Cuestionario

Proyecto: FE Gestin de Seguridad de la InformacinCuestionario Anlisis de Brechas- Norma ISO 27001NO MODIFICAR ESTAS COLUMNAS!Control Descripcin PreguntaSi Parcial No Observaciones

Instrucciones Indicar el nivel de cumplimiento del control descrito marcando la respuesta con una X. Incluir en la columna de las observaciones los detalles proporcionados por la Organizacin. X100%50%0%Q respuestasSuma puntuacionesPuntuacin del objetivoQ %Puntuacin de la dimensin 5. POLTICA DE SEGURIDAD 20.000%5.1. Poltica de seguridad de la informacin200.000.005.1.1. Documentar poltica de Seguridad de la InformacinLa gerencia debe aprobar un documento de poltica, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes.Ha sido aprobado por la direccin un documento que contenga la poltica de seguridad de la informacin, y ha sido publicado y comunicado a todos los empleados y terceras partes relevantes? xEn el Manual Interno de FE, existe una poltica general de Lugares Limpios de Trabajo. No existe documento de Polticas de Seguridad de la Informacin aprobado por la gerencia en FE. X0005.1.2. Revisin de la poltica de Seguridad de la Informacin La poltica de seguridad de la informacin debe ser revisada regularmente a intervalos planeados, si ocurren cambios significativos para asegurar la continua idoneidad.La poltica de seguridad de la informacin se revisa en intervalos planificados, o si ocurren cambios significativos, para asegurar que sigue siendo conveniente, suficiente y efectiva?xAl no existir Polticas de Seguridad de la Informacin formales, no es posible poder analizar el cumplimiento de su revisin peridica.0006. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN112.5023%6.1. Organizacin Interna81.50.191.500.006.1.1. Compromiso de la gerencia con la seguridad de la informacinLa gerencia debe apoyar activamente la seguridad dentro de la organizacin a travs de una direccin clara, compromiso demostrado de las responsabilidades de la seguridad de la informacin.La direccin apoya, de forma activa y clara, la seguridad dentro de la organizacin, con un compromiso demostrado, asignaciones explcitas, y reconocimiento de las responsabilidades de la seguridad de la informacin?Por ejemplo, tiene Oficial de Seguridad?, Tiene comite de Seguridad?xFondo Esperanza no tiene asignado un rol que cumpla las responsabilidades de seguridad de informacin. Tampoco existe un comit de seguridad.00006.1.2. Coordinacin de la Seguridad de la Informacin Las actividades de seguridad de la informacin deben ser coordinadas por representantes de las diferentes partes de la organizacin con las funciones y roles laborales relevantes.Las actividades de seguridad de la informacin se coordinan con representantes de cada una de las diferentes reas de la organizacin, quienes tienen roles y puestos de trabajo relevantes?Por ejemplo, el comit quin lo conforma? Tienen que involucrar varias aristas.xLas actividades referente a la seguridad de la informacin no son evaluadas ni coordinadas frente a un comit o una persona encargada de este rol.00006.1.3. Definicin de las responsabilidades de Seguridad de la InformacinSe deben definir claramente las responsabilidades de la seguridad de la informacin.Se han definido claramente todas las responsabilidades de seguridad de la informacin?Por ejemplo, tiene que ver con las responsabilidades que tiene el oficial de seguridad y el comit.xAl no existir un rol encargado de la seguridad de la informacin, no es posible identificar las responsabilidades de los encargados de esta.0006.1.4. Procesos de autorizacin para el uso de la infraestructura de informacinSe debe definir e implementar un proceso de autorizacin gerencial para los nuevos medios de procesamiento de informacinSe ha definido y puesto en ejecucin un proceso administrativo de autorizaciones para las nuevas infraestructuras utilizadas en el procesamiento de informacin?Por ejemplo, hay proceso formal para autorizar nuevas implementaciones o lo realizan de palabra o por correo. Hay control de cambios?xNo existe evidencia de un procedimiento administrativo formalmente escrito para la aprobacin de nuevos sistemas de informacin. Se realiza a travs de un Comit de Proyectos pero, el comit no cuestiona el cmo se va a realizar, slo ve los presupuestos.0006.1.5. Acuerdos de confidencialidadSe deben identificar y revisar regularmente los requerimiento de confidencialidad o los acuerdos de no divulgacin para la proteccin de la informacinLos requerimientos de confidencialidad o los acuerdos de no divulgacin, que reflejan las necesidades de proteccin de la informacin que tiene la organizacin, son identificados y revisados de forma regular?Por ejemplo, Hay acuerdos de confidencialidad con el personal? hay acuerdo de confidencialidad con las socias, con los proveedores?xEn el contrato marco de Diseo y Desarrollo de Software, se identifican acuerdos de confidencialidad con los proveedores. Tambin en otros contratos con terceros estn presentes.Existe un acuerdo de confidencialidad con las socias y en el contrato que firman, ellas autorizan a FE a entregar sus datos a FOSIS.En el Manual Interno, artculo 72, 73 y 74 se menciona acuerdo de confidencialidad del trabajador con FE.1006.1.6. Contacto con autoridadesSe debe mantener contactos apropiados con las autoridades relevantes.Se mantiene una relacin apropiada con las autoridades relevantes?Por ejemplo, tienen contacto con Carabineros, Bomberos?xExiste evidencia que se mantiene comunicacin con Bomberos, con otros servicios pblicos no hay contacto en caso de ser requeridos ante una emergencia.00.506.1.7. Contacto con grupos de inters Se deben mantener contactos apropiados con los grupos de inters especial y otros foros de seguridad especializados y asociaciones profesionales.La organizacin mantiene contacto con grupos de inters, foros de especialistas en seguridad o con asociaciones profesionales?Por ejemplo, el encargado de seguridad participa con grupos de Seguridad de informacin? Grupos de internet enfocados seguridad? Todo esto con el objetivo de estar a la vanguardia con los temas de seguridad de informacin.xAnte la falta de un Comit de Seguridad resulta la falta de contacto o intercambio de informacin con entidades o asociaciones que traten temas de seguridad de la informacin.0006.1.8. Revisin Independiente de la Seguridad de la InformacinEl enfoque de la organizacin para manejar la seguridad de la informacin y su implementacin (es decir; objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la informacin) se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios significativos para la implementacin de la seguridad.El enfoque de la organizacin para la gestin de seguridad de la informacin y su implementacin (p. ej. objetivos de control, controles, polticas, procesos y procedimientos de seguridad de la informacin), son revisados de forma independiente, en intervalos planeados o cuando ocurren cambios significativos en la implementacin de la seguridad?Por ejemplo, viene un tercero a verificar que se cumplan todos los controles de seguridad? Si viene un experto ITIL a revisar xNo existe un control y revisin de un tercero ni tampoco de alguien de FE que vele por un buen manejo de la seguridad de la informacin. 0006.2. Entidades externas310.3316.2.1. Identificacin de riesgos asociados a terceras partesSe deben identificar los riesgos que corre la informacin y los medios de procesamiento de informacin de la organizacin y se deben implementar los controles apropiados antes de otorgar acceso.Se han identificado los riesgos asociados a la informacin de la organizacin y la infraestructura para el procesamiento de la informacin, relacionados con los procesos de negocio que involucran terceros, y se han implementado los controles apropiados antes de tener acceso a estas?Por ejemplo, se evala el riesgo al darle acceso a tercero a misfe ej:minimos privilegios. Existe un registro, un control formal?xNo existe un proceso de gestin de riesgos de los activos de la informacin.0006.2.2. Enfoque de la seguridad al interactuar con clientesSe deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso a la informacin o activos de la organizacin.Todos los requisitos de seguridad identificados, han sido tratados antes de dar a los clientes el acceso a la informacin o a los activos de la organizacin?Por ejemplo, est documentado como se incorpora una socia a FE? La socia puede entregar un poder simple y retira dinero un tercero.xEl proceso de incorporacin de socia se encuentra documentado en donde se nombran los requerimientos y se verifica el control de ingreso. Los procesos se encuentran documentados, y en proceso de actualizacin a excepcin del proceso de desembolso, el cual se encuentra plasmado en una presentacin.00.506.2.3. Enfoque de la seguridad en acuerdos con terceras partesLos acuerdos que involucran acceso, procesamiento, comunicacin o manejo por parte de terceras personas a la informacin o los medios de procesamiento de informacin de la organizacin; agregar productos o servicios a los medios de procesamiento de la informacin deben abarcar los requerimientos de seguridad necesarios relevantes.Los acuerdos con terceros relacionados con acceso, procesamiento, comunicacin o manejo de la informacin o infraestructura para el procesamiento de informacin, o adicin de productos o servicios a la infraestructura para el procesamiento de la informacin, cubren todos los requerimientos de seguridad relevantes?Por ejemplo, el proveedor se alinea con los nuevos estndares de seguridad que tiene FE? Se van mejorando los acuerdos?xLa seguridad est dada por los proveedores mediante un contrato. Existe una falsa sensacin de seguridad, ya que los proveedores tienen mejores estndares de seguridad que FE. 00.507. GESTION DE ACTIVOS50.510%7.1. Responsabilidad de los activos30.50.16666666670.57.1.1. Inventario de activosTodos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de todos los activos importantes.Todos los activos estn identificados de forma clara, y se ha elaborado y mantenido un inventario de todos los activos importantes?xNo existe un proceso formal de inventario de activos de informacin. Slo se lleva un registro de los activos de hardware y de software.Existe un proyecto para levantamiento y valorizacin de activos en funcin de la importancia para FE.0007.1.2. Propiedad de activosToda la informacin y los activos asociados con los medios de procesamiento de la informacin deben ser 'propiedad' 3 de una parte designada de la organizacin.Toda la informacin y activos asociados con la infraestructura para el procesamiento de la informacin, han sido asignados a un rea especfica de la organizacin?Por ejemplo, est claro quin es el dueo y responsable de cada activo (sw, hw, manuales procedimientos)xSi bien es sabido quienes son los responsables de los activos, este no se encuentra documentado por lo tanto no hay responsables.0007.1.3. Uso adecuado de activosSe deben identificar, documentar e implementar las reglas para el uso aceptable de la informacin y los activos asociados con los medios de procesamiento de la informacin.Las reglas para el uso correcto de la informacin y de los activos asociados a la infraestructura para el procesamiento de la informacin, han sido identificadas, documentadas e implementadas?Por ejemplo, tenemos al dueo de servidor, y alguien ajeno a la gerencia que quiere acceder, existe un procedimiento que permita autorizar el acceso?.... debe existir un control para el uso adecuado de los activos.Otro ejemplo, si se quiere acceder al ambiente productivo o para ingresar al DC, quin puede tener acceso?xEn el Manual Interno de FE, se identifica un lineamiento sobre el uso de algunos activos como el correo electrnico. No existe documentacin sobre el manejo de internet ni tampoco sobre el uso de dispositivos mviles.00.507.2. Clasificacin de la Informacin20007.2.1. Gua para la clasificacinLa informacin debe ser clasificada en trminos de su valor, requerimientos legales, confidencialidad y grado crtico para la organizacin.Se ha clasificado la informacin con base en su valor, requerimientos legales vigentes, sensibilidad y que tan crtica es para la organizacin?Por ejemplo, esto tiene que ver con la gestin de riesgo de activos de la informacin. tienen evaluados los documentos de contratos de las socias, si tienen evaluado si la socia puede pagar o no.xNo existe una clasificacin de la informacin que indique cual es de uso interno, pblico y confidencial.0007.2.2. Identificacin y manejo de la informacinSe debe desarrollar e implementar un apropiado conjunto de procedimiento para etiquetar y manejar la informacin en concordancia con el esquema de clasificacin adoptado por la organizacin.Se ha desarrollado e implantado un conjunto de procedimientos apropiado para el etiquetado y manejo de la informacin, de acuerdo con el esquema de clasificacin adoptado por la organizacin?Por ejemplo, tienen cdigo de inventario los activos? (los equipos, los documentos, sw, licencias,redes, ups)xNo existe un diseo para la identificacin y etiquetado (Labelling Approach) que permita clasificar la informacin ya sea impresa o en formato electrnico.0008. SEGURIDAD DE LOS RECURSOS HUMANOS9667%8.1. Previo al empleo320.666666666728.1.1. Funciones y Roles de seguridadSe deben definir y documentar los roles y responsabilidades de seguridad de los empleados, contratistas y terceros en concordancia con la poltica de la seguridad de informacin de la organizacin.Las funciones y responsabilidades de los empleados, contratistas y terceras partes, estn definidos y documentados de acuerdo con la poltica de seguridad de la organizacin?Es necesario tener roles, actualmente tienen los obejtivos y requisitos.xSi bien existen un perfil, indentificacin, objetivos y requisitos del cargo para todos los funcionario no se indica roles y responsabilidad relacionadas con seguridad de la informacin. Los roles para las empresas de desarrollo se encuentran definidos.00.508.1.2. Seleccin y verificacin de candidatosSe deben llevar a cabo chequeos de verificacin de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes, regulaciones y tica relevante, y deben ser proporcionales a los requerimientos comerciales, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos.Se realizan las verificaciones oportunas de los antecedentes de todos los candidatos para un empleo, de los contratistas y terceras partes, siempre de acuerdo a las leyes y regulaciones vigentes, la tica y siempre de manera proporcional a los requerimientos del negocio, la clasificacin de la informacin a la que acceder y los riesgos percibidos?Revisan los antecedentes de las personas? solicitan los ttulos? exmen sicolgico? Se encuentra documentado?xSe solicitan antecedentes financieros, certificado de antecedentes, examen psicolgico, certificado de ttulo, entre otros. El proceso se encuentra en revisin por parte del Encargado de Compensaciones de FE.

Para terceros no tiene procedimientos establecidos al respecto.00.508.1.3. Trminos y condiciones de empleoComo parte de su obligacin contractual; los empleados, contratistas y terceros deben aceptar y firmar los trminos y condiciones de su contrato de empleo, el cual debe establecer sus responsabilidades y las de la organizacin para la seguridad de la informacin.Se les exige a los empleados, contratistas y terceras partes estar de acuerdo y firmar los trminos y condiciones de su contrato de empleo, y este contrato establece las responsabilidades tanto del empleado como las de la organizacin, en materia de seguridad de la informacin?Por ejemplo, firman los contratos con los trabajadores antes de ingresar a trabajar?xEn el Artculo 68 del Reglamento Interno (que es parte del contrato de trabajo) se encuentran los trminos y condiciones de empleo en cuanto a seguridad de la informacin.Los terceros que tienen acceso a la informacin tambin tienen un acuerdo confidencialidad a no divulgacin de informacin.1008.2. Durante el empleo 320.666666666728.2.1. Responsabilidades de la gerenciaLa gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimientos establecidos de la organizacin.La direccin exige a los empleados, contratistas y terceras partes aplicar seguridad de acuerdos con las polticas y procedimientos establecidos por la organizacin?xEn la revisin del contrato modelo de trabajo, se menciona como parte del contrato el Manual Interno, el cual en el Artculo 68 dice "todo trabajador es responsable de la seguridad de la informacin que mantiene..."En el contrato marco de proveedores en el captulo dcimo tercero detalla el acuerdo de confidencialidad de la informacin.1008.2.2. Concientizacin, educacin y entrenamiento en la seguridad de la informacin.Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitacin y actualizaciones regulares de las polticas y procedimientos organizacionales, conforme sean relevantes para su funcin laboral.Los empleados y, cuando es relevante, contratistas y terceras partes, reciben el entrenamiento adecuado sobre concientizacin en seguridad de la informacin y se les mantiene actualizados sobre las polticas y procedimientos de la organizacin que son relevantes para el cumplimiento de las funciones de su trabajo?Por ejemplo, hay charlas? despliegan la informacin?xNo hay lineamiento ni conciencia organizacional sobre la seguridad. Se realiza induccin la cual no contempla charla sobre la proteccin de informacin tampoco se realizan capacitaciones, la mayora de los temas relacionados con la seguridad de la informacin se conoce por comunicaciones informales entre jefes y compaeros de trabajo.0008.2.3. Proceso disciplinarioDebe existir un proceso disciplinario formal para los empleados que an cometido una violacin en la seguridad.Existe algn proceso disciplinario formal para tratar con los empleados que infringen la seguridad de la organizacin?Por ejemplo, existen amonestaciones por falta a la seguridad?xEn el reglamento interno se hace mencin sobre el proceso disciplinario al incumplimiento de la seguridad de la informacin (Artculo 73)La Gerencia de Riesgo est trabajando en categorizar los tipos de faltas. 1008.3. Finalizacin o cambio de empleo320.666666666728.3.1. Finalizacin de responsabilidadesSe deben definir y asignar claramente las responsabilidades para realizar la terminacin o cambio de empleo.Han sido claramente definidas y asignadas las responsabilidades para realizar la finalizacin de un contrato de trabajo o cambios en el empleo?xEn el reglamento interno (Art. 34) existe el procedimiento para la devolucin de materiales y de informacin, sin embargo no existe contrato o finiquito que indique que la confidencialidad tiene que seguir un tiempo determinado (>= a 6 meses) despus de terminado el trabajo.10.508.3.2. Devolucin de activosTodos los empleados, contratistas y terceros deben devolver todos los activos de la organizacin que estn en su posesin a la terminacin de su empleo, contrato o acuerdo.Se requiere que todos los empleados, contratistas y usuarios de terceras partes, devuelvan todos los activos de la organizacin que se encuentren en su posesin en el momento de la terminacin del empleo, contrato o acuerdo?Por ejemplo, existe un formulario que indique todos los activos que tiene un trabajador asociados, est documentado?xExiste un directriz en el Manual Interno sobre la devolucin de los activos de informacin. Tambin existe un registro que indica los activos asociados a cada trabajador, sin embargo, no existe un procedimiento ni evidencia de devolucin.00.508.3.3. Retiro de los permisos de accesoLos derechos de acceso de todos los empleados, contratistas y terceros a la informacin y medios de procesamiento de la informacin deben ser eliminados a la terminacin de su empleo, contrato o acuerdo, o se deben ajustar al cambio.Una vez que se termina el contrato, se retiran inmediatamente todos los derechos de acceso a la informacin y a la infraestructura para el procesamiento de la informacin de los empleados, contratistas y terceras partes, o si fuese el caso, se ajustan si hay cambios?cmo saben que le bloquearon el correo?, reciben de vuelta una confirmacin.xNo existe un procedimiento que indique esta actividad de se realiza. No se hace retiro de las cuentas de correo y de sistema inmediatamente, en casos excepcionales se conservan an las cuentas pero, se realiza un cambio de clave. Actualmente se est trabajando en el Procedimiento de Creacin y Desactivacin de Cuentas y Claves.0009. SEGURIDAD FSICA Y AMBIENTAL131.512%9.1. reas seguras60.50.08333333330.59.1.1. Controles de seguridad fsicaSe debe utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado o recepcionista) para proteger reas que contienen informacin y medios de procesamiento de informacin.Se utilizan permetros de seguridad (barreras como: paredes, puertas de acceso controladas por tarjetas de identidad, puestos de recepcin, etc.) para proteger reas que contengan informacin e infraestructura para el procesamiento de la informacin?xNo existe un procedimiento de control de acceso que permita identificar la trazabilidad de las personas que ingresan, restriccin de acceso a alguna oficina de acuerdo a nivel de seguridad.No se observa controles de acceso controlado como tarjetas de acercamiento, biomtricos u otros.Solamente existe un vigilante para control de visitas en casa central.0009.1.2. Controles fsicos de entradaSe deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal autorizado.Estn protegidas las reas seguras por los controles de entrada apropiados para asegurarse de que solamente permiten el acceso de personal autorizado?Por ejemplo hay registro de quien ingresa al DC?xNo existe componentes de acceso biomtrico para acceso a Data Center ni ingreso por tarjeta a reas seguras en FE. Slo existe un vigilante en casa central.0009.1.3. Seguridad en oficinas, cuartos y edificiosSe debe disear y aplicar seguridad fsica en las oficinas, habitaciones y medios.Se ha diseado e implantado un sistema de seguridad fsica para las oficinas, salas y resto de instalaciones?Por ejemplo las personas andan con la credencial? xNo existe componentes de acceso biomtrico para acceso a Data Center ni a oficinas de acuerdo a su nivel de seguridad.0009.1.4. Proteccin contra amenazas externas y ambientalesSe debe disear y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, disturbios civiles y otras formas de desastre natural o creado por el hombre.Se ha diseado y aplicado un sistema de proteccin fsica en contra de daos causados por incendios, inundaciones, terremotos, explosiones, ataques provocados por personas y/o otras formas de desastre natural o artificial?Por ejemplo tienen plan de evacuacin? xFE posee un plan de evacuacin y de incendios para casa central y oficinas. Sin embargo el Data Center no cuenta con detectores de humo, no tiene sistema para extincin de incendios, tampoco el DC tiene CCTV, el sistema de aire acondicionado y la UPS no tiene redundancia y no posee grupo generador. Slo poseen extintores y un plan de evacuacin por parte del edificio en que se encuentra ubicado el DC. 00.509.1.5. Trabajo en reas segurasSe debe disear y aplicar proteccin fsica y lineamientos para trabajar en reas seguras.Se han diseado y aplicado las guas y medidas de proteccin adecuadas para trabajar en las reas seguras?Por ejemplo, tiene procedimientos para trabajo supervisado, seguridad, para realizar trabajos en sus depencias?xNo existe una gua para la realizacin de trabajos en zonas que requieren seguridad (DC, rea de sistemas).0009.1.6. reas de acceso pblica, carga y entregaSe deben controlar los puntos de acceso como las reas de entrega y descarga y otros puntos donde personas no autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la informacin para evitar un acceso no autorizado.Los puntos de acceso, tales como reas de entrega y/o carga, y otros puntos donde personas no autorizadas puedan tener acceso, son controlados y, si es posible, aislados de las instalaciones para el procesamiento de la informacin, con el fin de evitar accesos no autorizados? xNo existe rea de carga y descarga de equipos o de material donde se revise su contenido antes de ser introducido a FE.0009.2. Seguridad de los equipos710.142857142919.2.1. Ubicacin y proteccin de equipamientoEl equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado.Los equipos estn aislados o protegidos con la finalidad de reducir el riesgo de daos, amenazas y accesos no autorizados?xNo estn todos los equipos productivos aislados, algunos equipos se encuentran en DC y otros en casa matriz.00.509.2.2. Suministros de soporteEl equipo debe ser protegido de fallas de energa y otras interrupciones causadas por fallas en los servicios pblicos.Los equipos se encuentran protegidos ante los posibles fallos de electricidad y otras perturbaciones causadas por los fallos en los sistemas de soporte (UPS, Planta elctrica)?xNingn equipo tiene sistema de redundancia y slo en DC, tienen UPS sin redundancia y no cuenta con grupo electrgeno.0009.2.3. Seguridad en el cableadoEl cableado de la energa y las telecomunicaciones que llevan data o sostienen los servicios de informacin deben ser protegidos de la interrupcin o dao.El cableado elctrico y el de telecomunicaciones, que transmiten datos o soportan servicios de informacin, estn protegidos contra la intercepcin o dao?Por ejemplo, existe redundacia de enlace? xNo existe redundancia de enlaces. En DC no cuenta con identificacin de los cables (inventario de cables).0009.2.4. Mantenimiento de equiposEl equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.Se hace un mantenimiento correcto de los equipos para asegurar su continua disponibilidad e integridad?xNo existe un plan de mantenimiento para los equipos productivos. En oficina central tienen un plan que no est formalizado y para las sucursales no tienen plan.En el DC slo tienen un plan de mantenimiento del aire acondicionado.0009.2.5. Seguridad de los equipos fuera de las instalacionesSe debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacinSe aplica la seguridad adecuada a los equipos que se encuentran fuera de las reas pertenecientes a la organizacin, considerando los riesgos que implica trabajar fuera de las instalaciones de la organizacin?xNo existe seguros comprometidos para el traslado de equipo entre dependencias de FE, al DC y a casa.0009.2.6. Desecho y/o reutilizacin seguro de los equiposTodos lo tems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia antes de su eliminacin.Se revisan todos los equipos que tengan capacidad de almacenamiento, para asegurarse que ningn tipo de dato sensible y/o software licenciado haya sido eliminado o sobrescrito con seguridad antes del desecho o reutilizacin del equipo?xSe revisan todos los equipos que van a desecho o reutilizacin. Sin embargo no est documentado el procedimiento para esta actividad.00.509.2.7. Retiro de propiedadEquipos, informacin o software no deben ser sacados fuera de la propiedad sin previa autorizacin.Se requiere autorizacin previa para sacar de la organizacin equipos, informacin o software?Por ejemplo, existe un documento que indique qu personas pueden salir de FE con su equipo? Cmo nos aseguramos que sea el note personal y no el del gerente?xNo existe un procedimiento para retiro e ingreso de equipos de la organizacin.Cuando hay retiro para desecho, existe un documento formal.00010. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES29931%10.1. Responsabilidad y procedimientos operacionales41.50.3751.510.1.1. Procedimientos operacionales documentadosSe deben documentar y mantener los procedimientos de operacin, y se deben poner a disposicin de todos los usuarios que los necesiten.Los procedimientos operativos estn documentados, mantenidos y puestos a disposicin de todos los usuarios que los necesitan?xExisten un conjunto de procedimientos aprobados y publicados en la intranet, otros se encuentran elaborados con estado de revisin y otros no existen. No existen Instrucciones relacionados con seguridad de informacin.00.5010.1.2. Administracin de cambiosSe deben controlar los cambios en los medios y sistemas de procesamiento de la informacin.Se controlan los cambios a la infraestructura para el tratamiento de la informacin y los sistemas?Por ejemplo, existen controles formales de cambios que est documentado?xNo existe un documento de control de cambios formalmente escrito. Los cambios en algunas oportunidades se determinan por correo o por minuta.00010.1.3. Segregacin de funcionesSe deben segregar los deberes y reas de responsabilidad para reducir las oportunidades de una modificacin no autorizada o no intencionada o un mal uso de los activos de la organizacin.Los deberes y reas de responsabilidad estn segregados para reducir las oportunidades de modificacin o uso indebido, no autorizado o no intencional, de los activos de la organizacin?Por ejemplo, es fcil acceder a informacin sensible?xExisten algunos privilegios por cargo para acceder a algunos activos, el cual no est formalizado. Falta un manual de funciones claras en trmino de responsabilidades de seguridad de los activos de informacin que permita resguardar la informacin sensible.00010.1.4. Separacin de ambientes (facilities)Se deben separar los medios de desarrollo, prueba y operaciones para reducir los riesgos de accesos no autorizados o cambios en el sistema de operacin.Las instalaciones de desarrollo, produccin y pruebas estn separadas para reducir los riesgos de accesos o cambios en los sistemas operativos no autorizados?xExiste un ambiente de desarrollo en cada equipo de desarrollador, un ambiente de test y productivo que se encuentra en el servidor del DC. Si esto se encuentra en el mismo servidor no est en la misma mquina.10010.2. Gestin de servicios por terceras partes310.3333333333110.2.1. Entrega de serviciosSe debe asegurar que los terceros implementen, operen y mantengan los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el contrato de entrega del servicio de terceros.La organizacin se asegura que los controles de seguridad, las definiciones de servicio y la distribucin de niveles incluida en el acuerdo de prestacin de servicios con terceras partes estn implantados, operados y mantenidos por las terceras partes?Por ejemplo, el contrato marco tienen niveles de servicios? responsables? SLA?xEn el contrato marco de Consultora, Diseo, Desarrollos, Capacitaciones e Implementacin de Aplicaciones y Plataformas de Software y contempla en varios artculos niveles de servicio. 10010.2.2. Monitoreo y revisin de los servicios de tercerosLos servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditoras se deben llevar a cabo regularmente.Los servicios, informes y registros proporcionados por terceras partes, se monitorizan y revisan de forma regular, y se llevan a cabo auditorias de forma regular?Por ejemplo se realizan mediciones sobre los SLA's y acuerdos de servicios? Monitorean la cuadratura de control de cambio?xSi bien se ha detectado que tienen claridad de los servicios que estn prestando terceros no existe evidencia que sean monitoreados y auditados.00010.2.3. Administracin de cambios en los servicios de tercerosSe deben manejar los cambios en la provisin de servicios, incluyendo el mantenimiento y mejoramiento de las polticas, procedimientos y controles de seguridad existentes, tomando en cuenta el grado crtico de los sistemas y procesos comerciales involucrados y la re-evaluacin de los riesgos.Se gestionan los cambios de provisin de los servicios (incluyendo el mantenimiento y mejora de las polticas existentes, procedimientos y controles de seguridad de la informacin) tomando en cuenta la criticidad de los sistemas y procesos del negocio implicados y la reevaluacin del riesgo?Por ejemplo, cmo lo hacen cuando existe un control de cambio con un tercero? se ajusta al proceso de control de cambios de FE?xSe realiza un control informal ya que no existe un procedimiento especfico para Control de Cambios. 00010.3. Planificacin y aceptacin del sistema20.50.250.510.3.1. Gestin de la Capacidad Se deben monitorear, afinar y realizar proyecciones del uso de los recursos para asegurar el desempeo del sistema requerido.El uso de recursos es monitoreado, afinado y se realizan proyecciones de futuros requisitos de capacidad para asegurar el rendimiento del sistema?El servidor da para abastecer a todas las personas de FE? Cmo sabe que el servidor puede soportar N sistemas?xNo existe el monitoreo de los recursos del sistema. Adems el servidor no entrega alertas de capacidad. 00010.3.2. Aceptacin de sistemasSe deben establecer los criterios de aceptacin para los sistemas de informacin nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo pruebas adecuadas del (los) sistema(s) durante su desarrollo y antes de su aceptacin.Hay criterios de aceptacin establecidos para nuevos sistemas de informacin, actualizaciones y nuevas versiones y se realizan pruebas del sistema durante el desarrollo y previamente a la aceptacin?Por ejemplo, dejan registro de los CPP? Tienen documentadas las pruebas realizadas en testing?xPara el desarrollo de MisFe si existe los ambientes de prueba y produccin. Actualmente tienen buenas prcticas, dejan evidencias de aceptacincuando pasa de un ambiente a otro. No se evalan temas de seguridad ni de carga de informacin, adems los criterios no se encuentran formalizados.00.5010.4. Proteccin contra cdigo mvil y malicioso200010.4.1. Controles contra software maliciosoSe deben implementar controles de deteccin, prevencin y recuperacin para protegerse de cdigos maliciosos y se deben implementar procedimientos de conciencia apropiados.Se han implementado controles de deteccin, prevencin y recuperacin para protegerse de cdigo malicioso, as como procedimientos apropiados para la concientizacin de los usuarios sobre ste?Por ejemplo, tienen personas monitoreando la red ante ataques? tienen bloqueados sitios peligrosos?(face, youtube no es peligroso)xNo se han implementado controles en la red, en las computadoras y tablet para protegerse de cdigos maliciosos.Utilizan SW AVG la versin hogar. No existe un rol que est monitoreando la red ante ataques.En FE se encuentran bloqueados algunos sitios.00010.4.2. Controles contra cdigo mvilCuando se autoriza el uso de un cdigo mvil, a configuracin debe asegurar que el cdigo mvil autorizado opere de acuerdo a una poltica de seguridad claramente definida, y se debe evitar que se ejecute un cdigo no autorizado.Cuando el uso del cdigo mvil est autorizado, la configuracin asegura que ste cdigo opera de acuerdo a una poltica de seguridad claramente definida y se impide su uso si es un cdigo mvil no autorizado?Por ejemplo, las tablet se controlan aleatoriamente si tienen virus o han descargado sw peligrosos?xNo se evala si existe algn riesgo de seguridad sobre cdigo transportable (mvil), es decir, cualquier usuarios est autorizado a instalar una aplicacin.00010.5. Back-up10.50.50.510.5.1. Copia de respaldo de informacinSe deben realizar copias de back up o respaldo de informacin comercial y software esencial y se deben probar regularmente de acuerdo a la poltica.Se realizan las copias de seguridad y se comprueban regularmente conforme a lo establecido en la poltica acordada?Por ejemplo, tiene la poltica de respaldo, cada cuanto, lo comprueba para ver si se puede recuperar?xFE no cuenta con poltica de respaldo. Pero, tienen buenas prcticas ya que Se realizan respaldo de BBDD SQL diferencial y total, y los fines de semana se lleva a cinta, adems realizan una prueba diaria que se realiz en conformidad el respaldo.00.5010.6. Gestin de seguridad en la red210.5110.6.1. Controles de redLas redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacin en trnsito.La red est adecuadamente administrada y controlada, con el fin de protegerla de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usa la red, incluida la informacin en trnsito?Por ejemplo, la red se encuentra segmentada? son manejados adecuadamente los firewalls, quin los administra, estn documentados?xLa red no se encuentra segmentada, actualmente no pueden manejar la saturacin de la red ni ver donde se encuentra un punto cado.Los firewalls son administrados por el HdC y en casa central no tienen.00010.6.2. Seguridad de servicios de redSe deben identificar los dispositivos de seguridad, niveles de servicio y los requerimientos e incluirlos en cualquier contrato de servicio de red, ya sea que estos servicios sean provistos en casa o sean abastecidos externamente.Las caractersticas de seguridad, los niveles de servicio, y los requerimientos de administracin de todos los servicios de red, estn identificados e incluidos en los acuerdos con los diferentes proveedores de servicios de red, bien sean internos o externos?Por ejemplo, conocen diagrama de red? cul es el uptime? existe algn control?xSe tiene identificado los dispositivos de red y la seguridad en ellos, tanto interno como con proveedores (envo de informe mensual de disponibilidad de enlaces).10010.7. Gestin de soportes40.50.1250.510.7.1. Gestin de los medios removiblesDeben existir procedimientos para la gestin de medios removibles.Existen procedimientos para la administracin de los medios removibles?Por ejemplo, como saco informacin en pendrive, tarjetas? Se puede controlar con una poltica que autorice solo a ciertos cargosxNo existe procedimiento para la gestin y eliminacin segura de medios removibles (documentos, cintas, discos). No se lleva un control de la informacin sensible y confidencial que se ha eliminado. Se identific una gerencia que tiene buenas prcticas.00010.7.2. Eliminacin de mediosLos medios deben ser eliminados utilizando procedimientos formales de una manera segura cuando ya no se les requiere.Los soportes que no se vayan a utilizar ms, son eliminados de forma segura y sin inconvenientes por medio de procedimientos formales?Por ejemplo, cmo elimino o destruyo las cintas, discos u otro medio donde haya respaldado.xNo existe procedimiento para la gestin y eliminacin segura de medios removibles (documentos, cintas, discos). No se lleva un control de la informacin sensible y confidencial que se ha eliminado. Se identific una gerencia que tiene buenas prcticas.00010.7.3. Procedimientos para el manejo de informacinSe deben establecer los procedimientos para el manejo y almacenaje de la informacin para proteger dicha informacin de una divulgacin no autorizada o un mal uso.Hay procedimientos establecidos para el manejo y el almacenamiento de la informacin de forma que se proteja de la divulgacin no autorizada o del uso inapropiado?Por ejemplo, dnde almaceno la informacin, las cintas? xExisten directrices (en los procedimientos) de almacenamiento de documentacin fsica el cual es vulnerable.Gran parte de la informacin se almacena en formato electrnico y la mayor parte de ella no cumple controles, ya que existe mucha informacin en computadoras personales de los usuarios que son sensibles a la organizacin. 00010.7.4. Seguridad de la documentacin de los sistemasSe debe proteger la documentacin de una acceso no autorizado.Se encuentra protegida la documentacin del sistema contra accesos no autorizados?Por ejemplo, Tengo procedimiento que indique quin las manipula? Queda un registro?xLa informacin se encuentra segura en el sistema, se realiza control por usuario y password pero, no cuenta un log de auditora que permita identificar a los usuarios que han tenido acceso al sistema.00.5010.8. Intercambio de informacin41.50.3751.510.8.1. Polticas y procedimientos de intercambio de informacinSe deben establecer poltica, procedimientos y controles de intercambio formales para proteger el intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin.Hay establecida una poltica formal de intercambio, procedimientos y controles para proteger el intercambio de informacin a travs de los servicios de comunicacin?Por ejemplo, tiene una poltica que diga quienes son los autorizadores del envo de la BasexNo existe una poltica de intercambio de informacin. A pesar que existe un control de los usuarios que pueden acceder a la base de datos, se pierde el control de cmo, dnde y a quin la va a enviar.00010.8.2. Acuerdos de intercambioSe deben establecer acuerdos para el intercambio de informacin y software entre la organizacin y entidades externas.Se han establecido acuerdos para el intercambio de informacin y software dentro de la organizacin y con organizaciones externas?Por ejemplo, dicen los acuerdos que la informacin no puede ser utilizada para otros fines?xExiste acuerdo por contrato con distintas entidades para que no hagan mal uso de la informacin. Sin embargo la informacin no va encriptada, tampoco tiene etiquetado de confidencial.Cuando se transmite la informacin correo electrnico debiera tener una leyenda haciendo alusin a su grado de sensibilidad.00.5010.8.3. Medios fsicos en transitoLos medios de contienen informacin deben ser protegidos contra un acceso no autorizado, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de una organizacin.Los medios que contienen informacin, estn protegidos en contra del acceso no autorizado, el mal uso o su alteracin durante el transporte ms all de los lmites fsicos de la organizacin?xNo existe lineamientos de parte de la gerencia sobre los medios de transportes para la informacin importante. El transporte y manejo de cintas lo administra el HdC.00010.8.4. Mensajera electrnicaSe debe proteger adecuadamente los mensajes electrnicos.Est adecuadamente protegida la informacin involucrada en la mensajera electrnica?Por ejemplo, los archivos van encriptados?xExiste respaldo diario de correo electrnico (por medio de HdC), adems se utiliza encriptacin para los accesos va web.10010.8.5. Sistemas de informacin de negocioSe deben desarrollar e implementar polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin comercial.Se han desarrollado e implementado polticas y procedimientos para proteger la informacin asociada a la interconexin de los sistemas de informacin del negocio?No aplica este control porque no hay intercambio de informacin por sistema entre FE y otros. En un futuro la comunicacin ser con Servipag.00010.9. Servicios de comercio electrnico 10.50.50.510.9.1. Comercio electrnicoSe debe proteger la informacin involucrada en el comercio electrnico que se transmite a travs de redes pblicas de cualquier actividad fraudulenta, disputa contractual y divulgacin y modificacin no autorizada.La informacin relacionada con el comercio electrnico, que pasa a travs de redes pblicas, est protegida de las actividades fraudulentas, disputas contractuales, y la divulgacin y modificacin no autorizada?No aplica este control para los servicios que ofrece FE.00010.9.2. Transacciones en lneaSe debe proteger la informacin involucrada en las transacciones en lnea para evitar la transmisin no autorizada del mensaje, divulgacin no autorizada, y duplicacin o re envo no autorizado del mensaje.La informacin involucrada en transacciones on-line, est protegida para prevenir transmisiones incompletas, desvo, modificacin no autorizada del mensaje, divulgacin no autorizada y para evitar la duplicacin o reproduccin?No aplica este control porque no hay intercambio de informacin por sistema entre FE y otros. En un futuro la comunicacin ser con Servipag.00010.9.3. Informacin de acceso publicoSe debe proteger la integridad de la informacin disponible pblicamente para evitar la modificacin no autorizada.La informacin disponible a travs de un sistema pblico, se encuentra protegida para asegurar su integridad y prevenir modificaciones no autorizadas?Por ejemplo, la informacin que se publica en la Web y la intranet pblica la autoriza un gerente?xLa informacin publicada en los sistemas de informacin pblica como la Web se realiza por medio de GCOM y la autoriza la gerente, pero no existe una autorizacin o un procedimiento formal escrito. Los contenidos que se publican en la intranet se encuentran a cargo de GP y se tiene claro quien autoriza y quien accede, pero tampoco existe un procedimiento.00.5010.10. Monitoreo620.3333333333210.10.1.Registro de eventosSe deben producir registros de las actividades de auditora, excepciones y eventos de seguridad de la informacin y se deben mantener durante un perodo acordado para ayudar en investigaciones futuras y monitorear el control de accesoLos logs de auditora registran y mantienen las actividades de los usuarios, las excepciones y los eventos de seguridad de la informacin, durante un periodo de tiempo acordado, con el fin de ser utilizados en investigaciones futuras y monitorear el control de acceso?Por ejemplo, existen log en los procesos.xEl sistema MisFe no tiene logs de auditora, lo que no hace posible monitorear el control de acceso.Los servicios contratados a terceros como Servipag poseen logs.00010.10.2.Monitoreo del uso de los sistemasSe deben establecer procedimientos para monitorear el uso de los medios de procesamiento de informacin y el resultado de las actividades de monitoreo se debe revisar regularmenteSe han establecido procedimientos para monitorear la infraestructura para el procesamiento de la informacin y los resultados de estas actividades son revisados regularmente?Por ejemplo, se realiza monitoreo de los sistemas, se genera un informe de lo que se est procesando, qu rea consume ms recursos?xNo se realiza monitoreo al sistema (accesos, operaciones con privilegios, intentos fallidos, alertas) y por lo tanto el sistema no presenta anormalidades de este tipo. Esto no permite evaluar su riesgo. 00010.10.3.Proteccin de la informacin de registrosSe deben proteger los medios de registro y la informacin del registro contra alteraciones y acceso no autorizadoLa infraestructura para los registros y la informacin de estos registros, son protegidos en contra de acceso forzoso o no autorizado?Por ejemplo, cmo garantizamos que no alteren un registro maliciosamente en MisFe? La idea es tener un proceso de monitoreo para asegurar que no sean alterados los registros.xExiste un control slo por funcionalidades. No existe una garanta que alguien no modifique un registro maliciosamente, ya que no hay logs de auditora.00010.10.4.Registros del administrador y operadorSe deben registrar las actividades del administrador y operador del sistemaLas actividades del administrador y del operador del sistema, son registradas?Por ejemplo, tienen un bitcora de actividades, tienen cuentas que los distingan?xExiste un acceso diferenciado el cual indica el operador involucrado, pero no hay bitcora de registros de eventos.00010.10.5.Registro de fallasLas fallas se deben registrar, analizar y se debe tomar la accin apropiadaSe registran y almacenan los fallos y se toman las medidas oportunas?Por ejemplo, quedan registro de las incidencias, se encuentran categorizadas?xExisten registros de incidencias y se encuentran categorizadas en el sistema (Open Source).10010.10.6.Sincronizacin de relojesLos relojes de los sistemas de procesamiento de informacin relevantes de una organizacin o dominio de seguridad deben estar sincronizados con una fuente de tiempo exactaSe encuentran sincronizados todos los relojes de todos los sistemas relevantes de procesamiento de informacin en la organizacin o contenidos en el dominio de seguridad, conforme a una fuente de tiempo de confianza?Por ejemplo, todos los sevidores estn sincronizados con la hora? cmo lo realizan? utilizan un domain controller?xExiste Domain Controller (por parte de HdC) y todos los servidores de la red se sincronizan va NTP.10011. CONTROL DE ACCESO25624%11.1. Requerimientos de negocio para el control del acceso100011.1.1. Poltica de control de accesoSe debe establecer, documentar y revisar la poltica de control de acceso en base a los requerimientos de seguridad y comercialesSe ha establecido y documentado una poltica de control de acceso con base en los requisitos de seguridad y del negocio, y sta poltica ha sido revisada de forma regular?Por ejemplo, existe poltica de control a las reas de acceso, al control de la informacinxNo existe una poltica de control de acceso (identificacin, perfil de acceso, autorizacin, retiro de permisos, entre otros)00011.2. Gestin de accesos de usuarios 41.50.3751.511.2.1. Registro de usuariosDebe existir un procedimiento formal para la inscripcin y desinscripcin para otorgar acceso a todos los sistemas y servicios de informacin Existe un procedimiento formal de registro y de salida del registro para los usuarios de la organizacin con el fin de garantizar o revocar el acceso a todos los sistemas de informacin y servicios?Por ejemplo, hay procedimientos que permitan entregar y quitar accesos a usuarios? xNo existe documentacin formal para ninguno de los sistemas de informacin. FE cuenta con un borrador del procedimiento que se encuentra en estado de revisin.Existe una buena prctica cuando ingresa un trabajador y estn claras las actividades, pero no as cuando el trabajador se retira.00.5011.2.2. Gestin de privilegiosSe debe restringir y controlar la asignacin y uso de los privilegios Se restringe y controla la asignacin y uso de privilegios?Por ejemplo, hay roles distintos de cambiar, borrar. Por ejemplo, si alguien es cambiado de cargo o funcin le cambian los privilegios?xExiste una falsa sensacin de uso de privilegios, ya que el sistema permite configurar por perfil y por persona, para el primero se puede tener control y para el segundo no.00.5011.2.3. Gestin de contraseas de usuariosLa asignacin de claves se debe controlar a travs de un proceso de gestin formal La asignacin de contraseas se realiza conforme a un proceso formal de gestin?Por ejemplo, cuando alguien ingresa a FE o pide un cambio de contrasea, existe un procedimiento formal? Es con documento, correo, por telfonoxExiste proceso claro para asignacin de contrasea el cual no se encuentra documentado. El sistema no obliga al usuario a cambiar la clave temporal y en oficinas se almacena la clave en archivadores desprotegidos.00.5011.2.4. Revisin de los derechos de acceso de los usuariosLa gerencia debe revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formalLos derechos de acceso de los usuarios, se revisan en intervalos regulares de tiempo siguiendo un proceso formal?Por ejemplo, cuando el usuario se cambi de funcin, supongamos que se qued con mas privilegios, se realizan revisiones peridicas que permitan regularizar los accesos?xNo se realiza revisiones peridicas que permitan regularizar de los privilegios de los usuarios.00011.3. Responsabilidades de usuario310.3333333333111.3.1. Uso de contraseasSe debe requerir que los usuarios sigan buenas prcticas de seguridad en la seleccin y uso de clavesexiste buenas prcticas para el manejo de contraseas?Por ejemplo, los usuarios comparten las claves, colocan claves fciles como la direccin de FE.xNo existe un adecuado uso de contraseas va a depender mucho de la persona. Hay contraseas que se comparten entre usuarios y otras son fciles de adivinar como la direccin de casa central de FE.00011.3.2. Equipos de usuarios desatendidosSe debe requerir que los usuarios se aseguren de dar la proteccin apropiada al equipo desatendidoSe requiere que los usuarios se aseguren que los equipos desatendidos tengan la proteccin adecuada? Por ejemplo, bloquean los equipos cada vez que se levantan del puesto de trabajo? El usuario sabe que tiene que hacerloxNo existen polticas de pantalla ni bloqueo de estaciones. Algunos usuarios tienen buenas prcticas.Hay equipos que no tienen clave para ingreso a Windows.00011.3.3. Poltica de escritorio y pantalla limpiaSe debe adoptar una poltica de escritorio limpio para los documentos y medios de almacenamiento removibles y una poltica de pantalla limpia para los medios de procesamiento de la informacin Se ha adoptado una poltica de "escritorio despejado" para los papeles, medios de almacenamiento removibles y una poltica de "pantalla limpia" en la infraestructura para el procesamiento de informacin?Por ejemplo, la secretaria guarda toda la informacin confidencial bajo llave? se deja documentacin en la impresora? hay destruccin de material confidencial?xEn el Manual Interno se detalla la Poltica de Lugares de Trabajo Limpios.10011.4. Control de acceso a redes720.2857142857211.4.1. Poltica para el uso de servicios de redLos usuarios deben tener acceso a los servicios para los cuales han sido especficamente autorizados a usarLos usuarios tienen acceso exclusivamente a los servicios a los que se les ha autorizado especficamente?Por ejemplo, los usuarios que desarrollan tienen acceso slo al servidor de desarrollo y no a las redes productivas? xNo existe una poltica sobre el uso de las redes que permita delimitar el acceso de acuerdo a las funciones. Sin embargo tienen separacin de funciones a travs de Active Directory.00.5011.4.2. Autenticacin del usuario para conexiones externasSe debe utilizar mtodos de autenticacin para controlar el acceso de usuarios remotosSe usan mtodos de autentificacin adecuados para controlar el acceso de usuarios remotos?Por ejemplo, cuando se conectan por VPN tienen los mismos controles? Cualquiera tiene VPN?xNo existen mtodos formales de autenticacin, se utiliza una buena prctica. No se encuentra documentado que personas tienen acceso a VPN.00.5011.4.3. Identificacin de equipos en las redesSe debe considerar la identificacin automtica del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones especficasSe ha considerado la identificacin automtica de equipos como una forma de autenticar conexiones desde equipos y localizaciones especficas?xNo existen controles por MAC Address y VLANs. Se puede conectar cualquier dispositivo a la red sin la debida configuracin.00011.4.4. Proteccin de puerto de diagnstico y configuracin remotaSe debe controlar el acceso fsico y lgico a los puertos de diagnstico y configuracin Est controlado el acceso a los puertos de diagnostico y configuracin fsica y lgica?Por ejemplo, cuando me conecto desde otro puerto, ingreso usuario y password? Y si se conecta en forma remota?xNo existe evidencia del control de puertos en la red.00011.4.5. Segregacin en redesLos servicios de informacin, usuarios y sistemas de informacin se deben segregar en las redesLos controles para segregar grupos de dispositivos de informacin, usuarios y sistemas de informacin son adecuados?Por ejemplo, la red de produccin, respaldo es la misma red de desarrollo para acceder a las diferentes redes.xEl proveedor (HdC) realiza la segmentacin de la red.10011.4.6. Control de conexiones a la redSe debe restringir la capacidad de conexin de los usuarios en las redes compartidas, especialmente aquellas que se extienden a travs de los lmites organizacionales, en concordancia con la poltica de control de acceso y los requerimientos de afiliaciones comerciales (ver 11.1)La capacidad de los usuarios de conectarse a la red, es restringida para las redes compartidas (especialmente aquellas que estn fuera de la organizacin) y, esta restriccin, es aplicada en conjunto con los requerimientos de las polticas de control de acceso de las aplicaciones de negocio? (Ver control 11.1)Por ejemplo, la red detecta cuando est el mismo usuario desde dos puntos distintos?xNo existe un control de lmite de sesiones para conectarse a la red.00011.4.7. Control de enrutamiento en la redSe deben implementar controles de enrutamiento para las redes para asegurar que las conexiones de cmputo y los flujos de informacin no infrinjan la poltica de control de acceso de las aplicaciones comercialesSe han establecido en las redes controles de enrutamiento para asegurar que las conexiones de los computadores y el flujo de informacin no vulnere la poltica de control de acceso de las aplicaciones del negocio?Por ejemplo, cmo tienen los enrutamientos de la red?xNo se ha establecido controles de enrutamiento para asegurar las conexiones, slo en casa se encuentran bloqueadas algunas redes.00011.5. Control de acceso al sistema operativo610.1666666667111.5.1. Procedimientos de inicio seguro de sesinSe debe controlar el acceso a los servicios operativos mediante un procedimiento de registro seguroEl acceso a los sistemas operativos, est controlado por un procedimiento de inicio de sesin seguro?Por ejemplo, el sistema operativo solicita usuario y contrasea? xNo existe un procedimiento formal que permita identificar y controlar los accesos (auditora para identificar intentos fallidos, usuarios intrusos, limitacin de tiempo para acceder al SO)00011.5.2. Identificacin y autenticacin de usuariosTodos los usuarios deben tener un identificador singular (ID de usuario) para su uso personal y exclusivo, se debe elegir una tcnica de autenticacin adecuada para verificar la identidad del usuarioSe provee a los usuarios con identificador nico (User ID) para su uso personal y se ha seleccionado una tcnica de autentificacin adecuada para exigir la identidad del usuario?Por ejemplo, cada usuario utiliza su porpio user ID? Existen usuarios genricos? xCada persona tiene su usuario y clave. No existen usuarios genricos.10011.5.3. Sistema de gestin de contraseasLos sistemas de manejo de claves deben ser interactivos y deben asegurar la calidad de las clavesLos sistemas de gestin de contraseas son interactivos y aseguran igualmente la calidad de las contraseas? Por ejemplo, las claves son alfanumricas? Pide el sistema que cambie las claves? Deja repetir claves?xNo existe gestin de contraseas. Un usuario puede pasar toda su vida laboral con la misma contrasea, el sistema no obliga al cambio de esta y son fciles de descubrir).00011.5.4. Uso de las utilidades del sistemaSe deben restringir y controlar estrictamente el uso de programas de utilidad que podran superar al sistema y los controles de aplicacin El uso de programas de usuario capaces de modificar el sistema y los controles de las aplicaciones, est restringido y fuertemente controlado?xNo se realiza control en el estndar de las utilidades del sistema. Utilizan Query de consulta y pueden ejecutar varias al mismo tiempo degradando el sistema.00011.5.5. (Time-out) Control de tiempo para terminalesLas sesiones inactivas deben cerrarse despus de un perodo de inactividad definido Hay controles y procedimientos para desactivar las sesiones despus de un periodo de tiempo predeterminado de inactividad?xNo se realiza control ni bloqueo de las estaciones de trabajo luego de un perodo de inactividad.00011.5.6. Limitacin en el tiempo de conexinSe debe utilizar restricciones sobre los tiempos de conexin para proporcionar seguridad adicional a las aplicaciones de alto riesgoExisten restricciones en el tiempo de conexin de las aplicaciones con riesgos ms elevados para proporcionar seguridad adicional?Por ejemplo, evalan los tiempos de trabajo y cuanto tardan un aplicativo? Es importante que horarios de conexin a los sistemas sensibles sean restringidos.xNo existe restriccin de tiempo de conexin a las aplicaciones (restriccin para utilizar los sistemas slo en horario laboral)00011.6. Control de acceso a la informacin y las aplicaciones20.50.250.511.6.1. Restriccin de acceso a la informacinSe deben restringir el acceso de los usuarios y personal de soporte al sistema de informacin y aplicacin en concordancia con la poltica de control de acceso definidaEl acceso a las funciones del sistema de informacin y aplicacin, es restringido para los usuarios y personal de soporte, de acuerdo con la poltica de control de acceso? Por ejemplo, tenemos controlado que los usuarios que trabajan en S.O. no accesen a la base de dato productiva para alterar datos?xNo existe una poltica de control de acceso por lo cual no se puede identificar ni distinguir los perfiles de los usuarios que accesan al sistema.Por ejemplo, a la base productiva se puede llegar por acceso remoto y por pin.00011.6.2. Aislamiento de los sistemas sensiblesLos sistemas sensibles deben tener un ambiente de cmputo dedicado (aislado)Los sistemas ms sensibles, tienen un ambiente de cmputo dedicado (aislado)?Por ejemplo, se encuentran los servidores resguardados? MisFe se encuentra aislado? Remuneraciones es sensible, se encuentra aislado?xExisten servidores en el DC, sin embargo existen algunos en casa central sin seguridad, adicionalmente no se observa que existan evaluaciones cuando se instalan en un servidor mas de una aplicacin de las cuales una de ellas es sensible.00.5011.7. Informtica mvil y teletrabajo200011.7.1. Computacin y comunicacin mvilSe debe establecer una poltica formal y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computacin y comunicacin mvilesExiste una poltica formal y se han adoptado las medidas de seguridad necesarias para protegerse en contra de los riesgos de utilizar computadores mviles e infraestructura de comunicaciones?Por ejemplo, los note tienen seguridad? Los gerentes tienen la misma seguridad? existe respaldo de los pc. xNo existe una poltica que proteja los medios de comunicacin mvil. Los notebook no tienen seguros comprometidos, no se realiza respaldo con regularidad, no se realizan capacitaciones de concientizacin de seguridad de informacin.00011.7.2. TeletrabajoSe debe desarrollar e implementar polticas, planes operacionales y procedimientos para actividades de teletrabajoSe ha desarrollado una poltica, unos planes operativos, y unos procedimientos para regular las actividades de tele-trabajo?xSe debe establecer un proceso formal de autorizacin para definir que usuarios pueden desarrollar actividades remotas accediendo a las redes de datos de FE.00012. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN164.528%12.1. Requerimientos de seguridad de los sistemas de informacin100012.1.1. Anlisis y requisitos de seguridadLos enunciados de los nuevos requerimientos comerciales para sistemas nuevos, o mejorar los sistemas existentes deben especificar los requerimientos de los controles de seguridadLas declaraciones de los requerimientos del negocio para nuevos sistemas de informacin o para la mejora de los ya existentes, especifican los requerimientos de los controles de seguridad?Por ejemplo, cuando realizo un cambio al sistema, se valida ante comit, que este cambio no afecte la seguridad de los sistemas?xNo existe declaracin de requerimientos, no est presente la figura de seguridad por lo cual no se realiza verificacin desde el punto de vista de seguridad y proteccin de la informacin. Slo se valida presupuesto y prioridad.00012.2. Procesamiento correcto en las aplicaciones43.50.8753.512.2.1. Validacin de los datos de entradaEl insumo de la data en las aplicaciones debe ser validado para asegurar que esta data sea correcta y apropiadaLos datos de entrada de las aplicaciones, se validan para asegurar que son correctos y apropiados?Por ejemplo, cuando ingreso un rut en MisFe el sistema reconoce si es que ingreso letras?xEst presente en el desarrollo la validacin de errores en el ingreso de datos.10012.2.2. Control del procesamiento internoSe deben incorporar chequeos de validacin en las aplicaciones para detectar cualquier corrupcin de la informacin a travs de errores de procesamiento o actos deliberadosSe han incorporado pruebas de validacin en las aplicaciones para detectar cualquier informacin errnea causada por errores de procesamiento o por acciones deliberadas?xSe realizan pruebas de validacin a nivel de funcionalidad. No existe una metodologa para el desarrollo de validacin y falta documentar los resultados de los chequeos.00.5012.2.3. Integridad de mensajesSe deben identificar los requerimientos para asegurar la autenticidad y proteccin de la integridad de mensaje en las aplicaciones, y se deben identificar e implementar los controles apropiadosSe han identificado los requerimientos para asegurar la autenticidad y proteger la integridad de los mensajes en las aplicaciones, y se han identificado e implementado los controles apropiados?Por ejemplo, cuando ingreso una nueva socia, el sistema reconoce e indica si es que qued un campo sin llenar? o si el rut es no vlido?xEl sistema MisFE entrega alertas adecuadas a la operacin.10012.2.4. Validacin de datos de salidaSe debe validar el output de data de una aplicacin para asegurar que el procesamiento de la informacin almacenada sea correcto y apropiado para las circunstanciasLos datos de salida de las aplicaciones, se validan para asegurar que el procesamiento de informacin almacenada es correcto y adecuado a las circunstancias?Por ejemplo, cuando entregan la query a los funcionarios, se valida que entregue datos y resultados fidedignos? xSe realizan controles y pruebas de datos de salida, adems se deja evidencia de esto.10012.3. Controles criptogrficos200012.3.1. Poltica en el uso de controles de encriptacinSe debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin Se ha desarrollado e implementado una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin?xNo existe una poltica de encriptacin en FE.00012.3.2. Administracin de clavesSe debe utilizar una gestin clave para dar soporte al uso de las tcnicas de criptografa en la organizacin Se encuentra implantada una gestin de claves para soportar el uso de tcnicas criptogrficas por parte de la organizacin?xFE no trabaja con encriptacin de claves, tampoco se puede realiza una gestin de estas. No hay poltica para el uso de herramientas de encriptacin.00012.4. Seguridad de los archivos del sistema300012.4.1. Control del software operacionalSe debe contar con procedimientos para controlar la instalacin de software en los sistemas operacionalesExisten procedimientos para el control de la instalacin de software sobre sistemas operacionales?Por ejemplo, existe un procedimiento para cambiar la versin del sw, cosa de asegurarse si falla permita volver atrs y tener resplado. Existe control de cambio?xNo existe un procedimiento de control de cambios, por lo tanto se realizan instalaciones de cambio de versin sin control.00012.4.2. Proteccin de los datos de prueba del sistemaSe debe seleccionar cuidadosamente, proteger y controlar la data de pruebaLos datos de prueba del sistema estn seleccionados cuidadosamente, protegidos y controlados?Por ejemplo, cuando pasa los datos de en sistema productivo al de prueba se borran los datos del primero?xNo se realiza un adecuado control de los datos que se llevan del sistema productivo a test, los datos quedan en ambos ambientes atentado contra la seguridad de la informacin.00012.4.3. Control de acceso al cdigo fuente de programasSe debe restringir el acceso al cdigo fuente del programaEst restringido el acceso al cdigo fuente de los programas?Por ejemplo, los accesos deben ser restringidos para tener un control de versiones que estn corriendo, esto tiene que ir de la mano con el control de cambios.xNo existe un procedimiento de control de versiones que permita garantizar que los cambios que se realizan al cdigo fuente hacen de manera ordenada y segura.00012.5. Seguridad en el desarrollo y soporte de procesos510.2112.5.1. Procedimiento de control de cambiosLa implementacin de cambios se debe controlar mediante el uso de procedimientos formales de control de cambiosSe utilizan procedimientos de control de cambios formales para controlar la implementacin de cambios?xNo existe formalmente un procedimiento de control de cambios. 00012.5.2. Revisin tcnica de aplicaciones despus de cambios al sistema operativoCuando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones crticas del negocio para asegurar que no exista un impacto adverso en las operaciones o seguridad organizacionalCuando los sistemas operativos son cambiados, todas las aplicaciones crticas del negocio son revisadas y comprobadas para asegurar que no haya un impacto adverso en las operaciones y/o la seguridad de la organizacin?Por ejemplo, si en FE las aplicaciones corren en Windows 7 y quiero subir de versin, tenemos que realizar una revisin de los aplicativos. existe un rol encargado de la revisin?xNo se controla la correcta funcionalidad antes de realizar el cambio de SO. Han ocurrido problemas con el cambio de versin de Explorer.00012.5.3. Restricciones en los cambios a los paquetes de softwareNo se deben fomentar las modificaciones a los paquetes de software, se deben limitar a los cambios necesarios y todos los cambios deben ser controlados estrictamenteLas modificaciones de los paquetes de software, son desincentivadas, limitadas a los cambios necesarios y todos los cambios son estrictamente controlados?Por ejemplo, cuando venden un paquete de sw a FE les realizan cambios? Lo ideal es no hacerlo porque si compran la nueva versin se pueden perder estos cambios.xNo existe un proceso de gestin de cambio para la actualizaciones de software. 00012.5.4. Fuga de informacinSe deben evitar las oportunidades de fuga de informacin Se han prevenido las oportunidades de fuga de informacin?Por ejemplo, existe un control para prevenir la fuga de informacin cuando instalan un sw pirata ?xNo existe una poltica o control que impidan la fuga de informacin propia y sensible de FE. No se realiza un monitoreo de los recursos de sistema.00012.5.5. Desarrollo de software en outsourcingEl desarrollo de software que ha sido outsourced debe ser supervisado y monitoreado por la organizacin El desarrollo de software realizado en outsourcing, est siendo supervisado y monitoreado por la organizacin?Por ejemplo, el contrato indica que FE es dueo propiedad de cdigos, derechos de propiedad intelectual?xEn el contrato marco de Consultora, Diseo, Desarrollos, Capacitaciones e Implementacin de Aplicaciones y Plataformas de Software, indica que FE es dueo de cdigos y derechos de propiedad intelectual.10012.6. Gestin de vulnerabilidades tcnicas100012.6.1. Control de debilidades tcnicas de seguridadSe debe obtener informacin oportuna sobre las vulnerabilidades tcnicas de los sistemas de informacin en uso; se debe evaluar la exposicin de la organizacin ante esas vulnerabilidades; y se deben tomar las medidas apropiadas para tratar el riesgo asociadoSe obtiene oportunamente informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin que estn en uso, la exposicin a dichas vulnerabilidades es evaluada y se toman las medidas oportunas para tratar el riesgo asociado?Por ejemplo, se idenfican las vulnerabilidades tcnicas de colocar un parche a un desarrollo? se identifican riesgos asociados a estas vulnerabilidades? xNo se evidencia que se realicen pruebas de vulnerabilidad y de evaluacin de riesgo sobre la plataforma tecnolgica.00013. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN50.510%13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades200013.1.1. Reporte de eventos de seguridad de la informacinLos eventos de seguridad de la informacin deben reportarse a travs de los canales gerenciales apropiados lo ms rpidamente posibleLos eventos de seguridad de la informacin estn siendo reportados a los canales de gestin adecuados tan pronto como sea posible?Por ejemplo, existe un procedimiento de reporte de que indique la falta de seguridad en la cual se incurri, y cual ser la amonestacin, y que adems sea conocida por FE? esto no tiene nada que ver con los incidentes de problemas tcnicoxNo existe un procedimiento conocido por la organizacin para el reporte de indicentes de seguridad, en el reglamento interno slo existe un lineamiento.00013.1.2. Reporte de debilidades de seguridadSe debe requerir que todos los empleados, contratistas y terceros usuarios de los sistemas y servicios de informacin tomen nota y reporten cualquier debilidad observada o sospechada en la seguridad de los sistemas o serviciosSe requiere que los empleados contratistas y terceras partes, usuarios de sistemas de informacin, tomen nota y denuncien cualquier vulnerabilidad de seguridad en los sistemas o en los servicios, que observen o sospechen?Por ejemplo, existe un alineamiento con casa central de FE, oficinas, Link Humano y terceros de la existencia del reporte? xExiste un reporte informal (verbal), pero est presente un procedimiento para denunciar incidentes de seguridad.00013.2. Gestin de incidentes y mejoras de seguridad de la informacin 30.50.16666666670.513.2.1. Responsabilidades y procedimientosSe deben establecer las responsabilidades y procedimientos gerenciales para asegurar una respuesta rpida, efectiva y ordenada a los incidentes de seguridad de la informacin Se encuentran establecidos las responsabilidades y los procedimientos necesarios para establecer una respuesta rpida, efectiva y ordenada cuando se presentan incidentes de seguridad de la informacin?Por ejemplo, se encuentran categorizados los incidentes y responsabilidades? se realiza gestin de incidencias?xNo existe un procedimiento formal de incidentes de seguridad de la informacin, por lo tanto, no se encuentran categorizados.00013.2.2. Aprender de los incidentes de seguridad de la informacinDeben existir mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin Existen mecanismos para establecer los tipos, volmenes y costos referidos a incidentes de seguridad de la informacin, que deban ser cuantificados y monitorizados?Por ejemplo, tenemos identificados los incidentes recurrentes y de alto impacto? Se realiza gestin?xNo existe un procedimiento formal de incidentes de seguridad de la informacin, por lo cual, no se puede establecer un registro general que permita establecer estadsticas de incidentes y aprender de los incidentes ocurridos con anterioridad.00013.2.3. Recoleccin de evidenciaCuando la accin de seguimiento contra una persona u organizacin despus de un incidente en la seguridad de la informacin involucra una accin legal (sea civil o criminal), se debe recolectar, mantener y presentar evidencia para cumplir las reglas de evidencia establecidas en la(s) jurisdiccin(es) relevantesCuando se presenta una accin de seguimiento en contra de una persona u organizacin despus que un incidente de seguridad de la informacin implica una accin legal (ya sea criminal o civil): Por ejemplo, cuando se comete una falta a la seguridad, se recolecta evidencias?La evidencia, es recogida, retenida y presentada conforme a las reglas para la evidencia colocada en la jurisdiccin relevante?xSe ha evidenciado que se realizado denuncias de seguridad de informacin, las que son asesoradas con abogado. Sin embargo no existe un procedimiento formal para realizar la denuncia.00.5014. GESTIN DE CONTINUIDAD DEL NEGOCIO50.510%14.1. Gestin de los aspectos de seguridad de la continuidad del negocio50.50.10.514.1.1. Inclusin de la informacin de seguridad en el proceso de administracin de la continuidad del negocioSe debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a travs de toda la organizacin para tratar los requerimientos de seguridad de la informacin necesarios para la continuidad comercial de la organizacinSe ha desarrollado y mantenido un proceso de gestin para la continuidad del negocio de toda la organizacin que trate los requerimientos de seguridad de la informacin que se necesitan para la continuidad del negocio de la organizacin?Por ejemplo, la idea es que FE tenga interiorizado que est en riesgo de seguridad de informacin, que tenga los activos idenficados, que contemple seguros, incluya controles preventivos, garantizar la seguridad de los trabajadores. Asegurar la continuidad del negocio.xNo se encuentra formalmente establecido e implementado un Plan de Continuidad del Negocio (BCP) para FE, por lo tanto los aspectos de disponibilidad y seguridad de la informacin no estn siendo contemplados. FE cuenta con un plan de continuidad en Prevencin de Riesgo solamente.00014.1.2. Continuidad del negocio y evaluacin de riesgosSe deben identificar los eventos que causan interrupciones en los procesos comerciales, junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de la informacinSe han identificados todos los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad y el impacto de dichas interrupciones, y sus consecuencias para la seguridad de la informacin?Por ejemplo, se evalan los riesgos asociados a la continuidad de FE, se han categorizados y priorizados? se realiza un BCP (plan de continuidad del negocio). Si falla o se incendia casa central, cunto cuesta continuar el negocio en otro lugar?xSe realiza evaluacin de riesgo a la continuidad del negocio a nivel operativo en un 50% aproximadamente el resto se encuentra en carpeta y la prioridad ha sido entregada por el directorio.No hay plan de continuidad de negocio BCP, este se encuentra en carpeta.00.5014.1.3. Desarrollo e implementacin de planes de continuidad incluyendo seguridad de la informacinSe deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falla en los procesos comerciales crticosSe han desarrollado e implantado planes para mantener o recuperar las operaciones y asegurar la disponibilidad de la informacin al nivel y en la escala de tiempo requeridos ante una interrupcin o fallo de los procesos crticos de negocio?Por ejemplo, se desarrolla lo anterior incorporando seguridad de informacin (recuperacin, restaruracin, educacin de las personas, entre otros)xNo se encuentra formalmente establecido e implementado un Plan de Continuidad del Negocio (BCP) para FE, se encuentra en carpeta.00014.1.4. Modelo para la planeacin de la continuidad del negocioSe debe mantener un solo marco referencial de planes de continuidad comercial para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la informacin e identificar las prioridades de pruebas y mantenimientoSe mantiene un solo marco de planes de continuidad de negocio que asegure que todos los planes son consistentes, para tratar los requerimientos de la seguridad de la informacin consistentemente, y para identificar las prioridades para las pruebas y el mantenimiento?Por ejemplo, tienen BCP, existe una definicin de roles y responsabilidades, acciones, educacin, activos.xNo se encuentra formalmente establecido e implementado un Plan de Continuidad del Negocio (BCP) para FE, se encuentra en carpeta.00014.1.5. Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocioLos planes de continuidad comercial se deben probar y actualizar regularmente para asegurar que estn actualizados y sean efectivosLos planes de continuidad de negocio son probados y modificados para asegurar que son efectivos y se encuentran al da?Por ejemplo, esto apunta a que todas las personas de FE, Link Humano y terceros est en conocimiento del BCP.xNo se encuentra formalmente establecido e implementado un Plan de Continuidad del Negocio (BCP) para FE, se encuentra en carpeta.00015. CUMPLIMIENTO10110%15.1. Cumplimiento de los requerimientos legales610.1666666667115.1.1. Identificacin de la legislacin aplicableSe deben definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales y el enfoque de la organizacin relevante para cada sistema de informacin y la organizacin Todos los requerimientos estatutarios, regulatorios y contractuales, y el enfoque de la organizacin para cumplir con estos requerimientos, se encuentran explcitamente definidos, documentados y mantenidos al da para cada uno de los sistemas de informacin y para la organizacin?Por ejemplo,... esto apunta a definir controles y responsabilidades individuales...Existe un asesor legal externo que nos indique si estamos bajo un incuplimiento de propiedad intelectual y delitos informticos?xNo existe un asesor externo que responda a las necesidades y requerimientos legales de FE. De todos modos, no se lleva un registro de control de licencias de software instalados, lo cual implica incumplimiento de Ley 17336 de Propiedad Intelectual o Ley 19223 sobre Delitos Informticos.00015.1.2. Derechos de propiedad intelectual (IPR)Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de los productos de software patentadosSe han implementado los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales respecto al uso de materiales que pudieran estar protegidos por los derechos de propiedad intelectual, e igualmente respecto al uso de productos software propietario?Por ejemplo, se realizan chequeos para que se instalen slo sw autorizados y productos con licencias?... existen polticas para eliminar y transferir sw?xNo existe un procedimiento regulatorio que revise que slo se instalen software autorizados y productos con licencias, lo cual implica incumplimiento de Ley 17336 de Propiedad Intelectual o Ley 19223 sobre Delitos Informticos. 00015.1.3. Proteccin de los registros de la organizacinSe deben proteger los registros importantes de una organizacin de prdida, destruccin y falsificacin, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comercialesLos registros importantes estn protegidos de prdida, destruccin y falsificacin, de acuerdo con los requerimientos estatutarios, regulatorios, contractuales y del negocio?xExiste una buena prctica que no cumple a cabalidad con el marco de la norma. Falta un procedimiento formal que regule los respaldos y custodia de la data de las socias.00.5015.1.4. Proteccin y privacidad de la informacin personalSe deben asegurar la proteccin y privacidad tal como se requiere en la legislacin relevante, las regulaciones y, si fuese aplicable, las clusulas contractualesSe estn aplicando controles para asegurar la proteccin y la privacidad de los datos, tal y como se requiere por la legislacin, regulaciones aplicables y, si fuera el caso, clusulas contractuales?Por ejemplo, xExiste una buena prctica de privacidad y resguardo de la informacin del personal de FE. Ya que mucha informacin que se encuentra en archivadores (sistema de almacenaje) sin respaldo, lo cual genera un riesgo a la prdida de informacin ante un incidente mayor.00.5015.1.5. Prevencin del mal uso de la infraestructura para el procesamiento de informacinSe debe desanimar a los usuarios de utilizar los medios de procesamiento de la informacin para propsitos no autorizadosSe ha disuadido a los usuarios de utilizar la infraestructura de procesamiento de la informacin para propsitos no autorizados?xExiste una mencin en el Manual Interno vigente, aunque se detecta que la mayora de los usuarios no son conscientes de la aplicacin de esta poltica en su actividad diaria.00015.1.6. Regulacin de controles criptogrficosSe deben utilizar controles en cumplimiento con los acuerdos, leyes y regulaciones relevantesSe estn utilizando controles criptogrficos de acuerdo con las leyes, regulaciones y acuerdos relevantes?xNo se hace mencin a la legislacin aplicable como la Ley 19799 de Firma Electrnica y Firma Digital donde se tratan aspectos relacionados con certificados digitales.00015.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico200015.2.1. Cumplimiento de polticas y estndares de seguridadLos gerentes deben asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad sean realizados correctamente en cumplimiento con las polticas y estndares de seguridadLos directivos se aseguran de que todos los procedimientos de seguridad dentro de su rea de responsabilidad, se realizan correctamente para asegurar el cumplimiento con los estndares y polticas de seguridad de la organizacin?xNo existen polticas ni estndares de seguridad, los gerentes realizan una supervisin y toman acciones de sentido comn.00015.2.2. Verificacin del cumplimiento tcnicoLos sistemas de informacin deben chequearse regularmente para el cumplimiento con los estndares de implementacin de seguridad. Los sistemas de informacin son revisados regularmente en cumplimiento de los estndares de implementacin de la seguridad?xNo existen estndares. Por lo cual no se realizan controles para asegurar que se mantienen los estndares de seguridad para las plataformas tecnolgicas y sistemas de FE.00015.3. Consideraciones de auditoria de sistemas de informacin200015.3.1. Controles de auditora de los sistemas de informacinSe deben planear cuidadosamente los requerimientos y actividades de las auditoras que involucran chequeo de los sistemas operacionales y se debe acordar minimizar el riesgo de interrupciones en los procesos comerciales.Los requerimientos y las actividades de auditora sobre los sistemas operativos, que involucran revisiones, son cuidadosamente planeados y acordados para minimizar el riesgo de perturbar los procesos del negocio?xExiste y un cumplen con auditoras de terceros, pero no existen auditoras a los sistemas de informacin.00015.3.2. Proteccin de herramientas de auditoria de los sistemas de informacin Se debe proteger el acceso a las herramientas de auditora de los sistemas de informacin para evitar cualquier mal uso o compromiso posible.El acceso a las herramientas de auditora de los sistemas de informacin, est protegido para prevenir cualquier uso inadecuado o el compromiso de su seguridad?xNo existen auditoras a los sistemas de informacin.000

Resultados por objetivos

Proyecto: FE Gestin de Seguridad de la InformacinNivel de madurez por dominios de seguridad Total objetivos39Resultados por objetivosResultado ponderado5. POLTICA DE SEGURIDAD0.00%100.00%5.1. Poltica de seguridad de la informacin0.00%6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN22.73%20.45454545451.17%6.1. Organizacin Interna18.75%6.2. Entidades externas33.33%7. GESTION DE ACTIVOS10.00%20.20.51%7.1. Responsabilidad de los activos16.67%7.2. Clasificacin de la Informacin 0.00%8. SEGURIDAD DE LOS RECURSOS HUMANOS66.67%325.13%8.1. Previo al empleo 66.67%8.2. Durante el empleo 66.67%8.3. Finalizacin o cambio de empleo66.67%9. SEGURIDAD FSICA Y AMBIENTAL11.54%20.23076923080.59%9.1. reas seguras8.33%9.2. Seguridad de los equipos14.29%10. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES31.03%103.10344827597.96%10.1. Responsabilidad y procedimientos operacionales37.50%10.2. Gestin de servicios por terceras partes33.33%10.3. Planificacin y aceptacin del sistema25.00%10.4. Proteccin contra cdigo mvil y malicioso0.00%10.5. Back-up50.00%10.6. Gestin de seguridad en la red50.00%10.7. Gestin de soportes12.50%10.8. Intercambio de informacin37.50%10.9. Servicios de comercio electrnico 50.00%10.10. Monitoreo33.33%11. CONTROL DE ACCESO24.00%71.684.31%11.1. Requerimientos de negocio para el control del acceso0.00%11.2. Gestin de accesos de usuarios 37.50%11.3. Responsabilidades de usuario33.33%11.4. Control de acceso a redes28.57%11.5. Control de acceso al sistema operativo16.67%11.6. Control de acceso a la informacin y las aplicaciones25.00%11.7. Informtica mvil y teletrabajo0.00%12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN28.13%61.68754.33%12.1. Requerimientos de seguridad de los sistemas de informacin0.00%12.2. Procesamiento correcto en las aplicaciones87.50%12.3. Controles criptogrficos0.00%12.4. Seguridad de los archivos del sistema0.00%12.5. Seguridad en el desarrollo y soporte de procesos20.00%12.6. Gestin de vulnerabilidades tcnicas0.00%13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN10.00%20.20.51%13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades0.00%13.2. Gestin de incidentes y mejoras de seguridad de la informacin 16.67%14. GESTIN DE CONTINUIDAD DEL NEGOCIO10.00%10.10.26%14.1. Gestin de los aspectos de seguridad de la continuidad del negocio10.00%15. CUMPLIMIENTO10.00%30.30.77%15.1. Cumplimiento de los requerimientos legales16.67%15.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico0.00%15.3. Consideraciones de auditoria de sistemas de informacin0.00%

Resultados por dominio

Proyecto: FE Gestin de Seguridad de la InformacinNivel de madurez por dominios de seguridad

Nivel de cumplimiento por dominio- Anlisis de brechas respecto a los controles requeridos por el estndarResultado ponderadoDominioResultado 5. POLTICA DE SEGURIDAD0.00%0.00%6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN22.73%1.17%7. GESTION DE ACTIVOS10.00%0.51%8. SEGURIDAD DE LOS RECURSOS HUMANOS66.67%5.13%9. SEGURIDAD FSICA Y AMBIENTAL11.54%0.59%10. GE