Auditoria de Sistemas Fonades 2012

FONADES
Auditoria Depto. Informtica
PRESENTADO POR:
Ari Fernando Rubio Jefe de Informtica
November 7, 2012
INFORMACIN DEL DOCUMENTO

NOMBRE DOCUMENTO: PROYFONADES
FECHA DE November 7, 2012
ACTUALIZACIN:
AUTORIZADO POR:
VERSION DOCUMENTO: 1.1
HISTORIAL DE REVISION
Auditoria Depto. Informtica | 11/7/2012
FECHA
01/10/2012
05/10/2012
08/10/2012
09/10/2012
10/10/2012
11/10/2012
15/10/2012
17/10/2012
ACTUALIZADO POR
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
Ari Rubio
DESCRIPCION DE CAMBIOS
Inspeccin Fsica y Ambiental
Planeacin
Evaluacin de Riesgo
Seguridad del Personal
Controles Tcnicos
Auditoria y responsabilidad
Revisin anexos
Revisin
INDICE
INFORMACIN DEL DOCUMENTO ................................................................................................... 1

HISTORIAL DE REVISION ................................................................................................................... 1
INTRODUCCIN .................................................................................................................................... 3
CONTROLES ADMINISTRATIVOS ............................................................................................................... 4
PLANIFICACIN (PL).......................................................................................................................... 4
EVALUACIN DE RIESGOS (RA) ........................................................................................................... 6
ADQUISICIN DE SISTEMAS Y SERVICIOS (SA) ........................................................................................ 7
CONTROLES OPERATIVOS ..................................................................................................................... 10
CONCIENTIZACIN Y ENTRENAMIENTO (AT) ........................................................................................ 10
GESTIN DE LA CONFIGURACIN (CM) .............................................................................................. 12
PLANES DE CONTINGENCIA (CP) ....................................................................................................... 14
RESPUESTA A INCIDENTES (IR) .......................................................................................................... 17
MANTENIMIENTO (MA) .................................................................................................................. 19
PROTECCIN DE MEDIA (MP) .......................................................................................................... 20
PROTECCIN FSICA Y MEDIO AMBIENTE (PE) ..................................................................................... 22
SEGURIDAD EN EL PERSONAL (PS) ..................................................................................................... 28
INTEGRIDAD DEL SISTEMA E INFORMACIN (SI) ................................................................................... 30
CONTROLES TCNICOS ......................................................................................................................... 33
CONTROL DE ACCESO (AC) ............................................................................................................... 33
AUDITORA Y RENDICIN DE CUENTAS (AU)........................................................................................ 38
IDENTIFICACIN Y AUTENTICACIN (IA).............................................................................................. 41
PROTECCIN DE SISTEMAS Y COMUNICACIONES (SC) ........................................................................... 42
RECOMENDACIONES GENERALES: .......................................................................................................... 47
ANEXOS .............................................................................................. ERROR! MARCADOR NO DEFINIDO.
LISTADO DE DOCUMENTOS PROPORCIONADOS Y REVISADOS..................... ERROR! MARCADOR NO DEFINIDO.
AUDITORIA DEPTO. INFORMTICA

Introduccin
Con el objetivo de ser competitivos y prestar cada vez mejores servicios por ser una institucin de
gobierno publica, la direccin general de Fondo Nacional de Desarrollo (Fonades) requiere evaluar la
gestin hasta al da de hoy del departamento de Tecnologa de Informacin (TI) para garantizar que
exista una adecuada planeacin, buen uso y aprovechamiento de los recursos de tecnologa que
actualmente posee la institucin, a su vez determinar si el departamento de TI contribuye a un
desarrollo eficiente de los procesos , cumpliendo con los objetivos de la entidad sin comprometer o
poner en riesgo los activos o la informacin.
El rea de Informtica prepar el siguiente informe con el propsito de brindar a la direccin general de
FONADES y al Director de Sistematizacin una evaluacin de su gestin sobre los recursos de
tecnologa con el nimo de mejorar el control sobre la administracin de los recursos tecnolgicos de la
entidad, basado en la tcnicas de la auditoria de Sistemas de Informacin.
Este informe est basado en estndares internacionales de la industria como son: COBIT (Objetivos de
Control para la Informacin y Tecnologa Relacionada, preparado por la Asociacin de Auditoria de
Control de Sistema de Informacin ISACA) y e la norma ISO/IEC 17799 (Cdigo de buenas prcticas de la
gestin de la seguridad de la informacin, desarrollado por la Organizacin Internacional de
Normalizacin ISO y la comisin electrnica Internacional IEC). Por considerarse complementarios y no
excluyentes.
COBIT es un marco de referencia de direccin de tecnologa de informacin (TI) y conjunto herramientas

de apoyo que permite a los gerentes superar las diferencias entre los requisitos de control, cuestiones
tcnicas y riesgos del negocio. COBIT permite un desarrollo claro de polticas y buenas prcticas para el
control de TI a lo largo de organizaciones. Enfatiza el cumplimiento normativo, ayuda a las
organizaciones a aumentar el valor obtenido a partir de TI, permite el alineamiento y simplifica la
implementacin de los conceptos de la estructura COBIT. COBIT est destinado a ser utilizado por la
gerencia de la empresa y por la gerencia de TI, as como por los auditores de SI; por lo tanto, su uso
permite la comprensin de los objetivos del negocio, la comunicacin de las mejores prcticas y las
recomendaciones que deben hacerse, en base a una estructura comnmente comprendida y bien
respetada.
La norma ISO/IEC 17799 es una normativa de carcter internacional, considerada una buena gua para
las entidades que desean mantener de forma segura sus activos.
Controles Administrativos
Planificacin (PL)
Las organizaciones deben desarrollar, documentar, actualizar peridicamente, e implementar planes de
seguridad para los sistemas de informacin de la organizacin que describen los controles de seguridad
en el lugar o los previstos para los sistemas de informacin y de las reglas de comportamiento para las
personas que acceden a los sistemas de informacin.
PL-1
Evidencia
Recomendacin
Poltica y Procedimiento de Planificacin de la Seguridad: La

organizacin desarrolla, disemina y revisa peridicamente y actualiza: (i)
una formal, poltica documentada, la planificacin de la seguridad que se ocupa
de propsito, alcance, funciones, responsabilidades y el cumplimiento, y (ii) los
procedimientos formales y documentados para facilitar la aplicacin de
la planificacin de la seguridad la poltica y los controles de seguridad
relacionados de planificacin.
Si
PL-2
PL-3
Evidencia
Recomendacin
Actualizacin del Plan de Seguridad de los sistemas: La organizacin revisa el plan

de seguridad para el sistema de informacin [Asignacin: La organizacin define la
frecuencia] y revisa el plan para hacer frente a cambios del sistema en la
organizacin o problemas encontrados durante la ejecucin del plan o de las
evaluaciones de control de seguridad.
SI
Evidencia
Recomendacin
Plan de Seguridad de los Sistemas: La organizacin desarrolla e implemente un

plan de seguridad para el sistema de informacin que proporciona una visin
general de los requisitos de seguridad para el sistema y una descripcin de los
controles de seguridad en el lugar o previstas para cumplir esos requisitos. Los
funcionarios designados dentro de la organizacin revisarn y aprobar el plan.
En Proceso
Ti debe enfocarse en reforzar la planeacin que realiza anualmente, tomando en
consideracin los aspectos de seguridad de los proyectos que se ejecutaran. Esto
debe ser incluido en la documentacin.
PL-4
Evidencia
Recomendacin
Reglas de Comportamiento: La organizacin establece y pone a disposicin a todos

los usuarios del sistema de informacin de un conjunto de reglas que describen sus
responsabilidades y el comportamiento esperado en relacin con el uso de la
informacin del sistema. La organizacin recibe acuse de recibo firmado de los
usuarios indicando que han ledo, entendido y aceptado cumplir con las reglas de
comportamiento, antes de autorizar el acceso al sistema de informacin.
Parcial se envio piliticas de Seguridad informtica
La inclusin del periodo de educacin a los colaboradores de la institucin por lo
menos una vez al ao realizando campaas de concientizacin hacia los empleados
y la organizacin debe recibir un bitcora del entrenamiento recibo para adjuntarla
al expediente.
PL-5
Evidencia
Recomendacin
Evaluacin del impacto de la privacidad: La organizacin lleva a cabo una

evaluacin del impacto de privacidad en el sistema de informacin.
No se esta cumpliendo
Es necesario determinar anualmente cual es el impacto para la organizacin el
incidente que se divulgue informacin confidencial, adicionalmente revisar la
informacin que por nuevos procesos se ha producido.
Evaluacin de Riesgos (RA)

Las organizaciones deben desarrollar, documentar, actualizar peridicamente, e implementar planes de
seguridad para los sistemas de informacin de la organizacin que describen los controles de seguridad
en el lugar o los previstos para los sistemas de informacin y de las reglas de comportamiento para las
personas que acceden a los sistemas de informacin.
RA-1
Evidencia
Recomendacin
Poltica y Procedimiento de Evaluacin de Riesgos: La organizacin desarrolla,

disemina y revisa peridicamente y actualiza: (i) una poltica formal y documentada
de evaluacin de riesgos que se ocupa de propsito, alcance, funciones,
responsabilidades y el cumplimiento, y (ii) los procedimientos formales y
documentados para facilitar la aplicacin de la poltica de evaluacin de riesgos y
asociado con controles de evaluacin de riesgos.
No existe
Se necesita desarrollar el documento de poltica y el procedimiento que contemple
como mnimo los puntos que son sealados.
RA-2
Evidencia
Recomendacin
Categorizacin de Seguridad: La organizacin clasifica el sistema de informacin

y la informacin procesada, almacenada o transmitida por el sistema, de
conformidad con FIPS 199 y los documentos de los resultados (incluida la
justificacin de apoyo) en el plan de seguridad del Sistema. Funcionarios
designados de alto nivel dentro de la organizacin revisarn y aprobarn las
clasificaciones de seguridad.
Se debe implementar con los sistemas de Fertilizantes y administrativos
Es necesario en base al anlisis de seguridad realizar una clasificacin de la
informacin utilizada por los sistemas de informacin para su apropiado
resguardo.
Evidencia
Recomendacin
Evaluacin de riesgos: La organizacin lleva a cabo evaluaciones del riesgo y la

magnitud de los daos que pudieran derivarse del acceso no autorizado, uso,
divulgacin, alteracin, modificacin o la destruccin de los sistemas de
informacin y la informacin que soportan las operaciones y activos de la agencia.
En Cumplimiento
Es necesario evaluar los sistemas de informacin al menos una vez al ao para
determinar el riesgo que las operaciones asignan a un evento de acceso no
autorizado o una posible prdida de los sistemas de informacin.
RA-3
RA-4
Evidencia
Recomendacin
Anlisis de vulnerabilidades: El uso de la vulnerabilidad apropiada de herramientas

de anlisis y tcnicas, los anlisis de la organizacin en busca de
vulnerabilidades en el sistema de informacin [Asignacin: La organizacin define
la frecuencia] o cuando significativas nuevas vulnerabilidades que afectan al
sistema son identificadas y reportadas.
En Proceso
Como una mejor practica es recomendable realizar un escaneo sobre todas las
computadoras del personal y realizar un informe para que exista evidencia al
momento de una auditoria. Este escaneo se recomienda realizarlo mnimo dos
veces por ao.
Adquisicin de Sistemas y Servicios (SA)

Las organizaciones deben: (i) asignar recursos suficientes para proteger adecuadamente los sistemas de
informacin de la organizacin, (ii) utilizar procesos de ciclo de vida de desarrollo de sistema que
incorporen consideraciones de seguridad de la informacin, (iii) emplear el uso de software y las
restricciones de instalacin, y (iv) garantizar que los proveedores de terceros emplean medidas de
seguridad adecuadas para proteger la informacin, aplicaciones y servicios externalizados de la
organizacin.
SA-1
Evidencia
Recomendacin
Poltica y procedimiento de Adquisicin de sistemas y servicios: la organizacin

desarrolla, disemina y revisa peridicamente y actualiza: (i) una formal,
documentada poltica de adquisicin de los sistemas y servicios que se ocupa de
propsito, alcance, funciones, responsabilidades y el cumplimiento, (ii)
procedimientos formales y documentados para facilitar la aplicacin de la poltica
de adquisicin de sistemas y servicios asociado a controles.
No existe se rige sobre la poltica de compras de Gobierno
Se reviso la informacin presentada, se debe crear una poltica y procedimiento
que contenga una descripcin pas a paso de la adquisicin, contratacin, niveles
de servicio, penalizaciones. En toda las contrataciones y adquisiciones se
recomienda adicionalmente se incluya en toda contratacin de bienes y servicios el
reforzamiento de clausulas de confidencialidad para proteger informacin propia
de la entidad. Puntos adicionales son mencionados en la tabulacin que ser
encontrada en la seccin de hallazgos.
SA-2
Evidencia
Recomendacin
Asignacin de Recursos: La organizacin determina, documenta, y asigna como

parte de su planificacin del capital y el proceso de control de inversin los
recursos necesarios para proteger adecuadamente el sistema de informacin.
No existe actualmente
SA-3
Evidencia
Recomendacin
Soporte del ciclo de vida: La organizacin administra el sistema de informacin

utilizando una metodologa de ciclo de vida de desarrollo de sistemas que incluye
consideraciones de seguridad de la informacin.
Parcial No existen sistemas de informacin en la Organizacin
Se debe incluir dentro de las fases de anlisis y diseo consideraciones de
seguridad con el fin de concebir el sistema, tarea, modificacin de forma segura.
Adicionalmente documentar todas las fases realizadas es decir diagramas de casos
de uso, actividad, infraestructura, clases etc.
SA-4
Evidencia
Recomendacin
Adquisiciones: La organizacin incluye los requisitos de seguridad y

especificaciones de seguridad, ya sea explcitamente o por referencia, en los
contratos de adquisicin del sistema de informacin sobre la base de una
evaluacin del riesgo.
En cumplimiento
Se debe incluir este requerimiento especficamente para garantizar la seguridad de
los sistemas de informacin actuales y no ponerlos en riesgo la organizacin por
una mala evaluacin de seguridad de las nuevas adquisiciones. Es importante que
se considere siempre para toda adquisicin los estndares de seguridad que tiene
la empresa ya implementados para mantener el mismo nivel.
Evidencia
Recomendacin
Informacin sobre la Documentacin del Sistema: La organizacin asegura que la

documentacin adecuada para el sistema de informacin y sus elementos
constitutivos se encuentran disponible, protegido cuando sea necesario, y se
distribuye al personal autorizado.
No aplica hasta la creacin de los sistemas
Se debe poseer informacin sobre todos los componentes del sistema y sus
requerimientos con los respectivos procedimientos que permitan a otras personas
instalarlos. Son documentos que podemos llamar clasificar como un proceso Paso
a Paso.
SA-5
SA-6
Evidencia
Recomendacin
Restricciones de uso del software: La organizacin cumple con las restricciones de

uso del software.
En Cumplimiento
Se debe restringir el uso de software ya que debe cumplir con los requerimientos
mnimos de seguridad para no comprometer los sistemas de informacin. Y
mantener un nivel de cumplimiento, no utilizando software que no haya sido
adquirido por la organizacin.
SA-7
Evidencia
Recomendacin
Software Instalado por el usuario: La organizacin hace cumplir las normas

expresas sobre la descarga e instalacin de software por los usuarios.
En Cumplimiento los usuarios no tienen permisos de instalacin
Esta norma debe respetarse sin excepcin alguna. Esto se puede logran
restringiendo al usuario a no realizar instalaciones y eliminando perfiles de
administrador de los equipos.
SA-8
Evidencia
Recomendacin
Principios de seguridad de diseo: la organizacin disea e implementa el sistema

de informacin utilizando los principios de seguridad de ingeniera.
En Cumplimiento
En la reunin de diseo es necesario incluir consideraciones tcnicas de seguridad
para concebir el sistema seguro desde sus inicios.
SA-9
Evidencia
Recomendacin
Servicios de terceros de Sistemas de Informacin: La organizacin garantiza que

terceros proveedores de servicios de sistemas de informacin emplean controles
de seguridad adecuados, de conformidad con las leyes, directivas, polticas,
reglamentos, normas, orientaciones y acuerdos de nivel de servicio establecidos. La
organizacin vela por el cumplimiento de control de seguridad.
En Cumplimiento
Debe ser un requisito previo a la contratacin de un servicio de terceros. Debe ser
incluido dentro del proceso de contratacin.
SA-10
Evidencia
Recomendacin
Gestin de Configuracin de desarrollo: El desarrollador de sistemas de

informacin crea e implementa un plan de gestin de la configuracin que
controla los cambios en el sistema durante el desarrollo, seguimiento de fallos de
seguridad, requiere la autorizacin de los cambios, y proporciona la
documentacin del plan y su implementacin.
En Cumplimiento
Es necesario que exista un respaldo sobre cambios y fallas. Conteniendo quien y
cuando fueron autorizados los cambios. Esto se registra dentro de un sistema de
cambios.
SA-11
Evidencia
Recomendacin
Pruebas de Seguridad de Desarrollo: El desarrollador del sistema de informacin

crea una prueba de seguridad y plan de evaluacin, implementa el plan, y los
resultados de la prueba de desarrollo de seguridad pueden ser utilizados en apoyo
en el proceso de certificacin y acreditacin para el sistema de informacin
suministrada.
Parcial No se tiene la Infraestructura Necesaria para el Caso
Previo al pase a produccin es necesario realizar una lista de verificacin o pruebas
y dejar constancia de las acciones ejecutadas. Se debe incluir dentro del ciclo de
vida de un sistema y desarrollo. Debe formar parte de la poltica y los procesos.
Controles Operativos
Concientizacin y Entrenamiento (AT)
Las organizaciones deben: (i) asegurar que los administradores y usuarios de los sistemas de informacin
de la organizacin sean conscientes de los riesgos de seguridad asociados con sus actividades y de las
leyes aplicables, rdenes ejecutivas, directivas, polticas, normas, instrucciones, reglamentos o
procedimientos relacionados con la seguridad de los sistemas de informacin de la organizacin, y (ii)
asegurar que el personal de la organizacin tengan una formacin adecuada para llevar a cabo sus
funciones asignadas y las responsabilidades relacionadas con la seguridad de la informacin.
Evidencia
Recomendacin
Poltica y Procedimiento de la Concientizacin de la Seguridad y la formacin: la

organizacin desarrolla, disemina, revisa peridicamente y actualiza: (i) una formal,
documentada, conciencia de seguridad y poltica de capacitacin que se ocupa de
propsito, mbito de aplicacin, funciones, responsabilidades y el cumplimiento,
(ii) los procedimientos formales y documentados para facilitar la aplicacin de la
concienciacin sobre la seguridad y la poltica de formacin y concientizacin sobre
la seguridad y los controles asociados.
En Cumplimiento Poltica de Seguridad Informtica
Es importante el contar con una poltica de educacin de Seguridad de
Informacin. Esto tiene como objetivo capacitar a todo personal que es una nueva
contratacin, y personal que ya es empleado dentro de la institucin. El objetivo es
que todos dentro de la organizacin tengan presente la importancia que la entidad
le da a la seguridad de la informacin de la entidad.
AT-1
10
AT-2
Evidencia
Recomendacin
Concientizacin en seguridad: La organizacin asegura que todos los usuarios

(incluidos los gerentes y ejecutivos principales) estn expuestos a materiales
bsicos de los sistemas de informacin de sensibilizacin de seguridad antes de
autorizar el acceso al sistema y [la organizacin define la frecuencia, por lo menos
una vez al ao] a partir de entonces.
Parcial
Es necesaria la capacitacin de todo el personal de la institucin una vez al ao
como mnimo sobre tendencias en la seguridad de la informacin, como reforzando
el conocimiento del colaborador sobre las polticas y procesos actuales de
seguridad de la organizacin. Y documentar la asistencia de los mismos.
AT-3
Evidencia
Recomendacin
Capacitacin de Seguridad: La organizacin identifica al personal con funciones

importantes de informacin de seguridad del sistema y las responsabilidades, los
documentos de los roles y responsabilidades, y proporciona la informacin
adecuada del sistema de seguridad entrenamiento antes de autorizar el acceso al
sistema y [la organizacin define la frecuencia] a partir de entonces.
No se cumple el depto de recursos humanos no lo tiene contemplado
Al momento de impartir la capacitacin el usuario debe firmar un acuse de recibo
para seguimiento de su entrenamiento y capacitacin. Es importante este aspecto
para puestos clave dentro de la organizacin. Se debe contar con un plan de
entrenamiento para los puestos claves anual.
AT-4
Evidencia
Recomendacin
11
Registros de Entrenamiento en Seguridad: La organizacin documenta y

monitorea actividades individuales de formacin de seguridad, incluyendo la
formacin bsica acerca de la seguridad y la formacin especfica del sistema de
informacin de seguridad.
No se cumple
Se debe mantener una bitcora de entrenamientos que han sido recibidos por los
colaboradores de la organizacin.
Gestin de la Configuracin (CM)

Las organizaciones deben: (i) establecer y mantener las configuraciones de referencia e inventarios de
los sistemas de informacin de la organizacin (incluyendo hardware, software, firmware y
documentacin) a travs de los ciclos de vida de desarrollo de sistemas respectivos, y (ii) establecer y
aplicar los valores de configuracin de seguridad para los productos de tecnologa de la informacin
empleados en los sistemas de informacin de la organizacin.
CM-1
Evidencia
Recomendacin
Poltica y procedimiento de Gestin de la Configuracin: la organizacin

desarrolla, disemina y revisa peridicamente y actualiza: (i) una formal, poltica
documentada, gestin de la configuracin que se ocupa de propsito, alcance,
funciones, responsabilidades y el cumplimiento, y (ii) los procedimientos formales y
documentados para facilitar la aplicacin de la poltica de gestin de configuracin
y los controles asociados a la gestin de configuracin.
Parcial
Se analizo la informacin proporcionada y se ha determinado que se debe
complementar la documentacin presentada. Esto para alcanzar una poltica y
proceso el cual tome en cuenta la gestin de configuracin de equipos y sistemas.
Esto permitir que la organizacin pueda contar con documentacin que permita
una fcil y expedita atencin a la infraestructura con la que se cuenta.
CM-2
CM-3
Evidencia
Recomendacin
Configuracin de Control de Cambio: La organizacin documenta y controla los

controles de cambios en el sistema de informacin. Los funcionarios apropiados de
la organizacin aprueban los cambios del sistema de informacin de conformidad
con las polticas y procedimientos organizacionales.
No aplica no existen sistemas de informacin desarrollados en este momento
Es necesario documentar y fundamentar los cambios solicitados o realizados al
sistema. Esto se puede implementar por medio de un sistema de tickets. La
implementacin de ITIL es lo ms adecuado para este punto.
Evidencia
Recomendacin
Configuracin de lnea base: la organizacin desarrolla, documenta y mantiene la

configuracin actual, lnea de base del sistema de informacin y un inventario de
los elementos constitutivos del sistema.
En Cumplimiento
Es necesario documentar la infraestructura, realizando diagramas sobre la
composicin o infraestructura de los sistemas de informacin y la forma en que
estn distribuidos
12
CM-4
Evidencia
Recomendacin
Monitoreo de cambios de configuracin: La organizacin monitorea los cambios

en el sistema de informacin y realiza anlisis de seguridad de impacto para
determinar los efectos de los cambios.
Iniciando el Proceso
Como toda nueva tarea debe aplicarse el proceso de desarrollo de software y
verificar el impacto y los efectos que puedan suscitarse. Esta informacin debe ser
recolectada dentro del sistema de control de cambios.
CM-5
Evidencia
Recomendacin
Las restricciones de acceso para el cambio: La organizacin hace cumplir las

restricciones de acceso asociados con cambios en el sistema de informacin
En Cumplimiento
Cambios planificados o no planificados en el hardware, software y / o componentes
del sistema de informacin puede tener efectos significativos sobre la seguridad
general del sistema. En consecuencia, slo las personas autorizadas, calificados
deben tener acceso a los componentes del sistema de informacin a efectos de
iniciar los cambios, incluidas las actualizaciones y modificaciones. Para esto el
manejo de ambientes aislado y segregacin de roles es indispensable.
CM-6
Evidencia
Recomendacin
13
Ajustes de configuracin: La organizacin configura los parmetros de seguridad

de los productos de tecnologa de la informacin de la forma ms restrictiva
consistente con los requisitos del sistema de informacin operativa.
En cumplimiento
Las configuraciones deben ser realizadas utilizando el principio del menor
privilegio. Esto debe ser documentado en procedimientos para cada software,
hardware y sistemas con los que cuenta la organizacin.
CM-7
Menos Funcionalidad: La organizacin configura el sistema de informacin para
ofrecer slo las capacidades esenciales y, concretamente, prohbe y / o restringe el
uso de las siguientes funciones, puertos, protocolos y / o servicios: Asignacin [: la
organizacin se define la lista de productos prohibidos y / o restringido las
funciones, los puertos, protocolos y servicios].
Evidencia
Recomendacin
En Cumplimiento
Planes de Contingencia (CP)

Las organizaciones deben establecer, mantener y aplicar con eficacia los planes de respuesta de
emergencia, las operaciones de copia de seguridad, y despus de la recuperacin de desastres para los
sistemas de informacin de la organizacin para asegurar la disponibilidad de recursos de informacin
crticos y la continuidad de las operaciones en situaciones de emergencia.
CP-1
Evidencia
Recomendacin
Poltica y procedimiento de Planes de contingencia: la organizacin desarrolla,

disemina y revisa peridicamente y actualiza: (i) una formal, documentada poltica,
planes de contingencia que se ocupa de propsito, alcance, funciones,
documentados para facilitar la aplicacin de la poltica de planificacin de
contingencia y controles asociados a la planificacin para contingencias.
No se Cumple
Es importante que la entidad cuente con una poltica y un documento formal de
contingencia para escenarios definidos. Esto permitir a la organizacin orientar
efectivamente sus recursos en el momento de que se desarrolle una eventualidad y
atenderla de una manera eficaz y pronta.
CP-2
CP-3
Evidencia
Recomendacin
Capacitacin de Contingencia: La organizacin capacita al personal en sus roles y

responsabilidades de contingencia con respecto al sistema de informacin y ofrece
cursos de actualizacin [Asignacin: organizacin define la frecuencia, por lo menos
una vez al ao].
No se cumple recursos humanos no lo tienen contemplado
Capacitar y ejercicios con el personal a cargo deben ser desarrollados una vez al
ao con pruebas reales para qu acten de la mejor forma posible en caso de un
desastre real. Dejando registros correspondientes de los ejercicios y entrenamiento
por lo que el rea de informatizacin debe tomar a su cargo este tema
Evidencia
Recomendacin
Plan de Contingencia: La organizacin desarrolla e implementar un plan de

contingencia para el sistema de informacin asignando roles, responsabilidades,
de las personas asignadas con informacin de contacto y las actividades asociadas
con la restauracin del sistema despus de una interrupcin o falla. Oficiales
designados dentro de la organizacin revisan el plan de contingencia y distribuyen
copias del plan de contingencia para el personal clave.
Parcial
Se debe contar con un documento que detalle todos los procesos de la
organizacin, y en base a este elaborar un procedimiento para la restauracin de
todos los sistemas fundamentales para la organizacin.
14
CP-4
Evidencia
Recomendacin
Pruebas del Plan de Contingencia: La organizacin pone a prueba el plan de

contingencia para el sistema de informacin [Asignacin: organizacin define la
frecuencia, por lo menos una vez al ao] con [Asignacin: la organizacin define
pruebas y ejercicios] para determinar la efectividad del plan y preparacin del plan
a ejecutar. Apropiadas oficiales dentro de la organizacin revisarn los resultados
del plan de contingencia de prueba e iniciaran acciones correctivas.
No se cumple
Realizar pruebas y verificar cada uno de los pasos a seguir del plan maestro. Dejar
registros de actividades
CP-5
Evidencia
Recomendacin
Actualizacin del Plan de Contingencia: La organizacin revisa el plan de

contingencia para el sistema de informacin [Asignacin: organizacin define
frecuencia, por lo menos una vez al ao] y revisa el plan para hacer frente a
sistemas, cambios en la organizacin o los problemas encontrados durante la
ejecucin del plan, la ejecucin, o la prueba.
No se Cumple
Realizar actualizaciones para incluir los nuevos sistemas o nuevos procedimientos
implementados este plan se debe mantener al da. Deja registros de actividades.
Esta actualizacin debe realizarse anualmente y posterior a un ejercicio.
CP-6
Evidencia
Recomendacin
15
Los lugares alternativos de almacenamiento: La organizacin identifica un lugar de

almacenamiento alternativo e inicia los acuerdos necesarios para permitir el
almacenamiento de informacin de copia de seguridad del sistema de informacin.
Parcial
Es necesario considerar sitio alternos que garanticen el funcionamiento de los
sistemas de informacin en caso de desastres. Un sitio de almacenamiento
garantiza quela informacin de la organizacin no se perdern. Y podrn ser
restaurados en caso de una eventualidad.
CP-7
Evidencia
Recomendacin
Sitios alternativos de procesamiento: La organizacin identifica un sitio de

procesamiento alterno e inicia los acuerdos necesarios para permitir la
reanudacin de las operaciones del sistema de informacin de misin crtica /
negocio dentro de las funciones [Asignacin: organizacin define perodo de
tiempo] cuando las capacidades de procesamiento primarias no estn disponibles.
No se Cumple
Es necesario considerar sitio alternos que garanticen el funcionamiento de los
sistemas de informacin en caso de desastres. Esto permitir continuar con las
operaciones, despus de un tiempo prudencial de recuperacin de los sistemas.
CP-8
Evidencia
Recomendacin
Servicios de Telecomunicaciones: La organizacin identifica los servicios de

telecomunicaciones primarios y alternos para apoyar el sistema de informacin e
inicia los acuerdos necesarios para permitir la reanudacin de las operaciones del
sistema de misin crtica / negocio funciones dentro de [Asignacin: organizacin
perodo de tiempo definido] cuando las capacidades de telecomunicaciones
primarios no estn disponibles.
En cumplimiento
Garantizar que se cumplan los acuerdos de los niveles de servicio, Con la empresa
Telefnica para la prestacin de servicios de enlace de internet y servidor Hosting
para Pagina es Necesario un Segundo enlace de Internet por cualquier
eventualidad y la alta disponibilidad de los servicios.
CP-9
Evidencia
Recomendacin
Copia de seguridad de la informacin del sistema: La organizacin lleva a cabo

copias de seguridad de nivel de usuario y el sistema de informacin a nivel (incluida
la informacin del estado del sistema) que figura en el sistema de informacin
[Asignacin: la organizacin se define la frecuencia] y la informacin de copia de
seguridad almacena en un lugar debidamente protegido.
En Cumplimiento.
Se debe realizar copias de seguridad de los sistemas y bases de datos. Y etiquetar
de forma adecuada las copias de seguridad.
CP-10
Evidencia
Recomendacin
Recuperacin de informacin del sistema y Reconstitucin: La organizacin

cuenta con los mecanismos con los procedimientos de apoyo para permitir que el
sistema de informacin que se recuper y se reconstituy a su estado original del
sistema despus de una interrupcin o falla.
No se Cumple.
Crear un procedimiento que proporcione las directrices necesarias para restablecer
el sistema a su estado original.
16
Respuesta a Incidentes (IR)

Las organizaciones deben: (i) establecer una capacidad de manejo de incidentes operacionales de los
sistemas de informacin de la organizacin, que incluye la preparacin adecuada, la deteccin, anlisis,
contencin, recuperacin, y las actividades de respuesta del usuario, y (ii) monitorear, documentar, e
informar incidentes a los funcionarios apropiados de la organizacin y / o las autoridades.
IR-1
Evidencia
Recomendacin
Poltica y Procedimientos de Respuesta a Incidentes: La organizacin desarrolla,

disemina y revisa peridicamente y actualiza: (i) una formal, poltica documentada,
de respuesta a incidentes que se ocupa de propsito, alcance, funciones,
documentados para facilitar la aplicacin de la poltica de respuesta a incidentes y
controles asociados de respuesta a incidentes.
No
El desarrollo de una poltica y procedimiento de respuesta a incidentes es
complementaria a la poltica y procedimiento de planes de contingencia. El manejo
de incidentes permite a la organizacin manejar eventualidades las cuales estn
contenidas en bases de conocimientos, que permitirn a personal debidamente
capacitado e informado atender los mismos con prontitud y eficiencia.
IR-2
Evidencia
Recomendacin
Entrenamiento de Respuesta a Incidentes: La organizacin capacita al personal en

sus funciones de respuesta a incidentes y responsabilidades con respecto al
sistema de informacin y ofrece cursos de actualizacin [Asignacin: la
organizacin define frecuencia, por lo menos una vez al ao].
Parcial Falta de Personal para Implementacin
Es necesario realizar entrenamientos por lo menos una vez al ao, para que el
personal a cargo acte de la mejor forma posible al momento de un incidente.
Generar registros de los entrenamientos. Un factor importante a considerar es el
nivel de rotacin con el personal que tendr a cargo estas funciones.
IR-3
17
Evidencia
Recomendacin
Pruebas de Respuesta a Incidentes: La organizacin pone a prueba la capacidad de

respuesta a incidentes para el sistema de informacin [Asignacin: organizacin
define la frecuencia, por lo menos una vez al ao] con [Asignacin: definida por la
organizacin pruebas y ejercicios] para determinar la efectividad de respuesta a
incidentes y los documenta los resultados.
No
Se debe contar con un documento que contenga la verificacin todos los pasos a
seguir segn el plan para garantizar que funciona adecuadamente. Generar
registros de las prueba realizadas.
IR-4
Evidencia
Recomendacin
Manejo de Incidentes: La organizacin implementa una capacidad de manejo de

incidentes para incidentes de seguridad que incluye la preparacin, deteccin,
anlisis, la contencin, erradicacin y recuperacin.
NO
Se recomienda utilizar metodologa de respuesta a incidentes (PDCAERF).
IR-5
Evidencia
Recomendacin
Supervisin de Incidentes: Las organizacin da seguimiento y documenta los

incidentes de seguridad del sistema de informacin sobre una base contina.
En Cumplimiento
Es necesario implementar una bitcora sobre las revisiones continuas que se
realicen. Para futuras auditorias. Esto se puede registrar en un sistema de control
de cambios.
IR-6
Evidencia
Recomendacin
Notificacin de Incidentes: La organizacin informa con prontitud la informacin

del incidente a las autoridades correspondientes.
En Cumplimiento
Se debe desarrollar un documento con el procedimiento para documentar las
revisiones continuas que se realicen. Para futuras auditorias.
Evidencia
Recomendacin
Asistencia de Respuesta a Incidentes: La organizacin ofrece una respuesta a

incidentes de apoyo de recursos que ofrece asesoramiento y asistencia a los
usuarios del sistema de informacin para el manejo y presentacin de informes de
incidentes de seguridad. El recurso de apoyo es una parte integral de la capacidad
de la organizacin de respuesta a incidentes.
En Cumplimiento
Se debe desarrollar documentacin que contenga informacin para el empleado
que le informe a donde debe acudir en caso de un incidente de seguridad y brindar
el soporte adecuado para identificar los hallazgos.
IR-7
18
Mantenimiento (MA)
Las organizaciones deben: (i) realizar un mantenimiento peridico y oportuno sobre los sistemas de
informacin de la organizacin, y (ii) proporcionar un control eficaz de las herramientas, tcnicas,
mecanismos y personal utilizado para llevar a cabo mantenimientos de los sistema de informacin.
MA-1
Evidencia
Recomendacin
Poltica y procedimiento de mantenimiento del sistema: la organizacin

desarrolla, difunde y peridicamente revisiones y actualizaciones: (i) formal,
documentada, poltica de mantenimiento de sistema de informacin que aborda el
propsito, alcance, funciones, responsabilidades y cumplimiento; y (ii) formal,
procedimientos documentados para facilitar la aplicacin de la poltica de
mantenimiento del sistema de informacin y controles asociados a controles.
El documentar una poltica y procedimiento de mantenimiento, permitir contar
con una infraestructura que soporta los procesos de la organizacin en su diario
funcionamiento, evitando que se tengan perdidas de datos y operatividad. Se debe
crear estos documentos para que la organizacin pueda tener un control
documentado y puntual de todos sus sistemas y activos informticos.
MA-2
Evidencia
Recomendacin
Mantenimiento Peridico: Los programas de la organizacin, llevan a cabo, el

mantenimiento preventivo de rutina y regular de los componentes del sistema de
informacin de acuerdo con las especificaciones del fabricante o vendedor y/o
necesidades de la organizacin.
Es necesario contar con un documento que establezca un calendario de
mantenimiento principalmente sobre el centro de servidores y todo el equipo
relacionado.
MA-3
19
Evidencia
Recomendacin
Herramientas de mantenimiento: La organizacin aprueba, controla y supervisa el

uso de herramientas de informacin de mantenimiento del sistema y mantiene las
herramientas en forma permanente.
Es necesario implementar un sistema de copia de seguridad automtico que
permita controlar carpetas pblicas y/o carpetas para cada uno de los usuarios con
el fin de mantener copias de seguridad sobre los archivos importantes.
MA-4
Evidencia
Recomendacin
El mantenimiento a distancia: La organizacin aprueba, controla y supervisa el

mantenimiento a ejecutar remotamente y las actividades de diagnstico.
No aplica
MA-5
Evidencia
Recomendacin
Personal de Mantenimiento: La organizacin mantiene una lista de personas

autorizadas para realizar el mantenimiento en el sistema de informacin. Slo el
personal autorizado realizar el mantenimiento en el sistema de informacin.
En Cumplimiento
Se deben generar los registros respectivos para dejar constancia de los
procedimientos realizados.
MA-6
Evidencia
Recomendacin
El mantenimiento oportuno: La organizacin se sustenta el mantenimiento y

piezas de repuesto [Asignacin: lista de concesionarios definida de los principales
componentes del sistema de informacin] en caso de fallo.
No se Cumple unidad de adquisiciones y contrataciones no cuenta con esto
Es necesario realizar una lista de los proveedores autorizados y certificados que
pueden proporcionar componentes, partes etc. Para los sistemas crticos para las
operaciones de la organizacin dentro de una ventana de tiempo aceptable.
Proteccin de Media (MP)
MP-1
Evidencia
Recomendacin
Poltica y procedimiento para la proteccin de los Medios de Comunicacin: La

organizacin desarrolla, disemina, actualiza y revisa peridicamente: (i) una formal,
poltica documentada, la proteccin de los medios de comunicacin que se ocupan
del propsito, alcance, funciones, responsabilidades y el cumplimiento, y (ii) los
de proteccin de los medios de comunicacin y los controles de proteccin
asociados a los medios de comunicacin.
No
Es importante que estos documentos sean desarrollados tomando en
consideracin la informacin que ser transmitida y transportada por los medio de
comunicacin. Estos documentos deben tomar en cuenta informacin en transito e
informacin estacionaria. Adicionalmente se debe incluir la infraestructura.
Las organizaciones deben: (i) proteger los medios de informacin del sistema, tanto en papel y digitales,
(ii) limitar el acceso a la informacin sobre los medios de comunicacin del sistema de informacin a los
usuarios autorizados, y (iii) desinfectar o destruir los medios de informacin del sistema antes de su
eliminacin o la liberacin para su reutilizacin.
20
MP-2
Acceso a la Media: La organizacin garantiza que slo los usuarios autorizados
tienen acceso a la informacin en forma impresa o en medios digitales extrados
del sistema de informacin.
Evidencia
Recomendacin
Ninguna - est en cumplimiento.
MP-3
Evidencia
Recomendacin
El etiquetado de medios: La organizacin colocar etiquetas externas para medios

removibles para almacenamiento de la informacin y la salida de informacin del
sistema que indica las limitaciones de distribucin y el manejo de advertencias de
la informacin. La organizacin exime a los siguientes tipos especficos de medios
de comunicacin o los componentes de hardware de etiquetado, siempre y cuando
se mantengan dentro de un entorno seguro: [Asignacin: la organizacin se define
la lista de tipos de medios y componentes de hardware].
Parcial
Es necesario realizar un procedimiento de etiquetado ya que al da de hoy este
proceso se realiza manualmente y no se esta aplicando en los correos electrnicos
de la institucin
MP-4
Evidencia
Recomendacin
21
Almacenamiento de la Media: La organizacin controla fsicamente y almacena

bien los medios del sistema de informacin, papel y digital, basada en la mxima
categora de seguridad FIPS 199 de la informacin grabada en los medios de
comunicacin
No se Cumple
Es necesaria que toda la informacin recopilada durante las copias de seguridad
sea guardada en una cajilla de seguridad o un sitio alterno que proporcione
custodia.
MP-5
Evidencia
Recomendacin
Medios de transporte: La organizacin controla los medios de comunicacin del

sistema de informacin (papel y digital) y restringe la recoleccin, recepcin,
traslado y entrega de estos medios de comunicacin a personal autorizado.
Si
Esta en cumplimiento.
MP-6
Evidencia
Recomendacin
Saneamiento de la media: La organizacin del sistema de informacin desinfecta

los medios digitales utilizando el equipo aprobado, tcnicas y procedimientos. La
organizacin mantiene un historial, documentos, acciones y verificables de la
desinfeccin de los medios y equipos.
Si
MP-7
Evidencia
Recomendacin
Medios de destruccin y eliminacin: La organizacin desinfecta y destruye los

sistemas de informacin de medios digitales antes de su eliminacin o la liberacin
para su reutilizacin, para evitar que personas no autorizadas tengan acceso y uso
de la informacin contenida en los medios de comunicacin.
No
Crear los registros y procesos necesarios para dejar constancia de las actividades
realizadas y a su vez sobre el equipo de fue desechado y las medidas adoptadas
(desintegracin, pulverizacin o la incineracin).
Proteccin Fsica y Medio Ambiente (PE)

Las organizaciones deben: (i) limitar el acceso fsico a los sistemas de informacin, equipos, y la
operacin respectiva de Medio ambiente a las personas autorizadas, (ii) proteger la planta fsica e
infraestructura de apoyo para los sistemas de informacin, (iii) proveer servicios de apoyo para los
sistema de informacin, iv) proteger los sistemas de informacin ambiental contra los riesgos, y (v)
facilitar los correspondientes controles ambientales en las instalaciones que contienen los sistemas de
informacin.
Evidencia
Recomendacin
Poltica y Procedimiento para la proteccin fsica y ambiental: La organizacin

desarrolla y disemina peridicamente revisiones y actualizaciones: (i) formal,
poltica documentada, la proteccin fsica y ambiental que se ocupa del propsito,
alcance, funciones, responsabilidades y el cumplimiento, y (ii) los procedimientos
formales y documentados para facilitar la aplicacin de la poltica de proteccin
fsica y ambiental y controles de proteccin asociados.
Parcial
Se debe desarrollar un procedimiento que contemple la proteccin de las
instalaciones fsicas y ambientales. Esto debe incluir las condiciones optimas para el
funcionamiento y operacin de los activos que permiten la ejecucin de los
sistemas de la entidad, como la limitacin de accesos a los activos que son
considerados de alta importancia, o que contengan la informacin de mayor riesgo.
Y mejorar las instalaciones elctricas segn estudio realizado por el rea de
Administracin
PE-1
22
PE-2
Evidencia
Recomendacin
Las autorizaciones de acceso fsico: la organizacin desarrolla y mantiene las listas

actuales de personal con autorizacin el acceso a las instalaciones que contienen
los sistemas de informacin (a excepcin de aquellas reas dentro de las
instalaciones designadas oficialmente como de acceso pblico) y las cuestiones de
las credenciales de autorizacin adecuados (por ejemplo, insignias, tarjetas de
identificacin, inteligentes tarjetas). Los funcionarios designados dentro de la
organizacin revisarn y aprobarn la lista de acceso y credenciales de
autorizacin. [Asignacin: Definida por la organizacin la frecuencia, por lo menos
una vez al ao].
En Cumplimiento
Adicionalmente implementar mecanismos de acceso con tarjetas inteligentes al
Aread de Centro de Datos
PE-3
Evidencia
Recomendacin
Control de Acceso Fsico: La organizacin controla todos los puntos de acceso fsico
(incluyendo puntos de entrada/salida) a las instalaciones que contienen los
sistemas de informacin (a excepcin de aquellas reas dentro de las instalaciones
designadas oficialmente como de acceso pblico) y verifica autorizaciones de
acceso individuales antes de conceder acceso a las instalaciones. La organizacin
tambin controla el acceso a reas oficialmente designadas como pblicas, segn
sea apropiado, de acuerdo con la evaluacin de riesgo de la organizacin.
En Cumplimiento
Es necesario implementar un sistema de control de acceso y cerrar el rea de
Informtica para evitar que personas ajenas a otros departamentos puedan
ingresar principalmente al rea de informtica con el afn de proteger los sistemas
de informacin
PE-4
23
Evidencia
Recomendacin
Control de acceso de medio de transmisin: La organizacin controla el acceso

fsico al sistema de informacin lneas de transmisin que transportan informacin
no cifrada para prevenir el espionaje, modificacin en trnsito, la alteracin y de la
manipulacin fsica.
No Aplica
PE-5
Evidencia
Recomendacin
Monitoreo de Accesos Fsico: La organizacin controla el acceso fsico a los

sistemas de informacin para detectar y responder a los incidentes.
En Cumplimiento
Es necesario implementar un sistema de cmaras para estar monitoreando y poder
responder a cualquier incidente.
PE-6
Evidencia
Recomendacin
Control de Visitantes: La organizacin controla el acceso fsico a los sistemas de

informacin mediante la autenticacin de los visitantes antes de autorizar el acceso
a las instalaciones o zonas distintas de las zonas designadas como de acceso
pblico.
No
Es necesario implementar marbetes para poder identificar a que departamento se
dirige el visitante y poder garantizar que una persona no ingrese a un
departamento sin autorizacin; siempre debe ser escoltado por personal de la
entidad. El sistema de marbetes se recomienda que sea asignado por colores para
poder determinar al rea a la que el visitante estar asistiendo.
PE-7
PE-8
Evidencia
Recomendacin
Equipos y cableado elctricos: La organizacin protege a los equipos de

alimentacin y el cableado para el sistema de informacin de los daos y la
destruccin.
Parcial
Se debe implementar un contrato de mantenimiento para mantener el equipo sin
polvo y poder garantizar la vida til de los equipos.
Evidencia
Recomendacin
Registros de acceso: La organizacin mantiene un registro de acceso de los

visitantes a las instalaciones (a excepcin de aquellas reas dentro de las
instalaciones oficialmente designadas como de acceso pblico) que incluye: (i) el
nombre y la organizacin de la persona visitante, (ii) la firma del visitante, (iii)
forma de identificacin, (iv) la fecha de acceso, (v) el tiempo de entrada y salida,
(vi) el propsito de la visita, (vii) el nombre y la organizacin de la persona que
visit. Oficiales designados dentro de la organizacin revisarn los registros de
acceso [Asignacin: La organizacin definir la frecuencia] despus del cierre del
da.
No
Se debe implementar una bitcora que incluya la firma del visitante, nombre de la
persona que visita y el nombre de la organizacin del visitante.
24
PE-9
Evidencia
Recomendacin
Apagado de emergencia: Para ubicaciones especficas dentro de una instalacin

que contiene concentraciones de recursos de sistemas de informacin (por
ejemplo, los centros de datos, salas de servidores, salas de mainframe), la
organizacin ofrece la posibilidad de cortar la energa elctrica a cualquier
componente de tecnologa de informacin que puede estar en mal funcionamiento
(por ejemplo, debido a un fuego elctrico) o amenaza (por ejemplo, debido a una
fuga de agua) sin poner en peligro al personal, al exigir que se acerquen a los
equipos.
Parcial
Es importante la Implementacin de un interruptor central para este tipo de
situaciones.
PE-10
Evidencia
Recomendacin
Iluminacin de emergencia: La organizacin emplea y mantiene sistemas

automticos de iluminacin de emergencia que se activan
en el caso de un corte o interrupcin de energa y que cubre salidas de emergencia
y rutas de evacuacin.
No
Es necesario implementar luces de emergencia en todos los departamentos de la
entidad para poder proteger la integridad de las personas y poder evitar
accidentes.
PE-11
Evidencia
Recomendacin
25
Energa de emergencia: La organizacin ofrece una oferta a corto plazo

ininterrumpido de energa para facilitar un apagado del sistema de informacin en
En cumplimiento
Es necesario contratar y calendarizar mantenimientos preventivos de los equipos
mas la adquisicin de una planta elctrica ya sea para el centro de datos o toda la
organizacin para mantener el funcionamiento de la misma en cualquier
emergencia de por lo menos 6 horas de energa continua.
PE-12
Evidencia
Recomendacin
Proteccin contra incendios: La organizacin emplea y mantiene la extincin de

incendios y deteccin de dispositivos y sistemas que pueden ser activadas en caso
de incendio.
Parcial
Es necesario que se realice una evaluacin para la colocar extintores en todos los
departamentos de la entidad y detectores de incendios en el cuarto de servidores y
telecomunicaciones.
PE-13
Evidencia
Recomendacin
Controles de temperatura y humedad: La organizacin mantiene regularmente

dentro de niveles aceptables y controla la temperatura y la humedad dentro de las
instalaciones que contienen los sistemas de informacin.
Parcial
Se debe colocar un termostato que permita ver la temperatura ambiente del
cuarto de servidores y los equipos clave del departamento de IT, esto para
mantener el equipo de tecnologa en ptimas condiciones y a una temperatura
constante ya que estos equipos generan calor y al no monitorearse puede llegar a
daarse.
PE-14
Evidencia
Recomendacin
Proteccin contra Dao de Agua: La organizacin protege el sistema de

informacin de dao del agua resultante de las caeras rotas u otras fuentes de
fugas de agua, asegurando que las vlvulas de cierre maestros son accesibles,
funciona correctamente, y lo sabe el personal clave.
Parcial
Se debe evaluar si una posible fuga puede poner en riesgo las instalaciones del
cuarto frio, como equipos clave dentro de las instalaciones
PE-15
PE-16
Evidencia
Recomendacin
Centro de trabajo alternativo: Los individuos dentro de la organizacin emplean la

informacin adecuada de los sistemas de control de seguridad en los sitios de
trabajo alternativos.
No
Es recomendable que se tenga un centro de trabajo alterno, en caso de no poder
ingresar a las instalaciones principales al momento de desarrollarse un evento que
lo impida. Esto permitir continuar con la operaciones diarias.
Evidencia
Recomendacin
Entrega y Recepcin: La organizacin controla la informacin relacionados con el

sistema (es decir, los elementos de hardware, firmware y software) que entran y
salen de la instalacin y mantiene los registros apropiados de esos artculos.
No
Es necesario crear una bitcora para llevar el control de cuando se recibe y entrega
hardware. Esto es para llevar un adecuado control de los activos por parte del
departamento de Inventarios de FONADES ya que actualmente no lo llevan
26
27
Seguridad en el Personal (PS)

Las organizaciones deben: (i) asegurar que las personas que ocupan puestos de responsabilidad dentro
de las organizaciones (incluyendo a los proveedores de servicios de terceros) son dignos de confianza y
cumplen con los criterios establecidos de seguridad para esos puestos, (ii) asegurar que la informacin
organizacional y los sistemas de informacin estn protegidos durante y despus de las acciones del
personal como las terminaciones y las transferencias, y (iii) emplear sanciones formales para el personal
que no cumplan con las polticas de seguridad y procedimientos de la organizacin.
PS-1
Evidencia
Recomendacin
Poltica y procedimientos de seguridad el Personal: La organizacin desarrolla,

disemina, actualiza y revisa peridicamente: (i) una poltica formal documentada, la
seguridad del personal que se ocupa de propsito, alcance, funciones,
responsabilidades , cumplimiento, y (ii) los procedimientos formales y
documentados para facilitar la aplicacin de la poltica de seguridad del personal y
el personal asociado a los controles de seguridad.
No
Se debe desarrollar la poltica y procedimiento que tenga como objetivo la
seguridad del personal de la entidad. Esta deber considerar las condiciones que
sean aceptables para que los funcionarios desarrollen sus actividades de da a da.
Estas deben considerar las condiciones de las instalaciones fsicas, las reas de
transito, los riesgos fsicos para los colaboradores y las medidas preventivas, y
personal que sale de comisin a los departamentos.
PS-2
PS-3
Evidencia
Recomendacin
Seleccin de personal: La organizacin examina a las personas que requieran

acceso a la informacin organizacional y los sistemas de informacin antes de
autorizar el acceso.
NO
Se recomienda adicional al proceso de verificacin del persona que ser contratado
el realizar una investigacin del nivel de endeudamiento en las oficinas de crdito.
Evidencia
Recomendacin
Clasificacin Puesto de trabajo: La organizacin asigna una designacin de riesgo a

todas las posiciones y se establecen criterios de seleccin para las personas que
ocupan esos puestos. La organizacin examina y revisa las designaciones de riesgo
de la posicin [Asignacin: La organizacin define la frecuencia].
NO
Es necesario documentar y asignar una valoracin de riesgo dependiendo del
puesto de trabajo, por parte de la Unidad de Recursos Humanos
28
PS-4
Personal de terminacin: En caso de una terminacin laboral, la organizacin
finaliza el acceso a la informacin del sistema, lleva a cabo entrevistas, garantiza la
devolucin de toda la informacin de la organizacin relacionada con el sistema de
propiedad (por ejemplo, llaves, tarjetas de identificacin, recursos), y asegura que
el personal adecuados tienen acceso a los registros oficiales creados por el
empleado despedido que se almacenan en los sistemas de informacin de la
organizacin.
Evidencia
Recomendacin
PS-4
Evidencia
Recomendacin
Transferencias de Personal: La organizacin revisa los accesos de autorizacin a los

sistemas de informacin y/o las instalaciones cuando los individuos son
reasignados o transferidos a otras posiciones dentro de la organizacin e inician las
acciones apropiadas (por ejemplo, tarjetas de identificacin, puertas de acceso,
cierre las cuentas antiguas y el establecimiento de nuevas cuentas, cambio de las
autorizaciones de acceso al sistema).
Si
PS-5
Evidencia
Recomendacin
29
Acuerdos de acceso: La organizacin completa los acuerdos de acceso adecuados

(por ejemplo, acuerdos de confidencialidad, acuerdos de uso aceptable, las reglas
de comportamiento, los conflictos de intereses) para las personas que requieran
acceso a la informacin organizacional y los sistemas de informacin antes de
autorizar el acceso.
Unidad de Informacin Publica
PS-6
Evidencia
Recomendacin
Seguridad del personal de terceros: La organizacin establece los requisitos del

personal de seguridad para proveedores de terceros (por ejemplo, oficinas de
servicios, contratistas y otras organizaciones que prestan desarrollo al sistema de
informacin, servicios de tecnologa de la informacin, aplicaciones externas, red y
gestin de la seguridad) vigilan el cumplimiento del proveedor garantizan la
seguridad adecuada.
Esta en cumplimiento
PS-7
Evidencia
Recomendacin
Las sanciones al personal: La organizacin cuenta con un proceso formal de

sanciones para el personal que no cumplan con las polticas establecidas por la
informacin y procedimientos de seguridad.
No
Es necesario crear una poltica de sanciones.
Integridad del Sistema e informacin (SI)

Las organizaciones deben: (i) identificar, reportar y corregir la informacin y las fallas del sistema de
informacin de manera oportuna, (ii) proporcionar proteccin contra cdigo malicioso en los lugares
apropiados dentro de los sistemas de informacin de la organizacin, y (iii) el control de la informacin
del sistema de alertas de seguridad y avisos, y tomar las acciones apropiadas en respuesta.
SI-1
Evidencia
Recomendacin
Poltica y procedimiento de integridad de la informacin y sistemas: la

organizacin desarrolla, difunde peridicamente revisiones y actualizaciones: (i) un
sistema formal, documentada y la poltica de integridad de la informacin que
aborda el propsito, alcance, funciones, responsabilidades y cumplimiento; y (ii)
formal, procedimientos documentados para facilitar la aplicacin de la poltica de
integridad del sistema y la informacin asociada a la informacin del sistema y
controles de integridad.
Parcial
Esta poltica debe ser complementada, para que considere y contenga los
mecanismos que garanticen la integridad de la informacin y sistemas que son la
base para los procesos de la organizacin.
SI-2
SI-3
Evidencia
Recomendacin
Proteccin de cdigos maliciosos: El sistema de informacin implementa la

proteccin de cdigo malicioso que incluye una capacidad para recibir
actualizaciones automticas.
En Cumplimiento
Evidencia
Recomendacin
Solucin de fallas: La organizacin identifica, informa, y corrige los defectos del

sistema de informacin.
En cumplimiento
30
SI-4
Evidencia
Recomendacin
Herramientas de deteccin de intrusiones y Tcnicas: La organizacin cuenta con

herramientas y tcnicas para supervisar eventos en el sistema de informacin,
deteccin de ataques, y proporcionar la identificacin del uso no autorizado del
sistema.
En Cumplimiento
Es necesario la Compra de un equipo firewall Watchguard Nuevo con mejores
funcionalidades ya que el actual ya esta quedando obsoleto con las nuevas
tecnologas .
SI-5
Evidencia
Recomendacin
Alertas de seguridad y avisos: La organizacin recibe informacin del sistema de

alertas de seguridad y advertencias sobre una base regular, las cuestiones de
alertas y advertencias al personal apropiado, y toma las acciones apropiadas en
respuesta.
En Cumplimiento
Es necesario implementar herramientas de monitoreo automtico que verifiquen
el funcionamiento de los sistemas y aplicaciones, por la falta de Personal en la
Unidad de informtica.
SI-6
Evidencia
Recomendacin
31
Seguro de Verificacin de la funcionalidad: La informacin del sistema verifica el

correcto funcionamiento de las funciones de seguridad [de seleccin (una o ms):
al iniciarse el sistema y reiniciar, al recibir la orden por el usuario con los privilegios
apropiados, de forma peridica todas las misiones [asignado: organizacin define el
perodo de tiempo] y [Seleccin (uno o ms): el administrador notifica al sistema,
apaga el sistema, se reinicia el sistema], cuando se descubren anomalas.
En Cumplimiento
SI-7
Evidencia
Recomendacin
La integridad del software y la informacin: El sistema de informacin detecta y

protege contra cambios no autorizados en el software y la informacin.
En cumplimiento
SI-8
Evidencia
Recomendacin
Proteccin de Spam y Spyware: El sistema de informacin implementa proteccin

contra el spam y spyware
En Cumplimiento
SI-9
Restricciones de entrada de informacin: La organizacin limita la entrada de
informacin al sistema de informacin al personal autorizado.
Evidencia
Recomendacin
SI-10
Evidencia
Recomendacin
Precisin de la informacin de entrada, integridad y validez: El sistema de

informacin verifica los ingresos de informacin para la exactitud, integridad y
validez.
El Area de desarrollo debe implementar estas polticas con el la implementacin de
los sistemas nuevos en desarrollo.
SI-11
SI-12
Evidencia
Recomendacin
Manejo de la Informacin y la retencin de salida: La organizacin maneja y

retiene la salida del sistema de informacin de acuerdo con la poltica de la
organizacin y las necesidades operacionales.
En lo que se refiere a bases de datos de beneficiarios esta en cumplimiento se debe
restringir el uso de memorias USB y grabado de CD/DVD para evitar fuga de
informacin
Evidencia
Recomendacin
Control de errores: El sistema de informacin identifica y se ocupa de las

condiciones de error de una manera rpida.
En cuemplimiento
Los sistemas a desarrollarse deben ser amigables al usuario y evitar que las
validaciones se realicen a nivel de base de datos.
32
Controles Tcnicos
Los controles tcnicos aseguran que la promulgacin de informacin de seguridad es eficaz y eficiente.
Control de acceso (AC)

Las organizaciones deben: (i) identificar, reportar y corregir la informacin y las fallas del sistema de
informacin de manera oportuna, (ii) proporcionar proteccin contra cdigo malicioso en los lugares
apropiados dentro de los sistemas de informacin de la organizacin, y (iii) el control de la informacin
del sistema de alertas de seguridad y avisos, y tomar las acciones apropiadas en respuesta.
AC-1
Evidencia
Recomendacin
Poltica y procedimientos de control de acceso: La organizacin desarrolla,

disemina , actualiza y revisa peridicamente: (i) una formal, documentada, la
poltica de control de acceso que se ocupa de propsito, alcance, funciones,
responsabilidades y el cumplimiento, (ii) los procedimientos formales y
documentados para facilitar la aplicacin de la poltica de control de acceso
y asociada a controles de acceso.
Solo el rea de Informtica esta aplicando la poltica.
Esta poltica y procedimiento debe contemplar los controles de accesos a las
instalaciones, como a los sistemas. Debe considerarse la misma dentro de los
contratos, considerando que la entidad trabajara con terceros. Gafetes,
biomtricos y listas de accesos son los primeros mecanismos para resguardar reas
fsicas. Para los sistemas la implementacin de perfiles y roles debe ser incorporada
a cada uno de los sistemas que sern utilizados dentro de la organizacin.
AC-2
Administracin de cuentas: La organizacin administra las cuentas de los sistemas

de informacin, incluyendo el establecimiento, la activacin, modificacin, revisin,
des-habilitacin y la eliminacin de cuentas. La organizacin revisa las cuentas del
sistema de informacin.
33
Evidencia
Recomendacin
AC-3
Evidencia
Recomendacin
Aplicacin de Acceso: El sistema de informacin hace cumplir las autorizaciones

asignadas para controlar el acceso al sistema de acuerdo con la poltica aplicable.
Solo el rea de Informtica esta aplicando la poltica a nivel sistemas.
Esta poltica y procedimiento debe contemplar los controles de accesos a las
instalaciones, como a los sistemas. Debe considerarse la misma dentro de los
contratos, considerando que la entidad trabajara con terceros. Gafetes,
biomtricos y listas de accesos son los primeros mecanismos para resguardar reas
fsicas. Para los sistemas la implementacin de perfiles y roles debe ser incorporada
a cada uno de los sistemas que sern utilizados dentro de la organizacin.
AC-4
Evidencia
Recomendacin
Aplicacin del flujo de informacin: El sistema de informacin hace cumplir las

autorizaciones asignadas para controlar el flujo de informacin dentro del sistema
y entre los sistemas interconectados, de acuerdo con la poltica aplicable.
En cumplimiento
Es recomendable que se documento el flujo de informacin dentro de las
aplicaciones y sistemas que se desarrollaran dentro de la institucin por parte del
rea de desarrollo.
AC-5
Evidencia
Recomendacin
Separacin de funciones: El sistema de informacin impone la separacin de

funciones a travs de autorizaciones de acceso asignados.
En Cumplimiento
AC-6
Evidencia
Recomendacin
Privilegio mnimo: El sistema de informacin hace cumplir el conjunto ms

restrictivo de los derechos o privilegios o accesos que necesitan los usuarios (o
procesos que actan en nombre de los usuarios) para la realizacin de tareas
especficas.
En Cuemplimiento
Evidencia
Recomendacin
Control de intentos fallidos de inicio de sesin: El sistema de informacin impone

un lmite de [la organizacin define el nmero de] a los intentos de acceso no
vlidos consecutivos por un usuario durante un tiempo [la organizacin define]
perodo de tiempo. El sistema de informacin de forma automtica [bloquea la
cuenta, retrasa el prximo inicio de sesin de acuerdo con [la organizacin define
el algoritmo de retardo.] cuando el nmero mximo de intentos fallidos se supera.
En cumplimiento
AC-7
34
AC-8
Evidencia
Recomendacin
Control de intentos fallidos de inicio de sesin: El sistema de informacin impone

un lmite de [la organizacin define el nmero de] a los intentos de acceso no
vlidos consecutivos por un usuario durante un tiempo [la organizacin define]
perodo de tiempo. El sistema de informacin de forma automtica [bloquea la
cuenta, retrasa el prximo inicio de sesin de acuerdo con [la organizacin define
el algoritmo de retardo.] cuando el nmero mximo de intentos fallidos se supera.
En Cumplimiento
AC-8
Evidencia
Recomendacin
Notificacin de inicio de sesin anterior: El sistema de informacin notifica al

usuario, al inicio de sesin correcto, la fecha y la hora del ltimo inicio de sesin, y
el nmero de intentos de sesin sin xito desde el inicio de sesin correcto
anterior.
Parcial
Es necesario reforzar la poltica del Active Directory.
AC-10
Evidencia
Recomendacin
Control de Sesin paralela: El sistema de informacin limita el nmero de sesiones

simultneas para todos los usuarios de [Definidos por la organizacin].
NO
Es necesario reforzar la poltica del Active Directory. Esto se logra configurando las
propiedades de polticas de grupo en Active Directory.
AC-11
35
Evidencia
Recomendacin
Bloqueo de la sesin: El sistema de informacin impide an ms el acceso al

sistema mediante el inicio de un bloqueo de sesin que permanece en efecto hasta
que el usuario restablezca el acceso mediante la identificacin adecuada y los
procedimientos de autenticacin.
En cumplimiento
AC-12
Evidencia
Recomendacin
Finalizacin de la sesin: El sistema de informacin automticamente por

terminada la sesin despus de [la organizacin define el perodo de tiempo] de
inactividad.
En cumplimiento
AC-13
Evidencia
Recomendacin
Supervisin y Revisin: La organizacin supervisa y examina las actividades de los

usuarios con respecto a la aplicacin y el uso de controles de acceso a la
informacin del sistema.
En Cumplimiento
AC-14
Evidencia
Recomendacin
Acciones permitidas sin identificacin o autenticacin: La organizacin identifica y

documenta las acciones especficas de los usuarios que se pueden realizar en el
sistema de informacin sin identificacin o autenticacin.
En cumplimiento
Evidencia
Recomendacin
Control de Etiquetado: El sistema de informacin etiqueta de forma adecuada la

informacin en el almacenamiento, en proceso, y en la transmisin.
No
Se recomienda la implementacin de etiquetado de informacin para todos los
sistemas que producen informacin.
AC-15
Evidencia
Recomendacin
Acceso remoto: La organizacin documenta, monitorea y controla todos los

mtodos de acceso remoto (por ejemplo, dial-up, banda ancha, Internet) para el
sistema de informacin. Funcionarios competentes de la organizacin autorizan
cada mtodo de acceso remoto para el sistema de informacin y autorizar slo los
usuarios necesarios para cada mtodo de acceso.
No Aplica
AC-15
36
AC-16
Evidencia
Recomendacin
Restricciones de acceso inalmbrico: la organizacin: (i) establece restricciones de

uso y las pautas de implementacin de las tecnologas inalmbricas, y documenta
(ii), monitorea, y controla el acceso inalmbrico al sistema de informacin. Los
funcionarios apropiados de la organizacin autorizan el uso de las tecnologas
inalmbricas.
En Cumplimiento
AC-17
Evidencia
Recomendacin
Restricciones de acceso inalmbrico: la organizacin: (i) establece restricciones de

uso y las pautas de implementacin de las tecnologas inalmbricas, y documenta
(ii), monitorea, y controla el acceso inalmbrico al sistema de informacin. Los
funcionarios apropiados de la organizacin autorizan el uso de las tecnologas
inalmbricas.
En cumplimiento
AC-18
Evidencia
Recomendacin
37
Control de acceso para dispositivos porttiles y mviles: la organizacin: (i)

establece restricciones de uso y las pautas de implementacin de los dispositivos
porttiles y mviles, documenta (ii), monitorea, controla el acceso a los
dispositivos a las redes de la organizacin. Los funcionarios apropiados de la
organizacin autorizan el uso de dispositivos porttiles y mviles.
Parcial
Reforzar la poltica de uso de recursos.
AC-20
Evidencia
Recomendacin
Sistemas de informacin de propiedad personal: La organizacin limita el uso de

sistemas de informacin de propiedad privada de funcionarios de negocio de
Gobierno que implica la transformacin, el almacenamiento o la transmisin de
informacin gubernamental.
Parcial
Es necesario reforzar esta poltica quitando los accesos a USB CD/DVD en los
equipos hacindolo parcialmente al tener ya un sistema implementado de
Administracin de la entidad y programa de fertilizantes.
Auditora y Rendicin de Cuentas (AU)

Las organizaciones deben: (i) crear, proteger y conservar los registros de auditora de sistemas de
informacin en la medida necesaria para permitir el seguimiento, anlisis, investigacin y presentacin
de informes de la actividad ilegal, la informacin del sistema no autorizado o inapropiado, y garantizar
(ii) que las acciones de cada uno de los usuarios del sistema de informacin puedan ser rastreado para
que puedan ser considerados responsables de sus acciones.
AU-1
Evidencia
Recomendacin
Poltica y procedimiento de Auditora y Rendicin de Cuentas: La organizacin

desarrolla, disemina, actualiza y revisa peridicamente: i) una poltica formal
documentada de auditora y rendicin de cuentas que se ocupa del propsito,
alcance, funciones, responsabilidades y el cumplimiento; (ii) procedimientos
documentados para facilitar la aplicacin de la directiva de auditora y rendicin de
cuentas y los controles asociados de auditora y rendicin de cuentas.
Parcial en Proceso
Con la Creacin de los sistemas se debe desarrollar una poltica y procedimiento
que permita la auditoria de los mismo, infraestructura e instalaciones de la
entidad. Esto permitir proporcionar informacin oportuna en el momento de
desarrollar una actividad de este tipo. Se deben considerar la generacin de
bitcoras y registros que permitan documentar las actividades dentro de los
sistemas.
AU-2
AU-3
Evidencia
Recomendacin
El contenido de los Registros de auditora: El sistema de informacin captura la

informacin suficiente en los registros de auditora para establecer qu hechos
ocurrieron, las fuentes de los eventos, y los resultados de los eventos.
Parcial
Se debe implementar una poltica de manejo de bitcoras para todos los sistemas
de la organizacin y mejorar la Infraestructura de los equipos ya que actualmente
no se cuentan con servidores con las capacidades para llevar bitcoras de los
eventos
Evidencia
Recomendacin
Eventos auditables: El sistema de informacin genera registros de auditora para

los eventos siguientes: [Asignacin: organizacin de eventos definidos por el que se
pueden auditar].
Parcial
de la organizacin al mismo tiempo comprar el equipo adecuado para la
implementacin de bitcoras se estn usando computadores de escritorio como
servidores.
38
AU-4
Evidencia
Recomendacin
El contenido de los Registros de auditora: El sistema de informacin captura la

informacin suficiente en los registros de auditora para establecer qu hechos
ocurrieron, las fuentes de los eventos, y los resultados de los eventos.
NO
de la organizacin.
AU-5
Evidencia
Recomendacin
Auditora de Capacidad de almacenamiento: La organizacin asigna registros de

auditora sobre la capacidad de almacenamiento para evitar que se exceda la
capacidad de almacenamiento.
En cumplimiento
AU-6
Evidencia
Recomendacin
Procesamiento de Auditora: En el caso que se alcance la capacidad de

almacenamiento de auditora(logs), el sistema de informacin alerta a los
funcionarios apropiados de la organizacin y toma las siguientes medidas
adicionales: [definido la organizacin las acciones a tomar (por ejemplo, cierre el
sistema de informacin, sobrescribir al ms antiguo de los registros, deje de
generar registros)].
En cumplimiento
Es necesario establecer los controles automatizados respectivos para poder actuar
previo a que ocurra el incidente.
AU-6
39
Evidencia
Recomendacin
Seguimiento de los registros, anlisis y presentacin de informes: La organizacin

revisa peridicamente / analiza los registros de auditora para las indicaciones de la
actividad inapropiada o inusual, investiga actividades sospechosas o violaciones
sospechosas, los resultados de los informes a los funcionarios competentes, y toma
las acciones necesarias.
Parcial Falta personal de informtica para realizar esta tarea
Se debe desarrollar una poltica y un procedimiento para esta funcin, como la
asignacin a un colaborador de este trabajo.
AU-7
Evidencia
Recomendacin
Generacin de informes: El sistema de informacin proporciona la capacidad de

generacin de informes.
Parcial
Se debe desarrollar una poltica y un procedimiento para esta funcin, como la
asignacin a un colaborador de este trabajo.
AU-8
Fecha y hora: El sistema de informacin ofrece las marcas de tiempo para su uso
en la generacin de registros para auditora.
Evidencia
Recomendacin
AU-9
Proteccin de Datos de Auditora: El sistema de informacin protege la
informacin de auditora y herramientas de auditora del acceso no autorizado,
modificacin y eliminacin.
Evidencia
Recomendacin
AU-9
Evidencia
Recomendacin
No repudiacin: El sistema de informacin proporciona la capacidad para

determinar si un individuo tom una accin en particular (por ejemplo, cre la
informacin, envi un mensaje, la informacin aprobada [por ejemplo, para indicar
acuerdo o firmar un contrato] o recibi un mensaje).
No
Se debe hacer un anlisis de cmo resguardar los registros de los sistemas.
AU-9
Evidencia
Recomendacin
Retencin de la registros: La organizacin conserva registros de auditora para

[Asignacin: perodo de tiempo definido por la organizacin] para proporcionar
apoyo a las investigaciones despus de los hechos-de incidentes de seguridad y
para satisfacer las necesidades de informacin de regulacin y de organizacin de
retencin.
No
Se debe crear una poltica que contemple los requerimientos legales para la
retencin de registros.
40
Identificacin y Autenticacin (IA)

Las organizaciones deben identificar a los usuarios del sistema de informacin, los procesos que actan
en nombre de los usuarios o dispositivos y autenticar (o verificar) las identidades de los usuarios,
procesos, o dispositivos, como requisito previo para permitir el acceso a los sistemas de informacin de
la organizacin.
IA-1
Evidencia
Recomendacin
Poltica y procedimiento de Identificacin y Autenticacin: La organizacin

desarrolla, disemina, actualiza y revisa peridicamente: i) una poltica formal, la
identificacin documentada, y la autenticacin que se ocupa de propsito, alcance,
funciones, responsabilidades y el cumplimiento; (ii) procedimientos documentados
para facilitar la aplicacin de la identificacin y la poltica de autenticacin e
identificacin asociados a los controles de autenticacin.
En cumplimiento
Se debe aplicar en los sistemas nuevos a desarrollar actualmente se realiza
nicamente con la base de datos de beneficiarios de Fertilizantes y directorio
activo
IA-2
Evidencia
Recomendacin
Eventos auditables: El sistema de informacin genera registros de auditora para

los eventos siguientes: [Asignacin: organizacin de eventos definidos por el que se
pueden auditar].
Parcial
Se debe documentar una poltica que contenga este control.
IA-3
Evidencia
Recomendacin
41
Identificacin y autentificacin del dispositivo: El sistema de informacin

identifica y autentica los dispositivos especficos antes de establecer una conexin.
En cumplimiento
IA-4
Evidencia
Recomendacin
Gestin de identificacin: La organizacin gestiona los identificadores de usuario a

travs de: (i) la identificacin exclusiva de cada usuario, (ii) verificar la identidad de
cada usuario, (iii) la autorizacin para emitir recibir un identificador de usuario de
una organizacin adecuada, (iv) garantizar que la identificacin de usuario se emite
a la parte que est destinado; (v) despus de la desactivacin de identificador de
usuario de inactividad, y (vi) se archiva identificadores de usuario.
Parcial
Se debe agregar al documento del proceso de asignacin de credenciales, y la
misma identificar a que grupo de poltica de seguridad pertenece.
IA-5
Evidencia
Recomendacin
Retroalimentacin del autenticador: El sistema de informacin ofrece informacin

al usuario durante un intento de autenticacin y que la retroalimentacin no pone
en peligro el mecanismo de autenticacin.
Parcial
Se debe documentar este proceso para todos los sistemas que estn por
implementarse
IA-6
Evidencia
Recomendacin
Mdulo de autenticacin criptogrfica: para la autenticacin en un mdulo

criptogrfico, el sistema de informacin emplea los mtodos de autenticacin que
cumplan con los requisitos de la norma FIPS 140-2.
No
Se debe documentar este proceso para todos los sistemas que empleen encripcin.
Proteccin de Sistemas y Comunicaciones (SC)

Las organizaciones deben: (i) vigilar, controlar y proteger las comunicaciones de la organizacin (es
decir, la informacin transmitida o recibida por los sistemas de informacin de la organizacin) en las
fronteras exteriores y la clave de los lmites internos de los sistemas de informacin, y (ii) utilizar los
diseos arquitectnicos, tcnicas de desarrollo de software , y los sistemas de principios de ingeniera
que promueven la seguridad de la informacin efectiva dentro de los sistemas de informacin de la
organizacin.
Evidencia
Recomendacin
Poltica y procedimiento de Proteccin del Sistema y las Comunicaciones: La

organizacin desarrolla, disemina, actualiza y revisa peridicamente: (i) una formal,
documentada poltica de proteccin del sistema, y de las comunicaciones que se
ocupa de propsito, alcance, funciones, responsabilidades y el cumplimiento, (ii)
de proteccin del sistema y las comunicaciones asociado a los respectivos
controles.
En Cumplimiento
Es necesario que se complemente la documentacin proporcionada para que
incluya, informacin de endurecimiento de servidores, equipos de trabajo,
dispositivos mviles, sistemas, bases de datos y dispositivos de comunicaciones.
SC-1
42
SC-2
Evidencia
Recomendacin
Segmentacin de la aplicacin: El sistema de informacin separa la funcionalidad

de usuario (incluidos los servicios de interfaz de usuario) de la funcionalidad de
gestin de la informacin del sistema.
En cuemplimiento
Las aplicaciones y sistemas a Implementar cuentan manejar roles dentro de las
mismas que restrinjan las acciones de los usuarios a las funciones que ellos deben
desarrollar en su da a da.
SC-3
Evidencia
Recomendacin
Aislamiento de la funcin de seguridad: El sistema de informacin asla las

funciones de seguridad de funciones de no seguridad.
En cumplimiento
SC-4
Evidencia
Recomendacin
Los remanentes de Informacin: El sistema de informacin impide la transferencia

de informacin no autorizada y no intencionada a travs de recursos compartidos
del sistema.
NO
Es necesario reforzar la poltica de seguridad para limitar al usuario para no tener
la capacidad en enviar informacin confidencial cierre de USB y limitar el tamao
de archivos a enviar por correo mientras se utiliza Excel y Word para el
procesamiento de la informacin de Fonades.
SC-5
43
Evidencia
Recomendacin
Proteccin de Denegacin de Servicio: El sistema de informacin protege o limita

los efectos de los siguientes tipos de ataques de denegacin de servicio:
[Asignacin: organizacin definida la lista de los tipos de ataques de denegacin de
servicio o de referencia a la fuente para la lista actual].
En cumplimiento
Para el ao 2013 se deber evaluar la compra de un equipo de mayor capacidad
para proteccin de ataques (firewall Watchguard)
SC-6
Evidencia
Recomendacin
Prioridad de recursos: El sistema de informacin limita el uso de los recursos por

orden de prioridad.
En cumplimiento
Se deben mantener en constante evaluacin los sistemas para reforzar este control
y limitar los recursos por orden de prioridad.
SC-7
Evidencia
Recomendacin
Proteccin de Fronteras: El monitoreo de los sistemas de informacin y controles

de las comunicaciones en el lmite exterior del sistema de informacin y en las
principales fronteras internas dentro del sistema.
En cumplimiento
SC-8
Evidencia
Recomendacin
Integridad de la transmisin: El sistema de informacin protege la integridad de la

informacin transmitida
En cumplimiento
SC-9
Evidencia
Recomendacin
La confidencialidad de transmisin: El sistema de informacin protege la

confidencialidad de la informacin que transmite.
No aplica
Al momento de implementar sedes se debe implementar poltica.
SC-10
SC-11
Evidencia
Recomendacin
Ruta de confianza: El sistema de informacin establece una ruta de confianza de

comunicaciones entre el usuario y la funcionalidad de seguridad del sistema
No
Se deben documentar los sistemas y procesos, para identificar las salidas de
informacin de los mismos.
SC-12
Creacin y Gestin de la clave criptogrfica: El sistema de informacin cuenta con
mecanismos automatizados con los procedimientos de apoyo o manual de
procedimientos para el establecimiento de claves de cifrado y gestin de claves.
Evidencia
Recomendacin
Desconexin de la red: El sistema de informacin termina una conexin de red al

final de una sesin o despus de [Asignacin: organizacin define el perodo de
tiempo] de inactividad.
En cumplimiento
44
Evidencia
Recomendacin
No
Se debe desarrollar un procedimiento y una poltica para lo sistemas a desarrollar
SC-13
Evidencia
Recomendacin
El uso de cifrado validado: Cuando se emplea la criptografa en el sistema de

informacin, el sistema realiza todas las operaciones criptogrficas (incluyendo la
generacin de claves) con FIPS 140-2
No
Se debe desarrollar un procedimiento y una poltica.
SC-14
Evidencia
Recomendacin
Protecciones de acceso pblico: para los sistemas disponibles para el pblico, el

sistema de informacin protege la integridad de la informacin y las aplicaciones.
No aplica por el momento.
Se debe desarrollar un procedimiento y una poltica que tome en consideracin la
proteccin de la informacin. Un ejercicio de pentest a los sistemas permite ver el
nivel de seguridad con el cual se cuenta actualmente.
SC-15
Evidencia
Recomendacin
Informtica en colaboracin: El sistema de informacin prohbe la activacin

remota de mecanismos de colaboracin (por ejemplo, conferencias de vdeo y
audio) y proporciona una indicacin explcita de utilidad para los usuarios locales
(por ejemplo, el uso de la cmara o el micrfono).
En cumplimiento
SC-16
45
Evidencia
Recomendacin
La transmisin de los parmetros de seguridad: El sistema de informacin de

forma fiable asocia los parmetros de seguridad (por ejemplo, etiquetas de
seguridad y marcas) con la informacin intercambiada entre sistemas de
informacin.
No aplica.
No aplica.
SC-17
Evidencia
Los certificados de infraestructura de clave pblica: La organizacin desarrolla e

implementa una poltica de certificado y la declaracin de prcticas de certificacin
para la emisin de certificados llave pblica que utiliza en el sistema de
informacin.
No aplica.
Recomendacin
No aplica.
SC-18
Evidencia
Recomendacin
Cdigo dispositivos mviles: La organizacin: (i) establece restricciones de uso y las

pautas de implementacin de las tecnologas de dispositivos mviles basados en el
potencial de causar daos en el sistema de informacin si se usa maliciosamente, y
(ii) los documenta, monitorea y controla el uso del dispositivos mviles dentro del
sistema de informacin. Los funcionarios apropiados de la organizacin autorizan el
uso de dispositivos mviles.
Parcial
Reforzar poltica de utilizacin de recursos. Se deben detallar y tomar en cuenta los
puntos desarrollados en este control.
SC-19
Evidencia
Recomendacin
Voz sobre Protocolo de Internet: La organizacin: (i) establece restricciones de uso

y las pautas de implementacin de Voice Over Internet Protocol (VoIP) basada en el
potencial de causar daos en el sistema de informacin si se usa maliciosamente, y
(ii) los documenta, los monitorea y controla el uso de VoIP en el sistema de
informacin. Los funcionarios apropiados de la organizacin autorizan el uso de
VOIP.
En cumplimiento
46
Recomendaciones Generales:
Basndose en el anlisis de la evaluacin de la informacin presentada, las practicas y calificacin de
riesgo proporcionada por cada una de las prcticas se puede llegar a las siguientes conclusiones las
cuales pueden ser implementadas en el orden que sea ms apropiado para la entidad.
Como muestran los resultados es de suma importancia la implementacin de las recomendaciones en
una forma pronta.
La organizacin debe desarrollar documentacin de los procesos internos y complementar informacin
con la que ya cuenta. Es de importancia la medicin de la aplicacin de estos controles en la
organizacin en una forma peridica.
47
Implementar tarjetas de proximidad o inteligentes.

Adquirir controles de humedad y temperatura para la sala de servidores.
Adquirir detectores de fuego.
Implementar luces de emergencia (pasillos y sala de servidores)
Plan de mantenimiento par el equipo de comunicacin, ups, servidores, racks y estaciones de
trabajo. (trabajar con Compras y adquisiciones para este tema)
Implementar anlisis de seguridad para nuevos sistemas de informacin.
Realizar escaneo frecuentes sobre vulnerabilidades.
Mantener un inventario actualizado de software por maquina.
Utilizar metodologas de desarrollo o estndares (MSF, Extreme programming, RUP, SCRUM).
Utilizar metodologas para soporte (MOF, ITIL).
Trabajar con ambientes separados Desarrollo y Produccin con un adecuado control de
cambios.
Realizar campaas de concientizacin sobre el riesgo en la informacin.
Adquisicin de Equipos servidores y almacenamiento tipo NAS de manera Urgente ya
actualmente poseen un nico servidor para bases de datos obsoleto para esta tareas y pc de
escritorio haciendo los procesos de un servidor como tal.
Adquisicin de equipos de escritorio para el adecuado trabajo del departamento de
sistematizacin
Contratacin de personal adecuado para las actividades propias de una unidad de informtica.

Auditoria de Sistemas Fonades 2012

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria de Sistemas Fonades 2012

Enviado por

Direitos autorais:

Formatos disponíveis

FONADES

Auditoria Depto. Informtica

INFORMACIN DEL DOCUMENTO

Auditoria Depto. Informtica | 11/7/2012

Auditoria Depto. Informtica | 11/7/2012

INFORMACIN DEL DOCUMENTO ................................................................................................... 1

AUDITORIA DEPTO. INFORMTICA

Auditoria Depto. Informtica | 11/7/2012

COBIT es un marco de referencia de direccin de tecnologa de informacin (TI) y conjunto herramientas

Poltica y Procedimiento de Planificacin de la Seguridad: La

Actualizacin del Plan de Seguridad de los sistemas: La organizacin revisa el plan

Auditoria Depto. Informtica | 11/7/2012

Plan de Seguridad de los Sistemas: La organizacin desarrolla e implemente un

Reglas de Comportamiento: La organizacin establece y pone a disposicin a todos

Auditoria Depto. Informtica | 11/7/2012

Evaluacin del impacto de la privacidad: La organizacin lleva a cabo una

Evaluacin de Riesgos (RA)

Poltica y Procedimiento de Evaluacin de Riesgos: La organizacin desarrolla,

Categorizacin de Seguridad: La organizacin clasifica el sistema de informacin

Evaluacin de riesgos: La organizacin lleva a cabo evaluaciones del riesgo y la

Auditoria Depto. Informtica | 11/7/2012

Anlisis de vulnerabilidades: El uso de la vulnerabilidad apropiada de herramientas

Adquisicin de Sistemas y Servicios (SA)

Auditoria Depto. Informtica | 11/7/2012

Poltica y procedimiento de Adquisicin de sistemas y servicios: la organizacin

Asignacin de Recursos: La organizacin determina, documenta, y asigna como

Soporte del ciclo de vida: La organizacin administra el sistema de informacin

Adquisiciones: La organizacin incluye los requisitos de seguridad y

Informacin sobre la Documentacin del Sistema: La organizacin asegura que la

Auditoria Depto. Informtica | 11/7/2012

Restricciones de uso del software: La organizacin cumple con las restricciones de

Software Instalado por el usuario: La organizacin hace cumplir las normas

Principios de seguridad de diseo: la organizacin disea e implementa el sistema

Auditoria Depto. Informtica | 11/7/2012

Servicios de terceros de Sistemas de Informacin: La organizacin garantiza que

Gestin de Configuracin de desarrollo: El desarrollador de sistemas de

Pruebas de Seguridad de Desarrollo: El desarrollador del sistema de informacin

Poltica y Procedimiento de la Concientizacin de la Seguridad y la formacin: la

Auditoria Depto. Informtica | 11/7/2012

Concientizacin en seguridad: La organizacin asegura que todos los usuarios

Capacitacin de Seguridad: La organizacin identifica al personal con funciones

Auditoria Depto. Informtica | 11/7/2012

Registros de Entrenamiento en Seguridad: La organizacin documenta y

Gestin de la Configuracin (CM)

Poltica y procedimiento de Gestin de la Configuracin: la organizacin

Configuracin de Control de Cambio: La organizacin documenta y controla los

Auditoria Depto. Informtica | 11/7/2012

Configuracin de lnea base: la organizacin desarrolla, documenta y mantiene la

Monitoreo de cambios de configuracin: La organizacin monitorea los cambios

Las restricciones de acceso para el cambio: La organizacin hace cumplir las

Auditoria Depto. Informtica | 11/7/2012

Ajustes de configuracin: La organizacin configura los parmetros de seguridad

Planes de Contingencia (CP)

Poltica y procedimiento de Planes de contingencia: la organizacin desarrolla,

Capacitacin de Contingencia: La organizacin capacita al personal en sus roles y

Auditoria Depto. Informtica | 11/7/2012

Plan de Contingencia: La organizacin desarrolla e implementar un plan de

Pruebas del Plan de Contingencia: La organizacin pone a prueba el plan de

Actualizacin del Plan de Contingencia: La organizacin revisa el plan de

Auditoria Depto. Informtica | 11/7/2012

Los lugares alternativos de almacenamiento: La organizacin identifica un lugar de

Sitios alternativos de procesamiento: La organizacin identifica un sitio de

Servicios de Telecomunicaciones: La organizacin identifica los servicios de

Copia de seguridad de la informacin del sistema: La organizacin lleva a cabo