLIENTE:

1. Inventario de activos considerados en el análisis.

1. Mapa de la red donde se encuentran los activos evaluados.
2. Reportes detallados que incluyan:
1. Listado de las herramientas utilizadas durante el análisis.
2. Reportes “crudos” de las herramientas utilizadas durante el análisis.
3. Lista de vulnerabilidades por activo considerando:
4. Su clasificación (alta, media, baja). a. Lista de explotaciones que pudieran
realizarse para obtener la información anteriormente identificada.
5. Recomendaciones técnicas para cerrar las vulnerabilidades.
6. Plan de trabajo base para el cierre de vulnerabilidades.
3. Reportes ejecutivos que incluyan: 1. Total de vulnerabilidades altas, medias y bajas
de todos los activos y/o proceso. a. Plan de trabajo de reparación de
vulnerabilidades (tiempos y prioridades de actividades). b. Vulnerabilidades vs
impactos en el negocio vs riesgos vs recomendaciones vs la facilidad de reparación.
c. Nivel de riesgo global en el negocio vs impactos a nivel global. d. Identificación de
áreas de oportunidad (carencia de controles). e. Listar los posibles daños o
consecuencias por explotación de las vulnerabilidades. f. Medición de los impactos
en el negocio por las amenazas y vulnerabilidades en cuestión. g. Definición de
acciones correctivas (controles) que mitiguen los riesgos identificados incluyendo el
esfuerzo de implementación. h. Estimar los riesgos residuales por la
implementación de los controles recomendados.
2. FORMA DE PAGO DEL SERVICIO ANÁLISIS DE VULNERABILIDADES. El servicio de Análisis de
Vulnerabilidades será pagado por el CLIENTE según lo estipulado en el Anexo de Precios
mediante una sola exhibición a más tardar en la fecha de vencimiento de la factura que
ALESTRA para tales efectos le emita al CLIENTE.