Redes y Conocimiento procesos

Sito Sofware Soportes Hardware Informacin

telecomunicaciones de negocio
TIPO DE
ACTIVO
ACTIVO
(Sistema de tratamiento)
AMENAZA
Personal y organizacin Sito
VULNERABILIDAD
IMPACTO PROBABILIDAD DE OCURRENCIA

Volumen DP Sensibilidad Nivel exposicin Trazabilidad

1 1 2 3
VALOR DEL RIESGO
RIESGO

10 Bajo
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Vulnerabilidades
Vulnerabilidades
 9 9 18 27 36 45 54
8 8 16 24 32 40 48
7 7 14 21 28 35 42
6 12 18 24 30 36
IMPACTO

6
5 5 10 15 20 25 30
4 4 8 12 16 20 24
3 3 6 9 12 15 18
2 2 4 6 8 10 12
1 1 2 3 4 5 6
1 2 3 4 5 6
PROBABILIDAD DE OCURRENCIA
 63 72
56 64
49 56 RIESGO
42 48 Bajo 1 a 23
35 40 Medio 24 a 48
28 32 Alto 49 a 72
21 24
14 16
7 8
7 8
CIA
Tipo de Activo Vulnerabilidades Amenazas

Falla en el sistema de informacin

Mantenimiento insuficiente personal

Falta de un procedimiento para la susttucin de Falla de los equipos

equipos

Polvo, corrosin, congelamiento, fuego,

Susceptbilidad a dao fsico agua, contaminacin, radiacin
electromagntca.

Falta de configuraciones adecuadas al equipo Falla en el funcionamiento del equipo

Hardware

Susceptbilidad a los cambios de voltaje Prdida de suministro elctrico

Susceptbilidad a las variaciones del ambiente Fenmenos meteorolgicos

Almacenamiento no cifrado Robo de soportes electrnicos

Falta de cuidado en la destruccin de soportes Robo de informacin y/o soportes

electrnicos electrnicos
Carencia o falta de pruebas al sofware y su Error en la operacin de la aplicacin
configuracin
Abuso de derechos por parte de los
Falta de actualizaciones de seguridad en sofware usuarios

No cerrar la sesin al abandonar la estacin de trabajo Acceso no autorizado a los sistemas

Desecho o reutlizacin de medios de almacenamiento

sin un adecuado borrado de informacin Consulta de informacin confidencial
Software
Falta de registros de auditora Acciones fraudulentas

Error en las asignaciones de derechos de acceso Intrusin en los sistemas

Copiado incontrolado de informacin Datos incorrectos o corruptos

Interfaces de usuario complicadas Error en la operacin de los sistemas

Falta de mecanismos de identficacin y autentcacin Suplantacin de identdad

de usuario
Penetracin y manipulacin de los
Contraseas no cifradas sistemas

Servicios de red innecesarios habilitados Intrusin a la privacidad del personal

Descarga y uso de sofware no controlado Ejecucin de cdigo malicioso

Falta de respaldos Corrupcin de datos en los sistemas
Redes
Falta de un registro sobre la administracin de los Uso no autorizado de los servicios
recursos

Lneas de comunicacin sin proteccin Espionaje o escucha de comunicaciones

 Malfuncionamiento en los equipos de
Cableado de interconexin daado o antguo telecomunicaciones

Arquitectura de red insegura Espionaje o escucha de comunicaciones

Falta de personal sensibilizado y/o entrenado en Fraude y robo

Seguridad
Proceso de reclutamiento inadecuado Fraude y robo

Uso incorrecto de sofware y hardware Error en las operaciones de los sistemas

Personal
Robo de informacin y/o soportes
Falta de supervisin al trabajo de externos fsicos/electrnicos
Falta de poltcas acerca del uso de medios de
Uso no autorizado de equipo
telecomunicaciones
Falta o implementacin inadecuada de controles de Robo o destruccin de actvos
acceso
Sitio
Lugar susceptble al dao por agua Inundaciones
Red elctrica inestable Variacin de voltaje
Falta de procedimientos formales para la administracin Abuso de derechos por parte de los
de derechos de los usuarios usuarios

Falta o insuficiencia de previsiones en la realizacin de Abuso de derechos por parte de

contratos con clientes y/o terceros clientes y/o terceros

Falta de procedimientos formales de monitoreo y/o Riesgos no identficados

auditora
Falta o ausencia de reportes de fallas Riesgos no identficados
Falta de procedimiento formal para documentar y Malfuncionamiento del SGSDP
supervisar un SGSDP
Falta de asignacin de responsabilidades respecto a la Abuso de derecho por parte de los
seguridad de la informacin usuarios
Falta de poltcas de uso de correo electrnico Fuga de informacin
Falta de procedimientos para la instalacin y Fallas en los sistemas de informacin
actualizacin de los sistema de informacin
Falta de registros de actvidad/bitcoras en los sistemas Abuso de derechos por parte de los
Organizacin de administracin u operacin usuarios

Incumplimiento con la Ley Federal de

Falta de procesos para el tratamiento de datos Proteccin de Datos Personales en
personales Posesin de los Partculares

Falta o insuficiencias de condiciones relacionadas a la Empleado negligente

proteccin de datos en contratos con empleados

Falta de procesos estrictos en caso de un incidente o Mal funcionamiento del SGSDP

vulneracin de seguridad
Falta de poltcas para el uso de actvos fuera de la Robo de datos personales
organizacin

Falta o insuficiencia de poltcas de escritorio limpio Acceso no autorizado a los sistemas

Falta de mecanismos de monitoreo para vulneraciones Falta de Mejora al SGSDP

a la seguridad de los datos
Falta de procedimientos para reportar puntos dbiles Cdigo malicioso
en la seguridad
Muy Bajo
Bajo
Medio
Alto
Muy Alto
 Controles Relacionados Medidas de Seguridad Controles ISO/IEC 27001:2013 Gu

1 2 3 4 5 6 1 2 3 4 5 6 1

SFA08 GCO09 A.11.2.4 A.12.3.1

SFA08 GCO09 A.11.2.4 A.12.3.1

SFA06 GCO09 A.11.1.4 A.12.3.1

DMS09 GCO09 A.12.3.1

SFA06 GCO09 A.11.1.4 A.12.3.1

SFA06 GCO09 A.11.1.4 A.12.3.1

DMS04 SFA12 A.10.1.1 A.10.1.2 C.3.1

SFA10 A.8.3.2

GCO01 GCO09 A.12.3.1

GCO06

CA18

SFA10 A.8.3.2

CL04 CL05 CL06 A.12.6.1 A.16.1.7

CA03 CA04 A.9.2.2 A.9.2.5 A.1.4

GCO09 DMS01 DMS02 DMS07 A.12.3.1 A.14.1.3 A.12.5.1 A.14.2.2 C.2

DMS07 A.12.5.1 A.14.2.2 C.2

CA01 CA02 CA03 CA04 CA05 A.9.1.1 A.9.3.1 A.9.4.3 A.9.2.2 A.9.2.5 C.3.4

GCO09 CA05 A.12.3.1 A.9.2.4 A.9.4.3 C.3.4

GCO12 CA08 GCO20 A.13.1.1 A.13.2.1 C.5.4

GCO08 A.12.2.1 C.5.1

GCO09 A.12.3.1

CL02 CL04 A.12.4.2 A.2.3

CA13 CA11 CA07 A.13.1.3 C.5.4

GCO11 A.12.4.1

GCO17 GCO18 A.13.2.3

SP05 A.7.2.2

SP02 A.7.1.1

GCO18 A.13.2.3

CA27 A.6.2.1

CA28

GCO09 GCO15 A.12.3.1 A.8.3.1 A.8.3.3

GCO09 A.12.3.1
GCO09 SFA06 A.12.3.1 A.11.1.4

GCO09 CL03 A.12.3.1 A.8.1.3

CL01 EO07 CA28 A.18.1.1 A.15.1.1 A.3.5

CL06 A.18.2.3

SP08 A.12.4.1 A.16.1.2 A.1.4

CYA04 VS02 VS03 SP05 A.12.1.1 A.7.2.2 A.4.1

SP05 GCO03 CA20 CL01 A.7.2.2 A.6.1.2 A.18.1.1

GCO17 SP05 A.7.2.2

GCO06 GCO09 A.14.2.5 A.12.3.1 C.1

GCO10 GCO09 A.12.3.1

PO01 SP05 A.5.1.1 A.7.2.2 A.3.2

SP04 A.7.1.2

SP06 SP05 A.12.4.1 A.16.1.5 A.7.2.2 A.3.2

SFA12 SFA09 A.11.2.6

SFA11 SP05 A.11.2.9 A.7.2.2 A.1.1

VS01 A.16.1.1

DMS11 VS01 A.14.2.7 A.16.1.1

 Gua MIPYMES

2 3 4 5 6

C.3.4

A.1.4 C.3.4 C.3.2 A.1.4 C.3.4

C.5.2
C.4

A.3.3 A.3.4

A.3.3 A.3.4
 Redes y Conocimiento procesos de
Sofware Soportes Hardware Informacin
telecomunicaciones negocio
TIPO DE
ACTIVO
ACTIVO
(Sistema de tratamiento)
AMENAZA
VULNERABILIDAD
 Redes y
Personal y organizacin Sito telecomunica
 Tratamiento del riesgo Controles
Riesgo Estado actual
Mitgar Aceptar Eliminar Transferir actuales
Bajo X NE
X X DO
X IM
X RE
X MO
X MC

AU
Controles Responsable
propuestos
 CONTROLES GSGSDP
Clave Dominio
1 PO01
Poltcas del SGSDP
2 PO02

3
CL01

4 CL02
5 CL03 Cumplimiento legal
6 CL04
7 CL05
8 Cl06
9 CL07

10 EO01

11 EO02

12 EO03

13 EO04
Estructura organizacional de la
14 EO05 seguridad
15 EO06

16
EO07

17 EO08

18 CYA01

19 CYA02 Clasificacin y acceso a los actvos

20 CYA03
21 CYA04

22 SP01

23 SP02
24 SP03
25
SP04
Seguridad del personal
26 SP05
27 SP06
28 SP07
29 SP08
30 SP09
31 SP10
32 SFA01
33 SFA02
34 SFA03
35 SFA04
36 SFA05
37
SFA06
Seguridad fsica y ambiental
38 SFA07
39 SFA08
40 SFA09

41 SFA10

42 SFA11
43 SFA12
44 GCO01
45 GCO02
46 GCO03

47 GCO04

48 GCO05
49
GCO06

50

GCO08

51
GCO09

52 GCO10 Gestn de comunicaciones y

53 GCO11 operaciones
54
GCO12

55 GCO13
56 GCO14
57 GCO15
58
GCO16

60 GCO17
61 GCO18
62
GCO19

63 GCO20
64
GCO21

65 CA01
 66
CA02

67 CA03
68 CA04
69 CA05
70 CA06
71 CA07
72 CA08
73 CA09
74 CA10
75 CA11
76 CA12
77 CA13
78 CA14
79 CA15
Control de acceso
80 CA16
81 CA17
82 CA18
83 CA19

84 CA20

85 CA21
86 CA22
87 CA23
88 CA24
89 CA25
90 CA26
92
CA27
93
94 CA28
95 CA29
96 DMS01
97 DMS02
98 DMS03

99
DMS04

100 DMS05 Desarrollo y mantenimiento de

sistemas
101 DMS06
102 DMS07
103 DMS08

104 DMS09

105 DMS10
106 DMS11
107 VS01

Vulneraciones de Seguridad
108 VS02

109 VS03
CONTROLES GSGSDP
Controles de seguridad ISO/IEC 27001:2013 GUIA MIPYMES
Poltcas de gestn de datos personales A.5.1.1

Revisin y evaluacin A.5.1.2

A.18.1.1
Identficacin de legislacin/regulacin aplicable

Salvaguarda de registros organizacionales A.12.4.2 A.2.3

Prevencin del mal uso de actvos de informacin A.8.1.3
Recoleccin de evidencia
Revisin de cumplimiento tcnico A.12.6.1 A.16.1.7
Controles de auditora de sistemas A.18.2.3
Proteccin del soporte de auditora del sistema A.12.7.1
Administracin y Coordinacin de la seguridad de la A.6.1.1
informacin
Designacin de deberes en seguridad y proteccin de datos A.6.1.1
personales A.3.1
Recomendaciones de un especialista en seguridad de la A.6.1.4
informacin
Cooperacin con organizaciones A.6.1.3
Revisin de implementacin A.4.2
Identficacin de riesgos de terceros A.3.5
A.15.1.1
Requerimientos de seguridad en contratos con terceros A.3.5

Requerimientos de seguridad en contratos con servicios de A.15.1.1

almacenamiento de informacin y computo en la nube A.3.5
Inventario y clasificacin de datos personales A.8.1.1 A.8.2.1

Inventario de actvos A.8.1.1

Identficacin de procesos de datos personales A.8.2.2 A.12.1.1
Documentacin del SGSDP A.12.1.1
Identficar responsabilidades de seguridad en cada puesto de A.6.1.1
trabajo A.3.1
Revisin de contratacin del personal A.7.1.1
Acuerdo de confidencialidad A.13.2.4 A.15.1.2 C.5.3
A.7.1.2
Trminos y condiciones de empleo

Entrenamiento y educacin A.7.2.2 A.3.2 A.3.3

Reporte de incidentes de seguridad A.12.4.1 A.16.1.5
Reporte de vulneraciones de seguridad A.12.4.1 A.16.1.2
Reporte de fallas en funcionamiento A.12.4.1 A.16.1.2
Aprendizaje de incidentes A.16.1.5 A.16.1.6
Proceso disciplinario A.7.2.3
Permetro de seguridad A.11.1.1 B.2.1 B.2.2
Control de entrada fsica A.11.1.2 B.2.1 B.2.2
Seguridad de oficinas e instalaciones A.11.1.3 B.2.1 B.2.2
Trabajo en reas restringidas A.11.1.5
rea de entrega aislada A.11.1.6
A.11.1.4
Equipo de proteccin fsica

Seguridad del cableado A.11.2.3

Mantenimiento del equipo A.11.2.4
Aseguramiento de equipo fuera de las instalaciones A.11.2.6

Aseguramiento de eliminacin de soportes fsicos/electrnicos A.8.3.2

A.2.1
Escritorio y pantalla limpia A.11.2.9 A.1.1
Robo de propiedad
Control de cambios operacionales A.12.1.2
Procedimientos para el manejo de incidentes A.16.1.1
Segregacin de tareas A.6.1.2
Separacin del rea de desarrollo de sistemas de datos A.12.1.4 A.14.2.6
personales
Administracin externa de instalaciones
A.14.2.5 C.1 C.4
Estndares de configuracin segura y actualizacin de sistemas.

A.12.2.1 C.5.1 C.5.2

Proteccin contra sofware malicioso

A.12.3.1
Respaldo de la informacin

Registros de operadores
Registro de fallas A.12.4.1
A.13.1.1 C.5.4
Controles de red

Gestn de soportes informtcos extrables A.8.3.1

Documentacin de seguridad del sistema A.18.1.3
Seguridad de medios en trnsito A.8.3.1 A.8.3.3

Comercio electrnico seguro

Seguridad de correo electrnico

Seguridad en sistemas electrnicos A.13.2.3
A.14.1.2
Sistemas disponibles de manera pblica

Otras formas de intercambio de informacin A.13.2.1

Disociacin y Separacin

Reglas de control de acceso A.9.1.1 C.3.4

 A.9.3.1 A.9.4.3 A.1.4 C.3.4
Gestn de usuarios y contraseas

Gestn de privilegios A.9.2.2 A.1.4 C.3.4

Revisin de derechos de usuarios A.9.2.5
Uso de contraseas A.9.2.4 A.9.4.3 C.3.4
Equipos sin atender A.11.2.8 A.1.2
Uso de servicios de red
Ruta reforzada
Autentcacin de usuario para conexiones externas C.6.1 C.6.2
Autentcacin de nodo
Segregacin de redes A.13.1.3 C.5.4
Protocolos de conexin de red C.5.4
Protocolos de enrutamiento C.5.4
Seguridad de servicios de red A.13.1.2 C.5.4
Identficacin automtca de terminales
Proceso de inicio de sesin A.9.2.1
Alerta de coercin a usuarios
Tiempo lmite de terminal A.9.2.1
Tiempo lmite de conexin A.9.2.1 C.3.3
Restriccin de acceso a datos personales

Trazabilidad de tratamiento
Aislamiento de sistemas sensibles
Registro de eventos A.16.1.2 A.1.4
Monitorear el uso del sistema
Sincronizacin de relojes A.12.4.4
Dispositvos mviles internos. A.6.2.1
A.6.2.1
Dispositvos mviles externos.

Almacenamiento privado dentro del entorno de operacin

Teletrabajo A.6.2.2
Validacin de datos de entrada A.14.1.3
Autentcacin de mensajes A.14.1.3
Validacin de datos de salida A.14.1.3

A.10.1.1 A.10.1.2
Cifrado C.3.1

Firmas electrnicas
Servicios de no-repudio
Control de sofware y sistemas A.12.5.1 A.14.2.2 C.2
Proteccin de datos de prueba del sistema A.14.2.8

Control de acceso a sofware de configuracin

C.2
Canales encubiertos y cdigo malicioso A.12.6.2
Contratacin de servicios de sofware A.14.2.7
Procedimientos de accin en caso de incidente o vulneracin de
seguridad A.16.1.1

Procedimientos de notficacin de vulneraciones de seguridad a

ttulares A.4.1
Procedimientos de actualizacin de SGSDP
 CONTROLES
UIA MIPYMES ISO/IEC 27001:2013
5 Poltcas de seguridad de la informacin

6 Organizacin de la seguridad de la informacin

7 Human resource security

8 Gestn de actvos

A.3.4

B.2.3
B.2.3
B.2.3
9 Control de acceso

A.2.2

10 Controles criptogrficos

11 Seguridad fsica y ambiental

12 Seguridad de las operaciones

C.3.2

13 Seguridad en las comunicaciones

14 Sistemas de informacin, adquisicin, desarrollo y mantenimiento

15 Relaciones con los proveedores

16 Gestn de incidentes de seguridad de la informacin

17 Aspecto de seguridad de la informacin en la Gestn de la contnuidad del negocio

18 Cumplimiento
 CONTROLES
ISO/IEC 27001:2013
informacin

5.1 Gestn de la direccin de seguridad de la informacin

d de la informacin
6.1 Organizacin interna

6.2 Los dispositvos mviles y el teletrabajo

7.1 Antes del empleo

7.2 Durante el empleo

7.3 La terminacin o cambio de empleo

8.1 Responsabilidad de los actvos

8.2 Clasificacin de la informacin

8.3 Media handling

 9.1 Requisitos de negocio de control de acceso

9.2 Gestn de acceso de usuario

9.3 Responsabilidades del usuario

9.4 Control de acceso a las aplicaciones y a la informacinl

10.1 Poltca de uso de los controles criptogrficos

al
11.1 reas seguras

11.2 Equipo
 12.1 Procedimientos y responsabilidades operacionales

12.2 Proteccin contra malware

12.3 Respaldos

12.4 Registro y monitoreo

12.5 Control de sofware operatvo

12.6 Gestn de Vulnerabilidades Tcnicas

12.7 Consideraciones sobre la auditoria de los sistemas de

informacin

13.1 Gestn de la seguridad red

13.2 Transferencia de informacin

adquisicin, desarrollo y mantenimiento

14.1 Requisitos de seguridad de los sistemas de informacin

14.2 Seguridad en los procesos de desarrollo y soporte

 14.3 Datos de prueba

15.1 Seguridad de la informacin en relacin con los proveedores

15.2 Gestn de la prestacin de servicios de proveedor

eguridad de la informacin
16.1 Gestn de incidentes de seguridad de la informacin y
mejoras

a informacin en la Gestn de la contnuidad del negocio

17.1 Gestn de la contnuidad del negocio

17.2 Redundancias

18.1 Cumplimiento de los requisitos legales

18.2 Revisiones a la seguridad de la informacin

ROLES
7001:2013
A

A1 Pones atencin en

A.5.1.1 Las poltcas de seguridad de la informacin A.1.1

A.5.1.2 Revisin de las poltcas de seguridad de la informacin A.1.2
A.1.3
A.1.4
A.6.1.1 Roles y las responsabilidades de seguridad de la informacin A.2 Tienes mecanismo
A.6.1.2 Separacin de funciones A.2.1
A.6.1.3 Contacto con las autoridades A.2.2
A.6.1.4 Contacto con grupos de especial inters A.2.3
A.6.1.5 Seguridad de la informacin en la gestn de proyectos A.2.4

A.3 Has establecido y d

A.6.2.1 Poltca de dispositvo mvil A.3.1

A.6.2.2 El teletrabajo A.3.2

A.3.3
A.3.4
A.7.1.1 Deteccin A.3.5

A.7.1.2 Condiciones de empleo Tienes procedimien

A.4
A.4.1

A.7.2.1 Responsabilidades de la Direccin A.4.2

A.7.2.2 Concienciacin, formacin y capacitacin en seguridad de la informacin A.5 Realizas respaldos p

A.7.2.3 Proceso disciplinario

B
A.7.3.1 Responsabilidad de la terminacin o cambio B.1 Tienes medidas de

B.1.1

B.1.2
A.8.1.1 Inventario de los actvos B.2 Tienes medidas de
A.8.1.2 Propiedad de los actvos B.2.1
A.8.1.3 Uso aceptable de los actvos B.2.2
A.8.1.4 Devolucin de los actvos B.2.3
B.3 Cuidas el movimien
A.8.2.1 Clasificacin de la informacin B.3.1
A.8.2.2 Etquetado de la informacin B.3.2
A.8.2.3 Manejo de los actvos B.3.3

A.8.3.1 Manejo de los soportes extrables C

A.8.3.2 Disposicin de los medios de comunicacin C.1 Realizas actualizaci
A.8.3.3 Transferencia de medios fsicos C.2 Revisas peridicam
C.3 Tienes medidas de
C.3.1
A.9.1.1 Poltca de control de acceso C.3.2
A.9.1.2 El acceso a las redes y servicios de red C.3.3
C.3.4
A.9.2.1 Registro y cancelacin de usuario C.4 Revisas la configura
A.9.2.2 Provisin de acceso de los usuarios C.5 Tienes medidas de
A.9.2.3 Gestn de derechos de acceso privilegiado C.5.1

A.9.2.4 Gestn de la informacin secreta de autentcacin de los usuarios C.5.2

A.9.2.5 Revisin de los derechos de acceso de usuario C.5.3
A.9.2.6 Eliminacin o ajuste de los derechos de acceso C.5.4
C.6 Cuidas el movimien
A.9.3.1 Uso de la informacin de autentcacin secreta C.6.1

C.6.2

A.9.4.1 Restriccin del acceso a la informacin

A.9.4.2 Procedimientos de inicio de sesin seguros
A.9.4.3 Sistema de gestn de contraseas
A.9.4.4 Uso de las utlidades privilegiadas de los programas
A.9.4.5 Control de acceso al cdigo fuente del programa

A.10.1.1 Poltca de uso de los controles criptogrficos

A.10.1.2 Gestn de claves

A.11.1.1 Permetro de seguridad fsica

A.11.1.2 Los controles de entrada fsicos
A.11.1.3 Seguridad de oficinas, despachos e instalaciones
A.11.1.4 Proteccin contra amenazas externas y ambientales
A.11.1.5 Trabajo en reas seguras
A.11.1.6 La entrega y las zonas de carga

A.11.2.1 Emplazamiento y proteccin de equipos

A.11.2.2 Instalaciones de suministro
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de equipos
A.11.2.5 Retro de actvos
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
A.11.2.7 Reutlizacin o retro seguro de equipos
A.11.2.8 Equipo de usuario desatendido
A.11.2.9 Poltca de puesto de trabajo despejado y pantalla limpia
 A.12.1.1 Procedimientos operatvos documentados
A.12.1.2 Gestn de cambios
A.12.1.3 Gestn de la capacidad
A.12.1.4 Separacin de los entornos de desarrollo, prueba y operacin

A.12.2.1 Controles contra el malware

A.12.3.1 Respaldo de informacin

A.12.4.1 Registro de eventos

A.12.4.2 Proteccin de la informacin del registro
A.12.4.3 Registros del administrador y operador
A.12.4.4 Sincronizacin del reloj

A.12.5.1 Instalacin del sofware en los sistemas operatvos

A.12.6.1 Gestn de las vulnerabilidades tcnicas

A.12.6.2 Restricciones en la instalacin de sofware

A.12.7.1 Controles de auditoria de los sistemas de informacin

A.13.1.1 Controles de red

A.13.1.2 Seguridad de los servicios de red
A.13.1.3 Segregacin en las redes

A.13.2.1 Poltcas y procedimientos de transferencia de informacin

A.13.2.2 Acuerdos de transferencia de informacin
A.13.2.3 Mensajera electrnica
A.13.2.4 Acuerdos de confidencialidad o no divulgacin

rmacin

A.14.1.1 Anlisis de requisitos y especificaciones de Seguridad de la informacin

A.14.1.2 Proteccin de servicios de aplicaciones en redes pblicas

A.14.1.3 Proteccin de las transacciones de servicios de aplicaciones

A.14.2.1 Poltca de desarrollo seguro

A.14.2.2 Procedimientos de control de cambios del sistema
A.14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema
operatvo
A.14.2.4 Restricciones a los cambios en los paquetes de sofware
A.14.2.5 Principios de ingeniera de sistemas seguros
 A.14.2.6 Entorno de desarrollo seguro

A.14.2.7 Externalizacin del desarrollo de sofware

A.14.2.8 Prueba de la seguridad del sistema

A.14.2.9 Pruebas de aceptacin del sistema

A.14.3.1Proteccin de los datos de prueba

s proveedores
A.15.1.1Poltca de seguridad de la informacin en las relacin con los
proveedores
A.15.1.2 Abordar la seguridad dentro de acuerdos con proveedores

A.15.1.3 Informacin comunicacin de tecnologa de la cadena de suministro

A.15.2.1 Monitoreo y revisin de los servicios de proveedores

A.15.2.2 Gestn de cambios en los servicios de proveedores

A.16.1.1 Responsabilidades y procedimientos

A.16.1.2 Notficacin de los eventos de seguridad de la informacin
A.16.1.3 Notficacin de los puntos dbiles de la seguridad

A.16.1.4 Evaluacin y decisin sobre los eventos de seguridad de informacin

A.16.1.5 Respuesta a incidentes de seguridad de la informacin

A.16.1.6 Aprendizaje de los incidentes de seguridad de la informacin
A.16.1.7 Recopilacin de evidencias

A.17.1.1 Planificacin de la contnuidad de la informacin de seguridad

A.17.1.2 Implementacin de contnuidad seguridad de la informacin

A.17.1.3 Verificar, revisar y evaluar la contnuidad de seguridad de la informacin

A.17.2.1 Disponibilidad de instalaciones de procesamiento de informacin

A.18.1.1 Identficacin de la legislacin aplicable

A.18.1.2 Derechos de propiedad intelectual
(DPI) [Intellectual Property Rights (IPR)]
A.18.1.3 Proteccin de registros
A.18.1.4 Proteccin de datos y privacidad de la informacin personal
A.18.1.5 Regulacin de los controles criptogrficos

A.18.2.1 Revisin independiente de la seguridad de la informacin

A.18.2.2 Cumplimiento de las poltcas y normas de seguridad
A.18.2.3 Revisin de cumplimiento tcnico
 CONTROLES
GUA MIPYMES
Medidas de seguridad basadas en la cultura del persona
Pones atencin en no dejar a la vista informacin personal y llevas registro de su manejo?

Poltca de escritorio limpio:

Hbitos de cierre y resguardo
Impresoras, escneres, copiadoras y buzones limpios
Gestn de bitcoras, usuarios y acceso
Tienes mecanismos para eliminar de manera segura la informacin?
Destruccin segura de documentos
Destruccin segura de informacin en equipo de cmputo y medios de almacenamiento e
Fijar periodos de retencin y destruccin de informacin
Tomar precauciones con los procedimientos de re-utlizacin

Has establecido y documentado los compromisos respecto a la proteccin de datos?

Informar al personal sobre sus deberes mnimos de seguridad y proteccin de datos

Fomentar la cultura de la seguridad de la informacin:

Difundir notcias en temas de seguridad

Prevenir al personal sobre la Ingeniera Social
Asegurar la proteccin de datos personales en subcontrataciones

Tienes procedimientos para actuar ante vulneraciones a la seguridad de los datos personales?

Tener un procedimiento de notficacin

Realizar revisiones y auditoras

Realizas respaldos peridicos de los datos personales?

Medidas de seguridad en el entorno de trabajo fsico

Tienes medidas de seguridad para acceder al entorno de trabajo fsico?

Alerta del entorno de trabajo

Mantener bitcoras del personal con acceso al entorno de trabajo

Tienes medidas de seguridad para evitar el robo?
Cerraduras y candados
Elementos disuasorios
Minimizar el riesgo oportunista
Cuidas el movimiento de informacin en entornos de trabajo fsicos?
Aprobacin de salida de documentos, equipo de cmputo y/o medios de almacenamiento
Mantener en movimiento slo copias de la informacin, no el elemento original
Usar mensajera certficada

Medidas de seguridad en el entorno de trabajo digital

 Realizas actualizaciones al equipo de cmputo?
Revisas peridicamente el sofware instalado en el equipo de cmputo?
Tienes medidas de seguridad para acceder al entorno de trabajo electrnico?
Uso de contraseas y/o cifrado
Uso de contraseas slidas
Bloqueo y cierre de sesiones
Administrar usuarios y accesos
Revisas la configuracin de seguridad del equipo de cmputo?
Tienes medidas de seguridad para navegar en entornos digitales?

Instalar herramientas antmalware y de filtrado de trfico

Reglas de navegacin segura

Reglas para la divulgacin de informacin
Uso de conexiones seguras
Cuidas el movimiento de informacin en entornos de trabajo digitales?
Validacin del destnatario de una comunicacin

Seguridad de la informacin enviada y recibida

 Clave Dominio Controles de seguridad

Poltcas de gestn de datos

1 PO01 personales

Poltcas del SGSDP

2 PO02 Revisin y evaluacin

Identficacin de
CL01 legislacin/regulacin aplicable

Salvaguarda de registros
4 CL02 organizacionales

Prevencin del mal uso de

5 CL03 Cumplimiento legal actvos de informacin
 Cumplimiento legal

6 CL04 Recoleccin de evidencia

Revisin de cumplimiento
7 CL05 tcnico

Controles de auditora de
8 Cl06 sistemas

Proteccin del soporte de

9 CL07 auditora del sistema

Administracin y Coordinacin
10 EO01 de la seguridad de la
informacin

Designacin de deberes en
11 EO02 seguridad y proteccin de
datos personales

Recomendaciones de un
12 EO03 especialista en seguridad de la
informacin

Cooperacin con
13 EO04 organizaciones

Estructura
organizacional de la
seguridad
14 EO05 Revisin de implementacin
Estructura
organizacional de la
seguridad

Identficacin de riesgos de
15 EO06 terceros

16

EO07 Requerimientos de seguridad

en contratos con terceros

Requerimientos de seguridad
en contratos con servicios de
17 EO08 almacenamiento de
informacin y computo en la
nube

Inventario y clasificacin de
18 CYA01 datos personales

Inventario y
19 CYA02 clasificacin de datos
personales

Clasificacin y acceso
a los actvos
20 CYA03 Inventario de actvos
 Clasificacin y acceso
a los actvos

Identficacin de
21 CYA04 procesos de datos
personales

Identficar responsabilidades
22 SP01 de seguridad en cada puesto
de trabajo

Revisin de contratacin del

23 SP02 personal

24 SP03 Acuerdo de confidencialidad

25

Trminos y condiciones de
SP04 empleo

Seguridad del
personal

26 SP05 Entrenamiento y educacin

Reporte de incidentes de
27 SP06 seguridad

Reporte de vulneraciones de
28 SP07 seguridad

Reporte de fallas en
29 SP08 funcionamiento
30 SP09 Aprendizaje de incidentes

31 SP10 Proceso disciplinario

32 SFA01 Permetro de seguridad

33 SFA02 Control de entrada fsica

Seguridad de oficinas e
34 SFA03 instalaciones

35 SFA04 Trabajo en reas restringidas

36 SFA05 rea de entrega aislada

37

SFA06 Equipo de proteccin fsica

Seguridad fsica y
ambiental
 Seguridad fsica y
ambiental

38 SFA07 Seguridad del cableado

39 SFA08 Mantenimiento del equipo

Aseguramiento de equipo
40 SFA09 fuera de las instalaciones

Aseguramiento de eliminacin
41 SFA10 de soportes fsicos/electrnicos

42 SFA11 Escritorio y pantalla limpia

43 SFA12 Robo de propiedad

Control de cambios
44 GCO01 operacionales

Procedimientos para el manejo

45 GCO02 de incidentes

46 GCO03 Segregacin de tareas

 Separacin del rea de
47 GCO04 desarrollo de sistemas de datos
personales

Administracin externa de
48 GCO05 instalaciones

49

Estndares de configuracin
GCO06 segura y actualizacin de
sistemas.

50

Proteccin contra sofware

GCO08 malicioso

51

GCO09 Respaldo de la informacin

 GCO09 Respaldo de la informacin

52 GCO10 Registros de operadores

Gestn de
comunicaciones y
53 GCO11 operaciones Registro de fallas

54

GCO12 Controles de red

55 GCO13 Gestn de soportes

informtcos extrables

Documentacin de seguridad
56 GCO14 del sistema

Seguridad de medios en
57 GCO15 trnsito

58

GCO16 Comercio electrnico seguro

 GCO16 Comercio electrnico seguro

Seguridad de correo
60 GCO17
electrnico

Seguridad en sistemas
61 GCO18 electrnicos

62

Sistemas disponibles de
GCO19 manera pblica

Otras formas de intercambio

63 GCO20 de informacin

64

GCO21 Disociacin y Separacin

65 CA01 Reglas de control de acceso

 Gestn de usuarios y
66 contraseas

CA02

Gestn de usuarios y
contraseas

67 CA03 Gestn de privilegios

68 CA04 Revisin de derechos de

usuarios

69 CA05 Uso de contraseas

70 CA06 Equipos sin atender

71 CA07 Uso de servicios de red

72 CA08 Ruta reforzada

 Autentcacin de usuario para
73 CA09 conexiones externas

74 CA10 Autentcacin de nodo

75 CA11 Segregacin de redes

76 CA12 Protocolos de conexin de red

77 CA13 Protocolos de enrutamiento

78 CA14 Seguridad de servicios de red

Identficacin automtca de
79 CA15 terminales

80 CA16 Control de acceso Proceso de inicio de sesin

81 CA17 Alerta de coercin a usuarios

82 CA18 Tiempo lmite de terminal

83 CA19 Tiempo lmite de conexin

 Restriccin de acceso a datos
84 CA20
personales

85 CA21 Trazabilidad de tratamiento

Aislamiento de sistemas
86 CA22 sensibles

87 CA23 Registro de eventos

88 CA24 Monitorear el uso del sistema

89 CA25 Sincronizacin de relojes

90 CA26 Dispositvos mviles internos.

92 CA27

Dispositvos mviles externos.

 Dispositvos mviles externos.

93 CA27

Almacenamiento privado
94 CA28 dentro del entorno de
operacin

95 CA29 Teletrabajo

96 DMS01 Validacin de datos de entrada

97 DMS02 Autentcacin de mensajes

98 DMS03 Validacin de datos de salida

99

DMS04 Cifrado

100 DMS05 Firmas electrnicas

101 DMS06 Desarrollo y Servicios de no-repudio
mantenimiento de
sistemas

102 DMS07 Control de sofware y sistemas

Proteccin de datos de prueba

103 DMS08 del sistema

Control de acceso a sofware

104 DMS09 de configuracin

Canales encubiertos y cdigo

105 DMS10 malicioso

Contratacin de servicios de
106 DMS11 sofware

Procedimientos de accin en
107 VS01 caso de incidente o vulneracin
de seguridad

Vulneraciones de
Seguridad
 Vulneraciones de Procedimientos de notficacin
108 VS02 Seguridad de vulneraciones de seguridad
a ttulares

Procedimientos de
109 VS03 actualizacin de SGSDP
 Medidas/Descripcin Estado actual Ejemplos

Deben existr poltcas aprobadas por la Alta Direccin

para la regulacin especfica, condiciones
contractuales, as como para la creacin,
implementacin y mantenimiento de los diferentes
controles establecidos para salvaguardar los datos
personales y sus actvos relacionados durante el
tratamiento, que sirvan como gua organizacional del
propsito, objetvos, responsabilidades y
compromisos establecidos por los involucrados para el
cumplimiento de la normatvidad aplicable a los datos
personales.

Las poltcas relacionadas con el SGSDP deben ser

revisadas y evaluadas en su efectvidad y
cumplimiento peridicamente, as como cuando surja
un nuevo riesgo o cambio significatvo en la
organizacin.

Identficar insttuciones
intermedias que envan
Se deben identficar y documentar los deberes y informacin regulatoria como
responsabilidades de toda la organizacin para IMSS, SAT.
cumplir con los requerimientos legales y contractuales Identficar contratos de obligan a
relacionados con la proteccin de datos personales. compartr datos y agregar
clusulas de PDP y controles
complementarios.

Se debe poner especial atencin en la legislacin

relacionada con la propiedad intelectual, industrial,
privacidad y proteccin de datos personales a nivel
nacional e internacional.

Tambin se debe considerar la regulacin especfica

de un sector o rama industrial, por ejemplo,
legislacin aplicable a datos de salud.

Se debe mantener el resguardo y proteger de

destruccin todos los registros y documentacin que
pudieran ser requeridos en cumplimiento de la
LFPDPPP.

Se deben tener mecanismos contra el uso de actvos Controles para instalacin de

para propsitos no autorizados, por ejemplo, para sofware, acceso a internet, uso
sistemas electrnicos, utlizar bloqueos en caso de de correo electrnico personal,
que usuarios no autorizados traten de acceder a uso de internet en sitos pblicos,
mdulos que no tenen permisos e informar mediante VPNs, BAMs,
un mensaje el uso indebido.
Se deben tener procesos para la recoleccin de
evidencia segn las mejores prctcas en caso de una
vulneracin o incidente de seguridad.

Se deben revisar los actvos de informacin y sus Anlisis de vulnerabilidades,

controles de seguridad, tal que se verifique su pruebas de penetracin
correcto funcionamiento as como las posibles revisinde cdigo, PIA
amenazas y vulnerabilidades relacionadas..

Se debe tener un proceso para la revisin y evaluacin

del funcionamiento del SGSDP, tal que se minimicen Auditoras de seguridad y del
las consecuencias de posibles vulneraciones y se logre SGSDP
un ciclo de mejora contnua.

Se deben proteger las herramientas, el sofware y los

Quin tene accceso las
archivos de datos que surjan o se utlicen en una herramientas de auditora y a los
auditora, para evitar comprometer la seguridad de la informes
informacin de la organizacin.

La alta direccin debe tener claros sus objetvos y

soportar las iniciatvas generadas por su equipo, Definir poltcas, canales de
apoyados en la comunicacin efectva entre las comunicacin, roles y
diferentes reas de la organizacin para la responsabilidades relacionadas
implementacin de controles de seguridad, con la PDP
coordinados por la persona a cargo de la seguridad de
la informacin personal.

Definir a la persona o
departamento de PDP. Seguir las
Se deben designar deberes y obligaciones respecto a "Recomendaciones para la
los individuos que intervengan en el uso y proteccin Designacin de la Persona o
de datos personales. Departamento de Datos
Personales"

Patcipacin en grupos y foros de

Cuando sea adecuado, obtener el consejo y seguridad y PDP, identficacin de
recomendaciones de un especialista en proteccin de expertos legales y tcnicos que
datos y seguridad de la informacin. puedan dar asesora en casos
especficos.

En su caso, buscar la colaboracin de autoridades,

cuerpos regulatorios, servicios de informacin o de Procedimientos en caso de
telecomunicaciones, entre otros para definir las vulneraciones, incidentes graves y
acciones apropiadas en caso de un incidente o contngencias
vulneracin de seguridad.
Realizar una revisin peridica de la implementacin Auditoras internas y externas
del SGSDP por auditores internos o externos.

Identficar el alcance de involucramiento que pueden identficar trasnferencias y

tener terceros en el tratamiento de los datos remisiones de DP y analizar sus
personales y analizar si es justficado y bajo el riesgos, establecer controles.
consentmiento del ttular.

Cuando se establezca un contrato con un tercero,

revisar las clausulas referentes a los requerimientos Contratos y clusulas con cauda
de seguridad y de tratamiento de datos personales unos de los terceros involucrados
para verificar su correspondencia con los en el anterior
requerimientos de la organizacin.

Se debe revisar el contrato que se genere entre la

organizacin y el prestador respecto al nivel de
servicio relacionado con el sistema de informacin,
redes y ambientes de escritorio. Esto es importante
en el caso de la designacin de encargados por parte
de un responsable de datos personales.

Cuando se establezca un contrato con un prestador de

servicios de almacenamiento de informacin y/o de
computo en la nube, adems de revisar las clausulas
referentes a los requerimientos de seguridad y de
tratamiento de datos personales, de manera
partcular hay que: verificar el nivel de acceso que Revisin de las clusulas y
tene el prestador y limitar el tratamiento al contratos de prestadores en la
estrictamente necesario para el cumplimiento de las nube, revisar el artculo del
condiciones del servicio; verificar el ciclo de vida de la reglamento correspondiente.
informacin (por ejemplo, donde se almacena, como
se replica, como se elimina en un ambiente
distribuido, como se garantza la eliminacin de la
informacin) y la ubicacin fsica de la infraestructura
del prestador.

Mantener un registro de los datos personales
recolectados y tratados por la organizacin, teniendo
especial atencin en los datos sensibles, financieros y
patrimoniales.
Clasificacin de la informacin e
identficacin de datos sensibles,
etquetado de informacin
sensible, confidencial, restringida
y pblica

Mantener un registro de los datos personales

recolectados y tratados por la organizacin en
Identficador de bases de datos y
cualquier soporte fsico o electrnico, teniendo sistemas de tratamiento
especial atencin en los datos sensibles, financieros y
patrimoniales.

Mantener un registro de los actvos de informacin y Identficacin de finalidades

de soporte. Identficar a los individuos o grupos de tratamientos y transferencias, y
personas dentro o fuera de la organizacin con medios de almacenamiento
responsabilidad sobre los actvos
Se debe tener identficado el ciclo de vida de los datos
personales en cada uno de sus procesos, desde la
obtencin, almacenamiento, procesamiento,
cancelacin o cualquiera que sea su tratamiento. Esto
es especialmente importante para conocer dnde se
resguardan y qu se hace con los datos personales, lo
cual contribuye tambin en agilizar la respuesta al
ejercicio de los derechos ARCO por parte de un ttular.
Establecer y dar a conocer a cada, funcin, rol o
puesto las responsabilidades que corresponden
respecto a la seguridad y proteccin de datos
personales, informando en su caso de las sanciones
de incumplimiento de la poltca de seguridad.
Revisar el perfil del personal que ser contratado por
la organizacin, esto debe incluir referencias
(personales y/o laborales), la confirmacin de ttulos
acadmicos y profesionales as como los controles de
identdad y antecedentes.
Se debe firmar un acuerdo de confidencialidad o no
revelacin de informacin por los nuevos empleados
de la organizacin involucrados en el tratamiento de
los datos personales.
Dentro de los trminos de contratacin, la
organizacin debe informar ampliamente a los nuevos
empleados sobre sus deberes y compromisos
respecto a la seguridad de la informacin y proteccin
de datos personales.
Tambin deber considerarse la presentacin de un
aviso de privacidad al personal interno del cual
recabaremos datos personales de distntos tpos.
Empleados, contrataciones externas y usuarios en
general deben recibir concienciacin y entrenamiento
apropiado respecto a la seguridad de la informacin y
proteccin de datos personales.
Debe existr una manera formal de reportar incidentes
de seguridad de acuerdo a la cadena de mando
establecida.
Debe existr una manera formal de reportar
vulnerabilidades de acuerdo a la cadena de mando
establecida.
Debe existr una manera formal de reportar fallas en
funcionamiento de hardware y/o sofware de acuerdo
a la cadena de mando establecida.
Control documental, gestn de
cambios, autorizaciones
Designar formalmente
responsabilidades relacionadas
con PDP, perfiles de puesto que
mencionen el personal maneja
DP, Concientzacin, sanciones
por incumplimiento de la poltca.
Clusula de PDP en contratos con
personal, AP para personal,
confirmacin de antecedentes e
investgacin de personal.
Firma de acuerdo de
confidencialidad con empleados o
clusula de confidencialidad en el
contrato que mencione PDP
Concientzacin
Perfiles de puesto, AP a
empleados
Concientzacin, Capacitacin en
PDP el personal que trata DP y
DPS
Concientzacin, procedimiento
ante incidentes
Concientzacin, procedimiento
ante vulneraciones, notficacina
ttulares
Concientzacin, procedimiento
ante incidentes, eventos y fallas
 Base de conocimiento,
Cuando aplique, establecer mecanismos para comunicacin de acciones
monitorear, el tpo, volumen y costo de los incidentes derivado de incidentes y
de seguridad. vulneraciones

Debe existr un proceso disciplinario en la Establecer proceso disciplinario,

organizacin para aquellos que no cumplan o Dar a conocer Proceso
violenten lo establecido en la poltca o disciplinario y sanciones en caso
procedimientos. de incumplimiento

Identficar o en su caso, implementar mecanismos de Delimitacin de reas, guardias

seguridad en el permetro de la organizacin, por de seguridad, puertas de control
ejemplo bardas, puertas con control de acceso, de acceso, back pigging
vigilancia por guardias de seguridad, etc.

Implementar mecanismos que slo permitan el

acceso a personal autorizado, por ejemplo a travs de Control de acceso a reas
dispositvos biomtricos, tarjetas inteligentes, sensibles
personal de seguridad, etc.

Implementar mecanismos para mantener las reas de

resguardo o servicios de procesamiento de datos Gabinetes con cerradura, cajas
aisladas de amenazas naturales o causadas por el fuertes, archivos fsicos con
hombre. Por ejemplo, puertas con cerradura, control de acceso y monitoreo.
gabinetes o cajas de seguridad.

Los actvos de informacin slo deben ser accesibles

por personal que los requiera en sus deberes en la Delimitacin de reas, puertas
organizacin o bien por un tercero autorizado. Por lo con apertura basadas en perfiles
tanto, debe existr acceso controlado para personal y privilegios
trabajando en un rea restringida.

Control de acceso a reas

Se deben aislar las reas de recepcin y entrega de sensibles, monitoreo por video de
informacin de los sitos donde se almacenen o reas donde se tratan datos
procesen los datos personales, con el fin de evitar sensibles, bitcoras de uso de
acceso no autorizado. expedientes fsicos.

Revisin del layout de lugares de

trabajo, en especial el personal
Los actvos deben estar ubicados en sitos apropiados que trata datos sensibles,
para evitar su acceso indebido, si los actvos impresoras compartdas,
esenciales se aslan esto ayuda a mejorar su impresoras en espacios comunes,
proteccin. uso de hojas recicladas,
impresiones desatendidas

Deben existr mecanismos (por ejemplo, extntores, extntores, control de incendios,

detectores de humo, etc.) para proteger a los actvos DRB, BCP, bebidas junto a equipo
de fenmenos como el agua, fuego, qumicos, de cmputo, procedimineto de
vibraciones, radiacin, etc. As como cierto monitoreo evacuacin en caso de incendio,
ambiental y de medidas comunes de proteccin (por sismo, inindacion y otros
ejemplo, no introducir alimentos y bebidas en reas desastres
restringidas).
Verificar el buen estado de las conexiones de Desabilitar nodos desocupados,
telecomunicaciones o de transmisin de informacin, nodos privados en lugares
para evitar intercepcin o falla en el servicio. pblicos, NAC, Filtrado por MAC

Asegurarse de que los actvos secundarios reciban Programa peridico de

mantenimiento peridicamente, (por ejemplo, segn mantenimiento de equipo
indicaciones del fabricante), adems de realizarse por personal y servidores
personal autorizado.

Se deben establecer mecanismos autorizados por la

alta direccin, para controlar la salida fuera de la
organizacin de cualquier equipo o actvo usado para Uso de tabletas para recabar
procesamiento de datos personales, considerando datos personales y handhelds,
que la seguridad de los actvos fuera de la cifrado de equipos porttles
organizacin sea equivalente al menos a la establecida
dentro de la organizacin.

Cuando se elimine un actvo de informacin como

equipo de procesamiento, soporte fsico o electrnico
de informacin, deben aplicarse mecanismos de
borrado seguro, o bien, de destruccin adecuado.
Cualquier eliminacin de actvos debe registrarse con
fines de auditora.
Poltca de eliminacin de medios,
trituradoras, destruccin de
discos, clasificacin de papel para
reciclaje, procedimiento para
desecho y reuso de equipo

Para el caso de cualquier dispositvo de

procesamiento de informacin como las
computadoras, se debe bloquear la sesin de acceso
cada vez que sean desatendidas por largos periodos
de tempo. Cualquier documento o actvo de
informacin crtco debe estar resguardado fuera de la
vista cuando ste no sea atendido.
Guardar documentos sensibles al
retrarse de su lugar o no estar en
uso, mantener los datos
personales y DP Sensibles bajo
llave cuando no se usen

RFID para equipo porttl, cifrado

Revisar e identficar los actvos, como equipo o de disco, revisin de bultos y
sofware que sean susceptbles de sustraccin de las paquetes corroborando que cada
instalaciones. equipo que sale cuenta con
permiso

Debe existr un procedimiento para discutr, Control documental, control de

documentar y evaluar cualquier cambio que pueda cambios, autorizacin y
afectar las operaciones relacionadas con datos aprobacin de documentos,
personales. notficacin para actualizacin

Deben existr procedimientos para el manejo de

incidentes, tal que la respuesta sea pronta y efectva,
llevando a cabo un registro para diferenciar los Clasificacin de incidentes,
distntos incidentes posibles, de manera que procedimientos en caso de
posteriormente se puedan conducir revisiones y incidente, concientzacin
comparaciones respecto a incidentes ocurridos
anteriormente.

En relacin a la estructura de la organizacin se deben

segregar y aislar los puestos y responsabilidades del Monitoreo de usuarios
personal que realice tratamiento de datos personales, privilegiados, identficacin de
con el fin de reducir las oportunidades de un uso puestos con datos sensibles
indebido de los actvos.
Las instalaciones de desarrollo y /o pruebas deben
estar aisladas de las reas operacionales. Por ejemplo,
el sofware de desarrollo debe estar en una Servidores de produccin,
computadora diferente al sofware de produccin. La preproduccin, pruebas,
separacin puede hacerse a varios niveles, como desarrollo, control de cambios
utlizar distntos segmentos de red, dividir las
instalaciones fsicas o por separacin de actvos.

Se deben identficar los riesgos derivados del servicio

de administracin de instalaciones prestado por un
proveedor (por ejemplo, instalaciones elctricas o
telefona). En caso de que se identfique algn riesgo,
debe ser discutdo con el externo para incorporar los
controles adecuados.
Identficacin de proveedores
relacionados con DP y DPS,
controles relacionados, contratos
y convenios de confidencialidad

Servidores de actualizacin
Se deben tener identficadas las necesidades de centralizada, parches
nuevos sistemas, actualizaciones o nuevas versiones. centralizados, pruebas de
Es recomendable realizar pruebas antes de sistemas antes de despliegue de
implementar cualquiera de ellos. actualizaciones

Tambin debern verificarse que los sistemas que Monitoreo de sofware instalado
soportan el tratamiento de datos personales cuentan en equipos, monitoreo de
con configuraciones seguras en el hardware, sistema configuraciones
operatvo, base de datos y aplicaciones.

Deben existr diferentes controles respecto al sofware

malicioso:

Prohibir el uso de sofware no autorizado. Control de instalacin de sofware

Concientzacin, difusin de
Aplicar difusin (campaas, boletnes) sencillos para boletnes con informacin de
advertr del sofware malicioso. ataques existentes
Mantener en los dispositvos de procesamiento de
informacin como computadoras, las respectvas Antvirus, consolas de antvirus
herramientas actualizadas que las protejan contra centralizado
sofware malicioso.

En su caso, monitorear el trfico y las actvidades de Monitoreo de trfico de red,

red para descubrir cualquier comportamiento filtrado de contenido, antspam,
anmalo, tales como virus, descargas de contenido monitoreo de protocolos de red
inapropiado, fugas de informacin, etc.

Deben establecerse respaldos proporcionales al Poltca de respaldos, respaldos

modelo de negocio y manejo de datos personales. Se completos, respaldos
debe tener un adecuado control sobre la periodicidad incrementales, respaldos
de generacin de respaldos y el respectvo almacenaje diferenciales, prueba de
de los soportes fsicos/electrnicos, especialmente respaldos
para el ejercicio de derechos ARCO.
Se debe tener identficado el proceso a realizar en
caso de que sea necesario restaurar un respaldo, Prueba de respaldos,
asimismo, se deben probar los respaldos procedimiento de restauracin,
peridicamente para asegurar su correcto autorizacin de restauracin
funcionamiento.

Registro de actvidades de
Los administradores de los sistemas de datos usuarios privilegiados, revisin de
personales deben poder acceder a los registros de las actvidades de usuarios
actvidades dentro del mismo, para analizarlos privilegiados, alertas sobre
peridicamente. actvidad inusual de usuarios
privilegiados

Identficar qu fallas pueden

Las fallas en sistemas y actvos deben poder llevar a vulneraciones de
reportarse y gestonarse, esto incluye la correccin de seguridad, alteraciones que
la falla y revisin de los registros. daen la calidad de los DP,
Bitcoras de fallas en el sistema

Cuando aplique, debe existr separacin entre los Segmentos de red, VLANs, VPNs,
segmentos de red y administracin de recursos de filtrado por MAC, NAC
red.

Procedimientos de uso adecuado

Deben existr procedimientos y responsabilidades de equipos, conexiones a redes
para el manejo de conexiones remotas. pblicas, VPNs

Se debe buscar la implementacin de controles

especiales para salvaguardar la confidencialidad e Conexiones a redes pblicas,
integridad de las comunicaciones sobre redes pblicas VPNs, SSL para transacciones, SSL
(por ejemplo, redes privadas virtuales, mtodos de para conexiones
cifrado, etc.)

Deben existr procedimientos para el manejo de DLP, bitcoras de transacciones

soportes informtcos extrables como memorias USB, en medios extrables, bloqueo
fsico de puertos, bloque lgico
discos, cintas magntcas, etc. de puertos

Resguardo de bitcoras,
Toda la documentacin de los sistemas y actvos de resguardo de informes de
informacin debe ser protegida de acceso no auditoras tcnicas, resguardo de
autorizado. documentos de seguridad

Cifrado de cintas y respaldos,

Se debe asegurar el traslado de soportes convenios de confidencialidad,
fsicos/electrnicos que contengan datos personales uso de valijas y contenedores
contra robo, acceso, uso indebido o corrupcin. sellados.

Se deben contar con mecanismos contra la actvidad Uso de certficados SSL,

fraudulenta, disputas contractuales o monitoreo de actvidades
revelacin/modificacin de informacin. inusuales, transacciones cifradas
En los entornos web deben existr mecanismos de
autorizacin y autentcacin para las transacciones. Protocolos de transmisin segura
Asimismo, debe revisarse las clusulas de intercambio
de datos personales y seguridad en los acuerdos SFTP, HTTPS, SSL, SSH
establecidos entre las partes involucradas.

Se debe hacer uso adecuado del correo electrnico, Uso de protocolos seguros SSL,
utlizando mecanismos que permitan bloquear la IMAP, antspam, whilelistngs,
recepcin de archivos potencialmente inseguros, blacklistng, deshabilitar relay
controlar el spam, tener listas seguras de correo, etc.

Se debe hacer uso adecuado de los sistemas de datos Actualizacin de sistemas, uso de
personales a travs de guas de uso y gestn de canales y protocolos cifrados
riesgos asociados con dichos sistemas.

Debe existr un proceso de autorizacin formal para Privilegios para autorizar

hacer pblica informacin. informacin publica

Cuando se crean sistemas de acceso pblico (por

ejemplo, pginas web) deben existr mecanismos para
que la informacin disponible mantenga su integridad DMZ, firewall, monitoreo de
y que no permita ser el medio para daar otros conexiones, antDoS
actvos ubicados dentro de la organizacin esto
incluye herramientas de deteccin de intrusos y
monitoreo.

Se debe contar con procedimientos relacionados con

el intercambio de datos personales dentro y fuera de Almacenamiento de
la organizacin a travs de diversos medios, como voz, videoseguridad, conmutadores,
datos, video, etc. El personal debe mantener la seguridad en VoIP
confidencialidad de informacin sensible y datos
personales en cualquier intercambio de informacin.

Se deben aislar los datos de manera que por s Separar en tablas distntas los
mismos no aporten informacin valiosa de un ttular o datos de los ttulares de los datos
ste no pueda ser identficable. personales y DPS

Tambin pueden ser separados los actvos de

informacin grandes en actvos de informacin ms
pequeos (por ejemplo, una base de datos de clientes Separar bases de datos en
en dos bases de datos, clientes corporatvos y distntas instancias
personas fsicas). Entre mayor cantdad de
informacin tene un actvo, ste resulta ms atractvo
para un atacante.

Deben existr reglas y derechos para cada usuario o

grupo de usuarios conforme a sus responsabilidades.
Cada usuario debe tener un identficador nico en el
sistema al cul se vincularn sus privilegios y acceso.
Asimismo, cada usuario deber ser responsable de Single sing on, Actve directory,
guardar en secreto la(s) contrasea(s) y/o LDAP
mecanismos correspondientes para su acceso (cuando
aplique, los usuarios tendrn que firmar acuerdos que
los obliguen a mantener sus contraseas en secreto).

Se deben tener procedimientos para la administracin

de usuarios (altas, bajas y modificaciones) en los
sistemas de informacin, en su caso, adems deben
existr controles respecto a las contraseas entregadas Autorizacin de altas bajas y
al personal, clientes, proveedores, prestadores de cambios de usuarios, poltca de
servicios o cualquier usuario del sistema de datos cambio de contraseas
personales, (por ejemplo rendicin de cuentas,
fortalecimiento de contraseas, almacenamiento
cifrado de contraseas, etc.)

En un ambiente multusuario se deben conceder

privilegios de acceso y uso a cada usuario o grupo de Autorizacin y validacin de
usuarios para el cumplimiento de sus deberes, sin que privilegios de acceso a sistemas y
se exponga a acceso, eliminacin copia o alteracin puertas automtcas
no autorizados a otros actvos de informacin.

Debe existr un proceso de revisin para verificar el

adecuado y no excesivo uso de los privilegios de cada
usuario, por ejemplo una persona con privilegios Revisin peridica de usuarios,
auditora de privilegios,
especiales puede ser revisada cada 3 meses, mientras
que un usuario estndar cada 6 meses.

Los usuarios deben tener guas o recomendaciones

para la creacin y mantenimiento de contraseas Poltcas de contraseas,
concientzacin, passphrase
seguras.

Los usuarios y contrataciones externas deben tener

conocimiento de las medidas de seguridad necesarias Bloqueo de equipo automtco,
para cuando dejan actvos de informacin y equipo bloqueo por inactvidad, poltca
sin atender, por ejemplo cerrar la sesin cuando han de bloqueo para equipo
terminado de trabajar, bloquear el equipo desatendido
automtcamente cuando no se usa, etc.

Deben existr reglas respecto al acceso autorizado a Poltca de uso y

las redes y servicios disponibles as como los aprovechamiento de equipos y
procedimientos de uso y conexin. redes, filtrado de contenido

Cuando aplique, deben existr mecanismos para Segregacin de redes, separacin

asegurar un camino nico de interconexin entre de ambientes de produccin y
dispositvos. pruebas, VPNs
Deben existr mecanismos para asegurar las Conexiones cifradas, SSL, VPNs,
conexiones que se hagan a travs de redes externas a autentcacin de usuarios, actve
la organizacin, por ejemplo, cifrado, protocolos de directory
autentcacin por desafo mutuo, etc.

Si es el caso, aplicar un mtodo de autentcacin

alternatvo para grupos de usuarios remotos que se NAC, filtrado por MAC,
conecten a una instalacin segura u ordenador autentcacin de usuarios
compartdo.

La red debe segregar a los usuarios a travs de

mecanismos como VPN o firewalls, por ejemplo, la red
Segregacin de redes, VLANs,
externa para usuarios de visita debe encontrarse en VPNs, firewall, DMZ
un segmento de red distnto de la red donde se
encuentran los sistemas de datos personales.

Se deben vigilar los protocolos de conexin de redes

compartdas que se expanden ms all de la Protocolos seguros, SSH, SSL,
organizacin, por ejemplo para el correo electrnico o HTTPS, SFTP
para el acceso a internet.

Se debe vigilar la existencia de mecanismos para

asegurar que las conexiones de computadoras y flujos Bitcoras de DNS, bitcora de
de informacin no vulneren el control de acceso a la conexiones, bitcora de usuarios
organizacin.

La organizacin debe obtener una clara estructura y identficacin de servicios y

descripcin de los servicios de red pblicos o puertos de red
privados, sus caracterstcas y atributos de seguridad.

Contar con un mecanismo de red interna para NAC, filtrado por MAC,
autentcar cualquier tpo de conexin. autentcacin de usuarios

Slo se debe tener acceso a los sistemas de datos

personales a travs de un inicio de sesin seguro, esto Actve directory, single sign on,
minimiza los accesos no autorizados.

Cuando aplique, considerar alertas para usuarios

Concientzacin
cuyos privilegios los hagan objetvo de coercin.

Aquellas terminales que estn expuestas en reas de Actve directory, bloqueo de

acceso general deben configurarse para limpiar la terminal, protector de pantalla
pantalla o bloquearse despus de un periodo de automtco, cierre de sesin
inactvidad. automtco

Debe existr un tempo lmite de acceso al sistema de Actve directory, bloqueo de

datos personales, especialmente para conexiones terminal, protector de pantalla
desde terminales o dispositvos fuera del permetro automtco, cierre de sesin
de la organizacin. automtco
El acceso a datos personales a travs del personal o Identficacin de personal con
aplicaciones debe ser definido en consistencia con la acceso a datos sensibles, limitar
poltca de seguridad de los datos personales, acceso a datos sensibles,
limitando el uso de informacin a las monitoreo de uso de sistemas y
responsabilidades especficas. acceso a datos sensibles
Bitcoras fsicas de acceso a
La trazabilidad y posibilidad de identficar quin tuvo expedientes con DP y DPS,
acceso a los datos personales y los tratamientos Bitcoras lgicas de uso de
realizados. sistemas de tratamiento, video de
reas con DP y DPS
Se deben evaluar los sistemas y actvos que por su VLANs, VPNs, Identficacinde
naturaleza deban desarrollarse en ambientes aislados, personal con acceso a datos
sensibles, limitar acceso a datos
por ejemplo equipos ejecutando aplicaciones crtcas, sensibles, monitoreo de uso de
datos personales sensibles, o informacin confidencial sistemas y acceso a datos
fuera de entornos de red. sensibles

Bitcoras fsicas de acceso a

Se deben generar registros de excepciones y eventos expedientes conn DP, Bitcoras
relevantes de seguridad en los sistemas y actvos, los lgicas de uso de sistemas de
cuales deben almacenarse un periodo acordado para tratamiento, video de reas con
investgacin y control de acceso. DP y DPS

Debe haber procedimientos para el monitoreo del uso

adecuado de los actvos y sistemas. Los usuarios slo Monitoreo de bitcoras
deben hacer las actvidades para las cuales estn
explcitamente autorizados.

Cuando los sistemas de cmputo o Sincronizacin de servidores, tme

telecomunicaciones operen con relojes en tempo real server, relojes de equipo que no
se debe acordar un estndar de tempo y horario. Esto se conectan a tme server,
ayuda a la revisin de registros y auditora. cmaras anlogas

Se debe considerar el trabajo externo a travs de

dispositvos mviles (por ejemplo notebooks, laptops,
tabletas, Smartphone) proporcionados a los usuarios
por la organizacin. Esto incluye capacitacin sobre la Monitoreo de protocolos y
responsabilidad y medidas de seguridad relacionadas conexiones a servicios de nube y
a su uso y las consecuencias de su prdida. Asimismo correo personal, filtrado de
limitar y ajustar el uso de dispositvos mviles a las contenido
condiciones de seguridad y proteccin de datos de la
organizacin, previamente autorizadas por la alta
direccin.

Deben existr mecanismos para la incorporacin de

dispositvos personales ingresados por los usuarios al
entorno de la organizacin, as como para el
tratamiento de datos a travs de dichos dispositvos.
Se debe limitar y ajustar el uso de dispositvos mviles
a las condiciones de seguridad y proteccin de datos
de la organizacin, previamente autorizadas por la
alta direccin.
BYOD, borrado remoto de
dispositvos mviles, Monitoreo
de protocolos y conexiones a
servicios de nube y correo
personal, filtrado de contenido
En su caso, los dispositvos que interacten con los
actvos de la organizacin debern reforzarse, si un
dispositvo no puede acoplarse a los sistemas de
informacin o genera una vulneracin, deber
excluirse.

Se deben establecer reglas para limitar el uso de

servicios privados de los usuarios (por ejemplo, el uso
de la cuenta de correo electrnico gratuita) para
evitar el almacenamiento o transferencia no Poltca de uso de dispositvos de
autorizados de datos personales. Se debe procurar almacenanamiento personal,
exclusivamente el uso de servicios dentro de entornos Bloqueo de USB, servicos de
empresariales o en los cuales exista un contrato con el nube, correo electrnico personal
prestador del servicio, siempre dentro de las
condiciones de las poltcas de seguridad de datos
personales establecidas en la organizacin.

En su caso, se deben especificar las condiciones de VPNs, Cifrado de equipo,

seguridad y procesos relacionados al teletrabajo, convenio de confidencialidad,
como el robo de equipos, las conexiones seguras, poltca de uso de actvos
clusulas de confidencialidad, etc.

Cuando se proporcionen datos a un sistema, se debe

validar que estos sean ingresados de forma correcta,
tal que no produzcan conflictos de tratamiento Control de cambios, Ant Injeccin
posteriores. En el caso de aplicaciones, se debe SQL, ant XSS
asegurar que los mtodos de entrada sean seguros y
no produzcan vulnerabilidades.

En los sistemas de informacin deben existr

mecanismos de autentcacin de mensajes para Firma electrnica, respaldo de
asegurar que un mensaje proviene de una fuente correos, actve directory
autorizada o que no est corrompido.

En el caso de aplicaciones se debe asegurar que los Control de cambios, Ant Injeccin
datos entregados sean los esperados y que se SQl, ant XSS, DLP
proporcionen en las circunstancias adecuadas.

Deben existr reglas que definan el uso de cifrado en

comunicaciones y/o almacenamiento, as como de los Cifrado mayor a 256 bits
controles y tpos de cifrado a implementar.

Se debe identficar la sensibilidad de los datos y el

nivel de proteccin necesario para aplicar el cifrado Cifrado completo de discos y
correspondiente, en almacenamiento y/o cifrado de medios extrables
transferencia de informacin.

Se pueden utlizar firmas electrnicas o digitales para

ayudar a la autentcidad e integridad de documentos Firma electrnica, PGP
electrnicos.
Es un servicio de seguridad que permite probar la
partcipacin de las partes involucradas en una Archiving de correo, firma
comunicacin. Se deben gestonar las disputas que electrnica
puedan surgir de negar o afirmar la partcipacin de
alguien en un evento o accin.

Se deben tener controles y procesos para integrar

sofware al ambiente operacional, para minimizar el
riesgo de corrupcin de datos. Se debe probar Control de cambios, pruebas,
cualquier cambio o actualizacin de sistemas crtcos revisin de cdigo, control de
antes de implementarse en la organizacin. Se deben versiones
aplicar los cambios a una copia concreta del sofware
original y evaluar su funcionamiento.

Se debe vigilar y gestonar los datos que se utlicen
para fines de prueba, evitando el uso de bases de
datos con datos personales para tales propsitos, si es
necesario usar datos personales, se deben desvincular
de su ttular antes de usarse.
Evitar uso de datos reales en
ambientes de prueba, eliminacin
de los ambientes de prueba,
segregacin de bases de datos

Se debe restringir el acceso a los usuarios no

especializados a las carpetas que mantenen la
configuracin de las aplicaciones o sistemas como las Restriccin de acceso a usuarios
libreras, con el fin de prevenir corrupcin en los
archivos o sofware.

Poltca para conexin a redes en

Se deben tener mecanismos para asegurar que con sitos pblicos, poltca de
nuevas actualizaciones no se introduzcan canales de actualizacin de dispositvos y
comunicacin para virus y cdigo malicioso. aplicaciones en redes autorizadas

Se debe tener bien definido y actualizado el arreglo

de contratacin de servicios de sofware como Revisin de cdigo, privacy by
pueden ser las licencias de uso, pruebas antes de design
instalacin, requerimientos del sistema, deteccin de
virus y cdigo malicioso, etc.

Deben existr procedimientos relacionados al

monitoreo, reporte, mitgacin y documentacin de
un incidente de seguridad, tal que se pueda verificar
la ocurrencia de una vulneracin para darle un
adecuado seguimiento e implementar las medidas de
seguridad correctvas.
Concientzacin, procedimiento
ante incidentes, procedimiento
ante vulneraciones, notficacin a
ttulares
Deben existr procedimientos relacionados a la
notficacin de vulneraciones a los ttulares cuando
stas afecten sus derechos patrimoniales o morales.
Estos procedimientos deben contemplar la magnitud
de la vulneracin y los mecanismos que se deban
poner a disposicin de los afectados.
Deben existr procedimientos de revisin y
actualizacin de las medidas de seguridad una vez
mitgada la vulneracin a la seguridad para mejorar el
SGSDP.
Concientzacin, procedimiento
ante incidentes, procedimiento
ante vulneraciones, notficacin a
ttulares
Auditora interna, auditoria
externa, auditoras tcnicas,
Anlisis de vulnerabilidades,
Pruebas de penetracin, revisin
de cdigo
Con qu medidas Fsicas , Tcnicas y Administrativas se Qu medidas Fsicas , Tcnicas y reas/Departamentos
cumple Administrativas puedo Implementar involucradas
 Fecha para Fecha para Justificacin de su
Responsable Responsable2
implementacin monitoreo exclusin
 No existente 0

Documentado 0.5

Parcialmente Implementado 0.7

Implementado 1

Registros 1.1

Control y monitoreo 1.2

KPI e informes 1.3

Mejora contnua 1.4

Automatzado 1.5
 No Aplicables
Implementado
Parcialmente Implementado
No existente

Medidas de Seguridad

No Apl ica bl es
Impl ementado
Pa rci al mente
Impl ementado
No exi stente
o Apl ica bl es
pl ementado
rci al mente
pl ementado
o exi stente
 Dominio 100% Suma Cumplimiento
Poltcas del SGSDP 0 #N/A #N/A
Cumplimiento legal 0 #N/A #N/A
Estructura organizacional de la seguridad 0 #N/A #N/A
Clasificacin y acceso a los actvos 0 #N/A #N/A
Seguridad del personal 0 #N/A #N/A
Seguridad fsica y ambiental 0 #N/A #N/A
Gestn de comunicaciones y operaciones 0 #N/A #N/A
Control de acceso 0 #N/A #N/A
Desarrollo y mantenimiento de sistemas 0 #N/A #N/A
Vulneraciones de Seguridad 0 #N/A #N/A
 Cumplimiento

Poltcas del SGSDP

Vulneraciones de Seguridad 100% Cumplimiento legal

50%
Desarrollo y mantenimiento de sistemas Estructura organizaciona

0%

Control de acceso Clasificacin y acceso a

Gestn de comunicaciones y operaciones Seguridad del personal

Seguridad fsica y ambiental

miento legal

Estructura organizacional de la seguridad

Clasificacin y acceso a los actvos

d del personal
 rea 1 rea 2

Persona 1
Persona 2
Persona 3
Persona 4
Persona 5
Persona 1
Persona 2
Persona 3
Persona 4
Persona 5
Escenario 1
Escenario 2
Escenario 3
Escenario 4
Escenario 5
Escenario 6
Escenario 7
Escenario 8
Escenario 9
Escenario 10
Escenario 11
 CICLO DE VIDA DP
O Obtencin
A Acceso
M Monitoreo
P Procesamiento
T Transferencia
R Respaldo
B Bloqueo
C Cancelacin/ Supresin