Documente Academic
Documente Profesional
Documente Cultură
10 Bajo
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Vulnerabilidades
Vulnerabilidades
9 9 18 27 36 45 54
8 8 16 24 32 40 48
7 7 14 21 28 35 42
6 12 18 24 30 36
IMPACTO
6
5 5 10 15 20 25 30
4 4 8 12 16 20 24
3 3 6 9 12 15 18
2 2 4 6 8 10 12
1 1 2 3 4 5 6
1 2 3 4 5 6
PROBABILIDAD DE OCURRENCIA
63 72
56 64
49 56 RIESGO
42 48 Bajo 1 a 23
35 40 Medio 24 a 48
28 32 Alto 49 a 72
21 24
14 16
7 8
7 8
CIA
Tipo de Activo Vulnerabilidades Amenazas
1 2 3 4 5 6 1 2 3 4 5 6 1
SFA10 A.8.3.2
GCO06
CA18
SFA10 A.8.3.2
CA01 CA02 CA03 CA04 CA05 A.9.1.1 A.9.3.1 A.9.4.3 A.9.2.2 A.9.2.5 C.3.4
GCO09 A.12.3.1
SP05 A.7.2.2
SP02 A.7.1.1
GCO18 A.13.2.3
CA27 A.6.2.1
CA28
GCO09 A.12.3.1
GCO09 SFA06 A.12.3.1 A.11.1.4
CL06 A.18.2.3
SP04 A.7.1.2
VS01 A.16.1.1
2 3 4 5 6
C.3.4
C.5.2
C.4
A.3.3 A.3.4
A.3.3 A.3.4
Redes y Conocimiento procesos de
Sofware Soportes Hardware Informacin
telecomunicaciones negocio
TIPO DE
ACTIVO
ACTIVO
(Sistema de tratamiento)
AMENAZA
VULNERABILIDAD
Redes y
Personal y organizacin Sito telecomunica
Tratamiento del riesgo Controles
Riesgo Estado actual
Mitgar Aceptar Eliminar Transferir actuales
Bajo X NE
X X DO
X IM
X RE
X MO
X MC
AU
Controles Responsable
propuestos
CONTROLES GSGSDP
Clave Dominio
1 PO01
Poltcas del SGSDP
2 PO02
3
CL01
4 CL02
5 CL03 Cumplimiento legal
6 CL04
7 CL05
8 Cl06
9 CL07
10 EO01
11 EO02
12 EO03
13 EO04
Estructura organizacional de la
14 EO05 seguridad
15 EO06
16
EO07
17 EO08
18 CYA01
22 SP01
23 SP02
24 SP03
25
SP04
Seguridad del personal
26 SP05
27 SP06
28 SP07
29 SP08
30 SP09
31 SP10
32 SFA01
33 SFA02
34 SFA03
35 SFA04
36 SFA05
37
SFA06
Seguridad fsica y ambiental
38 SFA07
39 SFA08
40 SFA09
41 SFA10
42 SFA11
43 SFA12
44 GCO01
45 GCO02
46 GCO03
47 GCO04
48 GCO05
49
GCO06
50
GCO08
51
GCO09
55 GCO13
56 GCO14
57 GCO15
58
GCO16
60 GCO17
61 GCO18
62
GCO19
63 GCO20
64
GCO21
65 CA01
66
CA02
67 CA03
68 CA04
69 CA05
70 CA06
71 CA07
72 CA08
73 CA09
74 CA10
75 CA11
76 CA12
77 CA13
78 CA14
79 CA15
Control de acceso
80 CA16
81 CA17
82 CA18
83 CA19
84 CA20
85 CA21
86 CA22
87 CA23
88 CA24
89 CA25
90 CA26
92
CA27
93
94 CA28
95 CA29
96 DMS01
97 DMS02
98 DMS03
99
DMS04
104 DMS09
105 DMS10
106 DMS11
107 VS01
Vulneraciones de Seguridad
108 VS02
109 VS03
CONTROLES GSGSDP
Controles de seguridad ISO/IEC 27001:2013 GUIA MIPYMES
Poltcas de gestn de datos personales A.5.1.1
A.18.1.1
Identficacin de legislacin/regulacin aplicable
A.12.3.1
Respaldo de la informacin
Registros de operadores
Registro de fallas A.12.4.1
A.13.1.1 C.5.4
Controles de red
Disociacin y Separacin
Trazabilidad de tratamiento
Aislamiento de sistemas sensibles
Registro de eventos A.16.1.2 A.1.4
Monitorear el uso del sistema
Sincronizacin de relojes A.12.4.4
Dispositvos mviles internos. A.6.2.1
A.6.2.1
Dispositvos mviles externos.
A.10.1.1 A.10.1.2
Cifrado C.3.1
Firmas electrnicas
Servicios de no-repudio
Control de sofware y sistemas A.12.5.1 A.14.2.2 C.2
Proteccin de datos de prueba del sistema A.14.2.8
8 Gestn de actvos
A.3.4
B.2.3
B.2.3
B.2.3
9 Control de acceso
A.2.2
10 Controles criptogrficos
18 Cumplimiento
CONTROLES
ISO/IEC 27001:2013
informacin
d de la informacin
6.1 Organizacin interna
al
11.1 reas seguras
11.2 Equipo
12.1 Procedimientos y responsabilidades operacionales
12.3 Respaldos
eguridad de la informacin
16.1 Gestn de incidentes de seguridad de la informacin y
mejoras
17.2 Redundancias
A1 Pones atencin en
A.3.3
A.3.4
A.7.1.1 Deteccin A.3.5
B.1.1
B.1.2
A.8.1.1 Inventario de los actvos B.2 Tienes medidas de
A.8.1.2 Propiedad de los actvos B.2.1
A.8.1.3 Uso aceptable de los actvos B.2.2
A.8.1.4 Devolucin de los actvos B.2.3
B.3 Cuidas el movimien
A.8.2.1 Clasificacin de la informacin B.3.1
A.8.2.2 Etquetado de la informacin B.3.2
A.8.2.3 Manejo de los actvos B.3.3
C.6.2
rmacin
s proveedores
A.15.1.1Poltca de seguridad de la informacin en las relacin con los
proveedores
A.15.1.2 Abordar la seguridad dentro de acuerdos con proveedores
Tienes procedimientos para actuar ante vulneraciones a la seguridad de los datos personales?
Identficacin de
CL01 legislacin/regulacin aplicable
Salvaguarda de registros
4 CL02 organizacionales
Revisin de cumplimiento
7 CL05 tcnico
Controles de auditora de
8 Cl06 sistemas
Administracin y Coordinacin
10 EO01 de la seguridad de la
informacin
Designacin de deberes en
11 EO02 seguridad y proteccin de
datos personales
Recomendaciones de un
12 EO03 especialista en seguridad de la
informacin
Cooperacin con
13 EO04 organizaciones
Estructura
organizacional de la
seguridad
14 EO05 Revisin de implementacin
Estructura
organizacional de la
seguridad
Identficacin de riesgos de
15 EO06 terceros
16
Requerimientos de seguridad
en contratos con servicios de
17 EO08 almacenamiento de
informacin y computo en la
nube
Inventario y clasificacin de
18 CYA01 datos personales
Inventario y
19 CYA02 clasificacin de datos
personales
Clasificacin y acceso
a los actvos
20 CYA03 Inventario de actvos
Clasificacin y acceso
a los actvos
Identficacin de
21 CYA04 procesos de datos
personales
Identficar responsabilidades
22 SP01 de seguridad en cada puesto
de trabajo
25
Trminos y condiciones de
SP04 empleo
Seguridad del
personal
Reporte de incidentes de
27 SP06 seguridad
Reporte de vulneraciones de
28 SP07 seguridad
Reporte de fallas en
29 SP08 funcionamiento
30 SP09 Aprendizaje de incidentes
Seguridad de oficinas e
34 SFA03 instalaciones
37
Seguridad fsica y
ambiental
Seguridad fsica y
ambiental
Aseguramiento de equipo
40 SFA09 fuera de las instalaciones
Aseguramiento de eliminacin
41 SFA10 de soportes fsicos/electrnicos
Control de cambios
44 GCO01 operacionales
Administracin externa de
48 GCO05 instalaciones
49
Estndares de configuracin
GCO06 segura y actualizacin de
sistemas.
50
51
Gestn de
comunicaciones y
53 GCO11 operaciones Registro de fallas
54
Documentacin de seguridad
56 GCO14 del sistema
Seguridad de medios en
57 GCO15 trnsito
58
Seguridad de correo
60 GCO17
electrnico
Seguridad en sistemas
61 GCO18 electrnicos
62
Sistemas disponibles de
GCO19 manera pblica
64
CA02
Gestn de usuarios y
contraseas
Identficacin automtca de
79 CA15 terminales
Aislamiento de sistemas
86 CA22 sensibles
92 CA27
93 CA27
Almacenamiento privado
94 CA28 dentro del entorno de
operacin
95 CA29 Teletrabajo
99
DMS04 Cifrado
Contratacin de servicios de
106 DMS11 sofware
Procedimientos de accin en
107 VS01 caso de incidente o vulneracin
de seguridad
Vulneraciones de
Seguridad
Vulneraciones de Procedimientos de notficacin
108 VS02 Seguridad de vulneraciones de seguridad
a ttulares
Procedimientos de
109 VS03 actualizacin de SGSDP
Medidas/Descripcin Estado actual Ejemplos
Identficar insttuciones
intermedias que envan
Se deben identficar y documentar los deberes y informacin regulatoria como
responsabilidades de toda la organizacin para IMSS, SAT.
cumplir con los requerimientos legales y contractuales Identficar contratos de obligan a
relacionados con la proteccin de datos personales. compartr datos y agregar
clusulas de PDP y controles
complementarios.
Definir a la persona o
departamento de PDP. Seguir las
Se deben designar deberes y obligaciones respecto a "Recomendaciones para la
los individuos que intervengan en el uso y proteccin Designacin de la Persona o
de datos personales. Departamento de Datos
Personales"
Clasificacin de la informacin e
Mantener un registro de los datos personales identficacin de datos sensibles,
recolectados y tratados por la organizacin, teniendo etquetado de informacin
especial atencin en los datos sensibles, financieros y sensible, confidencial, restringida
patrimoniales. y pblica
Designar formalmente
Establecer y dar a conocer a cada, funcin, rol o responsabilidades relacionadas
puesto las responsabilidades que corresponden con PDP, perfiles de puesto que
respecto a la seguridad y proteccin de datos
personales, informando en su caso de las sanciones mencionen el personal maneja
de incumplimiento de la poltca de seguridad. DP, Concientzacin, sanciones
por incumplimiento de la poltca.
Revisar el perfil del personal que ser contratado por Clusula de PDP en contratos con
la organizacin, esto debe incluir referencias personal, AP para personal,
(personales y/o laborales), la confirmacin de ttulos confirmacin de antecedentes e
acadmicos y profesionales as como los controles de investgacin de personal.
identdad y antecedentes.
Servidores de actualizacin
Se deben tener identficadas las necesidades de centralizada, parches
nuevos sistemas, actualizaciones o nuevas versiones. centralizados, pruebas de
Es recomendable realizar pruebas antes de sistemas antes de despliegue de
implementar cualquiera de ellos. actualizaciones
Tambin debern verificarse que los sistemas que Monitoreo de sofware instalado
soportan el tratamiento de datos personales cuentan en equipos, monitoreo de
con configuraciones seguras en el hardware, sistema configuraciones
operatvo, base de datos y aplicaciones.
Concientzacin, difusin de
Aplicar difusin (campaas, boletnes) sencillos para boletnes con informacin de
advertr del sofware malicioso. ataques existentes
Mantener en los dispositvos de procesamiento de
informacin como computadoras, las respectvas Antvirus, consolas de antvirus
herramientas actualizadas que las protejan contra centralizado
sofware malicioso.
Registro de actvidades de
Los administradores de los sistemas de datos usuarios privilegiados, revisin de
personales deben poder acceder a los registros de las actvidades de usuarios
actvidades dentro del mismo, para analizarlos privilegiados, alertas sobre
peridicamente. actvidad inusual de usuarios
privilegiados
Cuando aplique, debe existr separacin entre los Segmentos de red, VLANs, VPNs,
segmentos de red y administracin de recursos de filtrado por MAC, NAC
red.
Resguardo de bitcoras,
Toda la documentacin de los sistemas y actvos de resguardo de informes de
informacin debe ser protegida de acceso no auditoras tcnicas, resguardo de
autorizado. documentos de seguridad
Se debe hacer uso adecuado del correo electrnico, Uso de protocolos seguros SSL,
utlizando mecanismos que permitan bloquear la IMAP, antspam, whilelistngs,
recepcin de archivos potencialmente inseguros, blacklistng, deshabilitar relay
controlar el spam, tener listas seguras de correo, etc.
Se debe hacer uso adecuado de los sistemas de datos Actualizacin de sistemas, uso de
personales a travs de guas de uso y gestn de canales y protocolos cifrados
riesgos asociados con dichos sistemas.
Se deben aislar los datos de manera que por s Separar en tablas distntas los
mismos no aporten informacin valiosa de un ttular o datos de los ttulares de los datos
ste no pueda ser identficable. personales y DPS
Contar con un mecanismo de red interna para NAC, filtrado por MAC,
autentcar cualquier tpo de conexin. autentcacin de usuarios
En el caso de aplicaciones se debe asegurar que los Control de cambios, Ant Injeccin
datos entregados sean los esperados y que se SQl, ant XSS, DLP
proporcionen en las circunstancias adecuadas.
Se debe vigilar y gestonar los datos que se utlicen Evitar uso de datos reales en
para fines de prueba, evitando el uso de bases de ambientes de prueba, eliminacin
datos con datos personales para tales propsitos, si es de los ambientes de prueba,
necesario usar datos personales, se deben desvincular segregacin de bases de datos
de su ttular antes de usarse.
Documentado 0.5
Implementado 1
Registros 1.1
Automatzado 1.5
No Aplicables
Implementado
Parcialmente Implementado
No existente
Medidas de Seguridad
No Apl ica bl es
Impl ementado
Pa rci al mente
Impl ementado
No exi stente
o Apl ica bl es
pl ementado
rci al mente
pl ementado
o exi stente
Dominio 100% Suma Cumplimiento
Poltcas del SGSDP 0 #N/A #N/A
Cumplimiento legal 0 #N/A #N/A
Estructura organizacional de la seguridad 0 #N/A #N/A
Clasificacin y acceso a los actvos 0 #N/A #N/A
Seguridad del personal 0 #N/A #N/A
Seguridad fsica y ambiental 0 #N/A #N/A
Gestn de comunicaciones y operaciones 0 #N/A #N/A
Control de acceso 0 #N/A #N/A
Desarrollo y mantenimiento de sistemas 0 #N/A #N/A
Vulneraciones de Seguridad 0 #N/A #N/A
Cumplimiento
50%
Desarrollo y mantenimiento de sistemas Estructura organizaciona
0%
d del personal
rea 1 rea 2
Persona 1
Persona 2
Persona 3
Persona 4
Persona 5
Persona 1
Persona 2
Persona 3
Persona 4
Persona 5
Escenario 1
Escenario 2
Escenario 3
Escenario 4
Escenario 5
Escenario 6
Escenario 7
Escenario 8
Escenario 9
Escenario 10
Escenario 11
CICLO DE VIDA DP
O Obtencin
A Acceso
M Monitoreo
P Procesamiento
T Transferencia
R Respaldo
B Bloqueo
C Cancelacin/ Supresin