Anda di halaman 1dari 11711

CHECKLIST ESTNDAR SECCIN

A.5
A.5.1
A.5.1.1 Polticas de Seguridad de la Informacin
A.51.2 Revisin de las polticas de seguridad de la
informacin
A.6
A.6.1
A.6.1.1 Roles y responsabilidades sobre la seguridad
de la informacin
A.6.1.2 Segregacin de tareas
A.6.1.3 Contacto con las autoridades
A.6.1.4 Contacto con grupos de inters especial
A.6.1.5 Seguridad de la informacin en gestin de
proyectos
A..6.2
A.6.2.1 Poltica de dispositivos mviles
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
REFERENCIA AREA DE EVALUACIN DE CUMPLIMIENTO
POLTICAS DE SEGURIDAD DE LA INFORMACIN
Gestin de la Informacin por la Direccin
Organizacin Interna
Dispositivos mviles y teletrabajo
A.6.2.2 Teletrabajo
A.7
A.7.1
A.7.1.1 Investigacin
A.7.1.2 Trminos y condiciones de empleo
A.7.2
A.7.2.1 Responsabilidades de la direccin y la gerencia
A.7.2.2 Toma de conciencia, educacin y capacitacin
del personal y contratistas
A.7.2.3 Procesos disciplinario
A.7.3
A.7.3.1 Responsabilidades ante la desvinculacin y
cambio de empleo
Desvinculacin y cambio de empleo
Seguridad en la Gestin de Recursos Humanos
Previo al empleo
Durante el empleo
8
A.8.1
A.8.1.1 Inventario de Activos
A.8.1.2 Propiedad de los Activos
A.8.1.3 Uso aceeptable de los Activos
A.8.1.4 Devolucin de los Activos
A.8.2
A.8.2.1 Clasificacin de la Informacin
A.8.2.2 Etiquetado de la informacin
A.8.2.3 Manipuleo de los Activos
A.8.3
A.8.3.1 Gestin de medios removibles
A.8.3.2 Eliminacin de medios removibles
A.8.3.3 Logstica de medios fsicos
A.9
A.9.1 Requisitos de Acceso con base contractual y del giro del negocio
Gestin de Activos
Responsabilidad sobre los activos
Clasificacin de la Informacin
Manejo de medios
Control de Accesos
A.9.1.1 Poltica de control de Accesos
A.9.1.2 Acceso a redes y Servicios en red
A.9.2
A.9.2.1 Registracin y baja de usuarios
A.9.2.2 Provisin de acceso al usuario
A.9.2.3 Gestin de derechos de accesos privilegiados
A.9.2.4 Gestin de la Informacin de autenticacin
secreta
A.9.2.5 Revisin de los derechos de acceso de usuarios
A.9.2.6 Remocin o ajuste de derchos de acceso
A.9.3
A.9.3.1 Uso de la informacin de autenticacin secreta
A.9.4
A.9.4.1 Restricciones de Acceso a la informacin
A.9.4.2 Procesos de acceso seguro
A.9.4.3 Sistema de gestin de claves
A.9.4.4 Uso de programas utilitarios privilegiados
A.9.4.5 Control de acceso al cdigo fuente del
programa
A.10
A.10.1
Gestin de Acceso de Usuarios
Responsabilidades de los Usuarios
Control de Accesos a sistemas y aplicaciones
Criptografa
Controles criptogrficos
A.10.1.1 Poltica de uso de controles criptogrficos
A.10.1.2 Gestin de Claves
A.11
A.11.1
A.11.1.1 Permetro de seguridad fsica
A.11.1.2 Controles de entrada fsica
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.1.1
reas aseguradas
Segurdiad Fsica y Ambiental
PUNTOS DE EVALUACIN INICIAL
1. Existen polticas de seguridad? 2.
Estn aprobadas por la Direccin? 3.
Son adecuadamente comunicadas a todos los
empleados?
1. Las polticas de seguridad son revisadas? 2.
Son revisadas a intervalos programados? 3. Se
revisan en caso de ocurrir cambios significativos?
Las responsabilidades sobre los activos individualizados,
para ejecutar determinados procesos de seguridad,
estn claramente identificadas, definidas y comunicadas
a las partes relevantes?
Estn las tareas y las reas de seguridad separadas de
modo de reducir las oportunidades de acceso,
modificacin y uso no autorizado de la informacin o
del servicio?
1. Existe un procedimiento que indica cundo y quien se
comunica con las autoridades relevantes (rganos
reguladores)? 2. Hay un
proceso que detalla cmo y cundo se debe realizar
dicho contacto? 3. Hay un
proceso para contacto rutinario y para compartir
inteligencia?
Algunos miembros relevantes de la oganizacin
mantienen membresa en grupos de intereses
relevantes o especiales?
Los proyectos reciben asesoramiento sobre seguridad
de la informacin?
1. Existe una poltica para dispositivos mviles? 2.
Cuenta con la aprobacin de la direccin? 3.
Documenta y comprende los riesgos adicionales que
afectan los dispositivos mviles (robo, uso de puntos de
acceso inalmbricos abiertos, etc)?
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
AREA DE EVALUACIN DE CUMPLIMIENTO
POLTICAS DE SEGURIDAD DE LA INFORMACIN
Gestin de la Informacin por la Direccin
Organizacin Interna
Dispositivos mviles y teletrabajo
1. Existe una poltica para teletrabajo? 2.
Cuenta con la aprobacin de la direccin? 3. Hay
un procesos determinado por el cual se brinda acceso a
los trabajadores remotos? 4. Se les provee de
asesoramiento y equipos para la proteccin de sus
activos?
1. Se llevan a cabo chequeos de antecedentes a todos
los candidatos a un puesto de trabajo? 2. Estos
controles estn aprobados por el nivel directivo
apropiado? 3. Los
controles cumplen con la legislacin y regulacin
vigente como con la tica? 4. Los niveles
de control estn apoyados en la evaluacin de riesgos?
1. Se eixige la firma de convenios de confidencialidad y
no divulgacin de informacin a todo empleado y
contratista? 2. Los contratos de
empleo y de servicio incluyen clusula especfica de
proteccin de la informacin?
1. Estn todos los niveles gerenciales de la organizacin
involucrados en la gestin de la informacin de la
empresa? 2. La actitud y
poltica de cada gerente, impulsa la aplicacin de los
procesos de seguridad de la informacin en sus
dependientes, contratistas y terceros interesados?
Todos los empleados, contratistas y terceros usuarios
son capacitados regularmente en seguridad de la
informacin en relacin a sus funciones y roles dentro
de la organizacin?
Existe un proceso formal que permita a la empresa
adoptar medidas disciplinarias contra empleados y
contratistas que hayan violado la seguridad de la
informacin?
1. Existe un procedimiento documentado que indica
qu tareas realizar frente a una desvinculacin o
cambio de empleo? 2. Hay tareas de
seguridad de la informacin que subsiten a la
terminacin del contrato que deban ser comunicadas al
empleado o contratista? 3. Es capaz la empresa
de cumplir con las tareas que subsisten a la terminacin
del empleo?
Desvinculacin y cambio de empleo
Seguridad en la Gestin de Recursos Humanos
Previo al empleo
Durante el empleo
1. Existe un inventario de todos los activos asociados a
la informacin y las instalaciones realcionadas a la
informacin? 2. El inventario es
preciso y exacto y est actualizado?
Todos los activos de la informacin deben tener un
propietarios con sus responsabilidades claramente
asignadas.
1. Existe una poltica de uso aceptable para cada clase o
tipo de activo de la informacin? 2. Cada
usuario es capacitaco en dicha poltica antes de
permitirle su uso?
Hay un procesos que indica el mecanismo de
devolucin de los activos por parte de empleados,
contratistas o terceros al finalizar el contrato, empleo o
acuerdo?
1. Existe una poltica que regule la clasificacin de la
informacin? 2.
Hay un proceso que permita la adecuada clasificacin
de la informacin?
Existe un proceso o procedimiento que permita marcar
sobre cada activo la informacin clasificada que
contiene o maneja?
1. Existe un procedimiento para el manejo de cada
informacin clasificada? 2. Los usuarios de la
informacin conocen claramente dicho procedimiento?
1. Existe una poltica que regule los medios removibles?
2. Hay un proceso que indique cmo se gestionan los
medios removibles? 3. Se
les comunica a todos los empleados y contratistas que
acceden a medios removibles de esta poltica y
proceso?
Existe un proceso formal que indica cmo se eliminan
los medios removibles?
1. Existe una poltica y proceso documentado que
regule el transporte de medios fsicos? 2.
Durante el transporte, se protege al medio de acceso y
uso no autorizado, incluso para su destruccin?
Requisitos de Acceso con base contractual y del giro del negocio
Gestin de Activos
Responsabilidad sobre los activos
Clasificacin de la Informacin
Manejo de medios
Control de Accesos
1. Existe una poltica documentada de control de
accesos?
2. Est basada en requisitos contractuales y del giro del
negocio? 3.
Est comunicada adecuadamente?
Se activaron controles que permitan el acceso de
usuarios a redes que han sido previamente autorizadas
a usar en relacin a sus tareas exclusivamente?
Existe un proceso formal que regule la registracin de
usuarios?
Hay un proceso formal de provisin de acceso al usuario
que le asigne derechos de acceso segn su tipo o
categora de usuario o servicio?
Las cuentas de acceso privilegiado, se gestionan y
controlan por separado?
Hay un proceso formal de gestin de asignacin de la
informacin de autenticacin secreta?
1. existe un proceso que regule como los dueos de
activos pueden revisar sus derechos de acceso
regulamente?
2. Se verifica la revisin de este proceso?
Hay un proceso que indica como remover los derechos
de acceso frente a la terminacin de un contrato de
empleo o de servicio, o de ajuste frente a un cambio de
roles o funciones?
1. Existe una poltica documentada que regula la
modalidad de gestin de la informacin de
autenticacin secreta? 2.
Est comunicada a todos los usuarios?
El acceso a las funciones de informacin y sistemas de
aplicacin, est restringido y alineado con la poltica de
acceso?
Cuando asi lo requiera la poltica de control de acceso,
el acceso est contolado por un proceso de acceso
seguro?
1. Los sistemas de claves, son interactivos? 2. Se
requieren claves complejas?
Los programas utilitarios privilegiados, estn restrigidos
y son montioreados?
Est protegido el acceso al cdigo fuente del Sistema de
Control de Accesos?
Gestin de Acceso de Usuarios
Responsabilidades de los Usuarios
Control de Accesos a sistemas y aplicaciones
Criptografa
Controles criptogrficos
Hay una poltica de uso de controles criptogrficos?
Hay una poltica que regula el ciclo de vida completo de
las claves criptogrficas?
1. Se ha designado un permetro de seguridad fsica?
2. Las reas de informacin crtica y sensible estn
separadas y son controladas apropiadamente?
Las reas aseguradas disponen de sistemas de control
de entrada adecuados para asegurar el ingreso de
personal autorizado exclusivamente?
reas aseguradas
Segurdiad Fsica y Ambiental
HALLAZGOS VALORACIN
0%
0%
0%
0%
0%
0%
0%
0%
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
RESULTADOS
POLTICAS DE SEGURIDAD DE LA INFORMACIN
Gestin de la Informacin por la Direccin
Organizacin Interna
Dispositivos mviles y teletrabajo
0%
0%
0%
0%
0%
0%
0%
Desvinculacin y cambio de empleo
Seguridad en la Gestin de Recursos Humanos
Previo al empleo
Durante el empleo
Requisitos de Acceso con base contractual y del giro del negocio
Gestin de Activos
Responsabilidad sobre los activos
Clasificacin de la Informacin
Manejo de medios
Control de Accesos
Gestin de Acceso de Usuarios
Responsabilidades de los Usuarios
Control de Accesos a sistemas y aplicaciones
Criptografa
Controles criptogrficos
reas aseguradas
Segurdiad Fsica y Ambiental