Caso prctico: Enunciado

Pas 3
5.POLTICA DE SEGURIDAD.
5.1. Poltica de seguridad de la informacin.
5.1.1.
Documento de poltica de seguridad de la informacin.
(aplicar)
Se aplicara para establecer el compromiso de la empresa en
cuanto a la seguridad informtica adems de as asegurar las
reglas que conduzcan a un buen uso de la informacin, evitando
as errores por parte de los usuarios y de los administrador con
una probabilidad de 4%, 2.4% en los servidores respectivamente.
5.1.2.
Revisin de la poltica de seguridad de informacin.
(aplicar)
Se aplicara para ver si las reglas que tiene la empresa en cuanto
a la seguridad de la informacin estn bien definidas o si hay
algn cabo suelto; y de ser as reformularlas o agregar otras
reglas, evitando as destruccin de la informacin como los
expedientes con una probabilidad del 3.6% de que ocurra.
6.ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
6.1. Organizacin interna.
6.1.1.
Compromiso de la Direccin con la seguridad de la
informacin.
6.1.2.
Coordinacin de la seguridad de la informacin.
6.1.3.
Asignacin de responsabilidades relativas a la seguridad de
la informacin.(aplicar)
Se deber asignar responsabilidades al personal idneo para
poder hacerse cargo total o por sectores de la seguridad de la
informacin, evitando la probabilidad del 40% que haya una
difusin de la informacin.
6.1.4.
Proceso de autorizacin para las nuevas instalaciones de
procesamiento de informacin.
6.1.5.
Acuerdos de confidencialidad.
6.1.6.
Contacto con las autoridades.
6.1.7.
Contacto con grupos de inters especial.
6.1.8.
Revisin independiente de la seguridad de la informacin.
6.2. Seguridad del acceso a terceras partes.
6.2.1.
Identificacin de riesgos por el acceso de terceros.
6.2.2.
Requisitos de la seguridad cuando se trata con clientes.
6.2.3.
Requisitos de seguridad en contratos con terceros.(aplicar)

Se deber tener en cuenta las polticas de seguridad cuando se

contrate a personas ajenas a la empresa, porque de esa manera
se evita el acceso no autorizado a ciertas reas como a los
servidores o a las oficinas.
7.GESTIN DE ACTIVOS.
7.1. Responsabilidad sobre los activos.
7.1.1.
Inventario de activos.
7.1.2.
Propiedad de los activos.
7.1.3.
Uso aceptable de los activos.
7.2. Clasificacin de la informacin.
7.2.1.
Guas de clasificacin.
(aplicar)
Se deber aplicar algunas reglas para poder determinar el valor
de la informacin que est en la empresa.
7.2.2.
Etiquetado y tratamiento de la informacin.
(aplicar)
Se deber aplicar procedimientos para poder clasificar y manejar
la informacin.
8.SEGURIDAD EN RECURSOS HUMANOS.
8.1. Previo al empleo.
8.1.1.
Roles y responsabilidades.
8.1.2.
Investigacin de antecedentes.
8.1.3.
Trminos y condiciones de la relacin laboral. (aplicar)
Se deber explicar y describir en el contrato la responsabilidad
en cuando al manejo de la informacin que manejara el
empleado a contratar, evitando as en un futuro errores por parte
de los nuevos empleados en los expediente o la contabilidad.
8.2. Durante el empleo.
8.2.1.
Gestin de responsabilidades.
8.2.2.
Concientizacin, educacin y entrenamiento en la seguridad
de informacin. (aplicar)
Se deber dar a conocer las polticas de seguridad y las nuevas
que se adoptan para que lo empleados tengan un conocimiento
actualizado de las reglas que tiene la empresa; y as poder estas
bien informado en cuanto a la seguridad de la informacin y
evitar as la probabilidad del 40% de la difusin de informacin.
8.2.3.
Proceso disciplinario.
8.3. Finalizacin o cambio empleo.
8.3.1.
Responsabilidad de finalizacin.
(aplicar)
Se deber informar sobre los incidentes de seguridad que
ocurran al personal administrativo lo ms rpido posible para
actuar de manera inmediata ante la destruccin o difusin de la
informacin.
8.3.2.
Devolucin de activos.
(aplicar)
Se deber pedir que al finalizar el contrato el empleado deber
devolver los activos que se le haya entregado al momento de su

contrato; esto es para evitar el 20% de robo por parte de los

empleados al finalizar su contrato.
8.3.3.
Retirada de los derechos de acceso.
(aplicar)
Se deber quitar los permisos otorgados una vez que el
empleado haya finalizado su contrato, evitando as el 40% de
acceso no autorizado realizado por empleados ya no
pertenecientes a la empresa.
9.SEGURIDAD FSICA Y DEL ENTORNO.
9.1. reas seguras.
9.1.1.
Seguridad fsica perimetral.
(Aplicados)
Se encuentra implementado para proteger a la empresa mediante
barreras, puertas de control, entre otros elementos existentes
para tener un control sobre la seguridad perimetral,
disminuyendo as amenazas con fuego o inundaciones.
9.1.2.
Controles fsicos de entrada.
(Aplicados)
Se encuentra implementado para proteger las reas que
contienen informacin mediante controles de acceso, evitando
as el 20% de robos en la empresa.
9.1.3.
Seguridad de oficinas, despachos e instalaciones.
(Aplicados)
9.1.4.
Proteccin contra las amenazas externas y ambientales.
(Aplicados)
Se encuentran implementadas medidas de prevencin en caso
de algn desastre natural, para evitar por ejemplo inundaciones.
9.1.5.
El trabajo en las reas seguras.
(Aplicados)
Se encuentran implementadas medidas de proteccin y reglas
para trabajos en zonas seguras.
9.1.6.
reas de carga, descarga y acceso pblico.
(Aplicados)
Se encuentra implementada para controlar y aislar las reas de
carga para que personas no autorizadas tengan acceso a las
instalaciones de procesamiento de la informacin, evitando as
la probabilidad de 20% de robo, 40% de difusin y 40% de
destruccin de la informacin.
9.2. Seguridad de los equipos.
9.2.1.
Ubicacin y proteccin de equipos.
9.2.2.
Suministro elctrico.
Se deber aplicar un respaldo como seguridad en
corte elctrico para proteger la informacin en caso
fluido elctrico, evitando as el fallo del suministro

(aplicar)
caso de un
de corte del
elctrico en

reas como donde se encuentran los servidores y las oficinas,

evitando as la probabilidad del 20% de que ocurra dicho fallo.
9.2.3.
Seguridad del cableado.
9.2.4.
Mantenimiento de los equipos.
9.2.5.
Seguridad de los equipos fuera de las instalaciones.
9.2.6.
Seguridad en el re-uso o eliminacin de equipos
9.2.7.
Retirada de materiales de propiedad de la empresa.
10. GESTIN DE COMUNICACIONES Y OPERACIONES.
10.1. Responsabilidades y procedimientos de operacin.
10.1.1. Documentacin de los procedimientos de operacin.
10.1.2. Gestin de cambios.
(aplicar)
Se debern controlar todos los cambios que ocurran en los
sistemas de informacin para evitar fallos en la comunicacin
por parte de los sistemas de informacin en la red.
10.1.3. Segregacin de tareas.
10.1.4. Separacin de las instalaciones de desarrollo, prueba y
operacin.
10.2. Gestin de la provisin de servicios por terceros.
10.2.1. Entrega de servicios.
10.2.2. Monitoreo y revisin de los servicios prestados por
terceros.
10.2.3. Gestin del cambio en los servicios prestados por terceros.
10.3. Planificacin y aceptacin del sistema.
10.3.1. Gestin de capacidades.
10.3.2. Aceptacin del sistema.
10.4. Proteccin contra el cdigo malicioso y descargable.
10.4.1. Controles contra el software malicioso.
(Aplicados)
Se encuentran implementadas la proteccin contra software
malicioso, con procedimientos adecuados y tomas de conciencia
de usuarios, de esta manera se evita la probabilidad del 60% de
la difusin de software daino en la red.
10.4.2. Controles contra el software mvil.
(Aplicados)
Se encuentra implementado las polticas de seguridad para
asegurar que el software mvil opere de forma segura y definida.
10.5. Copias de seguridad.
10.5.1. Recuperacin de la informacin
(Aplicados)
Se encuentra implementada la gestin de las copias de
seguridad, para restaurar dichas copias de seguridad en caso
ocurra la destruccin de la informacin en los servidores.
10.6. Gestin de la seguridad de las redes.
10.6.1. Controles de red.
10.6.2. Seguridad de los servicios de red.
10.7. Utilizacin y seguridad de los medios de informacin.
10.7.1. Gestin de medios removibles.

10.7.2. Eliminacin de medios.

10.7.3. Procedimientos de manipulacin de la informacin.
10.7.4. Seguridad de la documentacin del sistema.
10.8. Intercambio de informacin.
10.8.1. Polticas y procedimientos de intercambio de informacin.
10.8.2. Acuerdos de intercambio.
10.8.3. Seguridad de medios fsicos en trnsito.
10.8.4. Seguridad del correo electrnico.
10.8.5. Sistemas de informacin empresariales.
10.9. Servicios de comercio electrnico.
10.9.1. Seguridad en comercio electrnico.
10.9.2. Seguridad en las transacciones en lnea.
10.9.3. Informacin disponible pblicamente.
10.10. Monitoreo.
10.10.1. Registros de auditora.
(aplicar)
Se deber conservar por un periodo descrito en las polticas de
seguridad en caso de que se produzca alguna falta, error o fallo
en la seguridad.
10.10.2. Supervisin del uso del sistema.
(aplicar)
Se debern seguir reglas establecidas para poder monitorear el
sistema y los resultados.
10.10.3. Proteccin de la informacin de los registros.
(aplicar)
Se debern controlar y proteger los accesos a los registros de
personas maliciosas.
10.10.4. Registros de administracin y operacin. (aplicar)
Se deber registrar las actividades de los operadores y del
administrador de la empresa.
10.10.5. Registro de fallos.
(aplicar)
Se debern registrar para poder ser analizados y as poder
solucionarlos.
10.10.6. Sincronizacin del reloj.
(aplicar)
Se debern sincronizar todos los relojes de la empresa para un
mejor procesamiento de los equipos de la informacin.
11. CONTROL DE ACCESO.
11.1. Requisitos de negocio para el control de acceso.
11.1.1. Poltica de control de acceso.
11.2. Gestin de acceso de usuario.
11.2.1. Registro de usuario.
(Aplicados)
Esta implementado para que el usuario solo disponga del acceso
a los servicios que va manejar dentro de la empresa.
11.2.2. Gestin de privilegios.
(Aplicados)
Esta determinado el control de los privilegios de usuario de
acuerdo a las polticas de seguridad de la empresa.
11.2.3. Gestin de contraseas de usuario.
(Aplicados)

Esta determinado que las contraseas se podrn asignar por

medio de un proceso de gestin formal.
11.2.4. Revisin de los derechos de acceso de usuario.
11.3. Responsabilidades de usuario.
11.3.1. Uso de contraseas.
11.3.2. Equipo de usuario desatendido.
11.3.3. Poltica de pantalla y escritorio limpio.
11.4. Control de acceso a la red.
11.4.1. Poltica de uso de los servicios de la red.
11.4.2. Autenticacin de usuario para conexiones externas.
(aplicar)
Se debern aplicar polticas para controlar los mtodos de
autentificacin en usuarios remotos, evitando as la probabilidad
del 40% de accesos no autorizados.
11.4.3. Identificacin de los equipos en las redes.
11.4.4. Proteccin de los puertos de diagnstico y configuracin
remotos. (aplicar)
Se debern implementar medidas de seguridad para controlar el
acceso fsico y lgico de la configuracin de los puertos.
11.4.5. Segregacin de las redes.
11.4.6. Control de la conexin a la red. (aplicar)
Se debern hacer cumplir las polticas de seguridad establecidas
especialmente con conexiones fuera de la empresa.
11.4.7. Control de encaminamiento (routing) de red.
11.5. Control de acceso al sistema operativo.
11.5.1. Procedimientos seguros de inicio de sesin.
(Aplicados)
Se usa procedimientos de login para poder ingresar a los
servicios de la empresa.
11.5.2. Identificacin y autenticacin de usuario.
(Aplicados)
Toso los usuarios cuentan con un tipo de identificador nico que
les permite poder acceder a los recursos de la red.
11.5.3. Sistema de gestin de contraseas.
(Aplicados)
La empresa tiene un medio de gestin de contraseas que
provee medios efectivos de asegurar la calidad de la contrasea.
11.5.4. Uso de los recursos del sistema.
(Aplicados)
Se controla y registra las aplicaciones para que el sistema no
fuerce su rendimiento.
11.5.5. Desconexin automtica de sesin.
(Aplicados)
Est configurado para que si algn usuario este inactivo por un
cierto periodo de tiempo este cierre sesin automticamente
para evitar la indisponibilidad del personal del 20%.
11.5.6. Limitacin del tiempo de conexin.
(Aplicados)

Esta establecido un lmite de tiempo en alguna aplicaciones para

poder asegurar el sistema.
11.6. Control de acceso a las aplicaciones y a la informacin.
11.6.1. Restriccin del acceso a la informacin.
(aplicar)
Se deber aplicar restricciones a algunos usuarios para tener un
mejor rendimiento y seguridad del sistema, evitando as la
probabilidad de destruccin de informacin o difusin de la
misma.
11.6.2. Aislamiento de sistemas sensibles.
11.7. Ordenadores porttiles y teletrabajo.
11.7.1. Informtica y comunicaciones mviles.
11.7.2. Teletrabajo.
12. ADQUISICIN DE SISTEMAS DE INFORMACION, DESARROLLO Y
MANTENIMIENTO.
12.1. Requisitos de seguridad de los sistemas de informacin.
12.1.1. Anlisis y especificacin de los requisitos de seguridad.
12.2. Proceso correcto en aplicaciones.
12.2.1. Validacin de los datos de entrada.
(Aplicados)
Se validad el ingreso de datos al sistema para asegurar que sean
correctos.
12.2.2. Control del procesamiento interno.
12.2.3. Integridad de los mensajes.
12.2.4. Validacin de los datos de salida.
12.3. Controles criptogrficos.
12.3.1. Poltica de uso de los controles criptogrficos.
12.3.2. Gestin de claves.
12.4. Seguridad de los archivos de sistema.
12.4.1. Control del software en produccin.
(aplicar)
Se deber controlar la implementacin del software del sistema
de operaciones, para evitar la difusin de software daino en los
servidores de la empresa.
12.4.2. Proteccin de los datos de prueba del sistema.
12.4.3. Control de acceso a la librera de programas fuente.
12.5. Seguridad en los procesos de desarrollo y soporte.
12.5.1. Procedimientos de control de cambios. (aplicar)
Se debern controlar los cambios de forma estricta de acuerdo
con las polticas de seguridad.
12.5.2. Revisin tcnica de los cambios en el sistema operativo.
(aplicar)
Se debern probar las aplicaciones en cuanto se haga cambio
del SO para que no haya complicaciones con las operaciones de
la empresa, esto es para evitar fallas en el mantenimiento del
software.
12.5.3. Restricciones en los cambios a los paquetes de software.
(aplicar)

No se debern eliminar las modificaciones en los paquetes. Solo

se deben hacer los cambios necesarios y deben ser controlados
estrictamente.
12.5.4. Fuga de informacin.
12.5.5. Externalizacin del desarrollo de software.
12.6. Gestin de la vulnerabilidad tcnica.
12.6.1. Control de las vulnerabilidades tcnicas.
13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
13.1. Reportando eventos y debilidades en la seguridad de informacin.
13.1.1. Reportando eventos de la seguridad de informacin.
(Aplicados)
Los problemas o alguna situacin que pase en que afecte a la
seguridad de la informacin son comunicados de manera rpida
y apropiada; para actuar rpidamente en contra de una
destruccin o difusin de la informacin.
13.1.2. Reportando debilidades de seguridad.
(Aplicados)
Todos los empleados estn obligados a reportar cualquier
debilidad de seguridad que noten o encuentren en el sistema.
13.2. Gestin de incidentes y mejoras en la seguridad de informacin.
13.2.1. Responsabilidades y procedimientos.
(Aplicadas)
Estn dispuestos procedimientos que se adoptan cuando pasen
incidentes que afecten a la seguridad de la informacin.
13.2.2. Aprendiendo de los incidentes en la seguridad de
informacin.
(Aplicados)
Existen algunos mecanismos que monitorean y determinan los
tipos de incidentes de seguridad de la informacin, como por
ejemplo los erros de los usuarios o los errores del administrador.
13.2.3.

Recopilacin de evidencias.
(Aplicados)
Est escrito que de existir un incidente, se debe recolectar y
presentar evidencia conforme las reglas lo dicen.

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO.

14.1. Aspectos de la gestin de continuidad del negocio en la seguridad de
informacin.
14.1.1. Incluyendo la seguridad de la informacin en la gestin de
la continuidad del negocio.
(aplicar)
Se debern establecer procedimientos y responsabilidades de
gestin con el fin de asegurar una respuesta rpida antes
incidentes de seguridad de la informacin.
14.1.2. Continuidad del negocio y evaluacin de riesgos. (aplicar)

Se deber identificar las causas de interrupciones en los

procesos del negocio as como medir el impacto y
probabilidades de dichas interrupciones en la seguridad de la
informacin, de esta manera evitar la probabilidad del 80% de
errores organizativos.
14.1.3. Desarrollando e implantando planes de continuidad que
incluyen la seguridad de la informacin. (aplicar)
Se deber desarrollar un plan para mantener la disponibilidad de
las operaciones de la informacin, evitando as el dao de las
comunicaciones y errores organizacionales.
14.1.4. Marco de planificacin de la continuidad del negocio.
(aplicar)
Para esto se deber hacer planes para la continuidad del negocio
haciendo pruebas y mantenimiento a la seguridad de la
informacin. Todo esto se realiza para evitar fallos en el
mantenimiento de hardware y software.
14.1.5. Probando, manteniendo y reevaluando los planes de
continuidad del negocio. (aplicar)
Se debern actualizar peridicamente los planes de continuidad
del negocio de manera que aseguren su continuidad.
15. CUMPLIMIENTO.
15.1. Cumplimiento de los requisitos legales.
15.1.1. Identificacin de la legislacin aplicable.
15.1.2. Derechos de propiedad intelectual (DPI).
15.1.3. Salvaguarda de los registros de la organizacin.
15.1.4. Proteccin de los datos y privacidad de la informacin
personal.
15.1.5. Prevencin en el mal uso de las instalaciones de
procesamiento de la informacin.
15.1.6. Regulacin de los controles criptogrficos.
15.2. Cumplimiento con las polticas y estndares de seguridad y del
cumplimiento tcnico.
15.2.1. Cumplimiento de las polticas y normas de seguridad.
15.2.2. Comprobacin del cumplimiento tcnico.
15.3. Consideraciones sobre las auditoras de sistemas.
15.3.1. Controles de auditora de sistemas.
15.3.2. Proteccin de las herramientas de auditora de los sistemas
de informacin.