FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

TRABAJO FINAL DE ASIGNATURA

Jockey Salud

VIII Ciclo
ASIGNATURA DOCENTE SEC.
SEGURIDAD Y AUDITORÍA Mg. CELIS HENRY OCHOA --
INFORMÁTICA JAYO

AUTOR(ES)
Cordero Ferrua, Omar Anthony
Huachallanqui Peralta, Luis Miguel
Inca Huaman, Jharumy Cielo
Pezo Ramirez, Gustavo
Sierra Huanca, Luis Daniel
Vasquez Blanco, Katya

LIMA, PERÚ, MAYO 2020

 INDICE DE CONTENIDOS

CAPÍTULO I INTRODUCCIÓN 4
1.1. INTRODUCCIÓN DEL PROYECTO 4
CAPÍTULO II CONTEXTO DE LA EMPRESA 5
2.1. CONTEXTO ORGANIZACIONAL 5
2.1.1. Descripción de la empresa 5
2.1.2. Misión 5
2.1.3. Visión 5
2.1.4. Productos y servicios que ofrece 5
2.1.5. Principales procesos relacionados al negocio 5
2.2. CONTEXTO TECNOLÓGICO Y DE SEGURIDAD 5
2.2.1. Principales procesos relacionados con TI 5
2.2.2. Principales procesos relacionados con SI 5
2.2.3. Principales plataformas de TI 6
2.2.4. Principales plataformas de SI 6
CAPÍTULO III PROGRAMA DE AUDITORÍA 6
3.1. ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA 6
3.1.1. Objetivos y alcance de la auditoría 6
3.1.2. Responsabilidades 6
3.1.3. Recursos 6
3.1.4. Procedimientos 6
3.2. IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA 6
3.2.1. Elaboración de calendario de las auditorías 6
3.2.2. Evaluación de los auditores 7
3.2.3. Selección de los equipos auditores 7
3.2.4. Conducción de las actividades de auditoría 7
3.2.5. Conservación de los registros 7
3.3. SEGUIMIENTO Y REVISIÓN DEL PROGRAMA DE AUDITORÍA 7
3.3.1. Seguimiento y revisión 7
3.3.2. Identificación de la necesidad de acciones correctivas y preventivas 7
3.3.3. Identificación de oportunidades de mejora 7
3.4. MEJORA DEL PROGRAMA DE AUDITORÍA 7
CAPÍTULO IV PGCN PROGRAMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO 9
4.1. OBJETIVO Y ALCANCE 9
4.1.1. Objetivo 9
4.1.2. Alcance 9
 4.2. BASES PARA EL MARCO DE TRABAJO 9
4.2.1. Base Estratégica 9
4.2.2. Base Regulatoria 9
4.2.3. Base Metodológica 9
4.3. MARCO DE TRABAJO PARA PGCN 9
4.3.1. Gestión del programa de CN 9
4.3.2. Entender la organización 10
4.3.3. BIA Análisis de impacto al negocio 10
4.3.4. Establecer la estrategia de CN 10
4.3.5. Desarrollar e implementar la respuesta de CN 10
4.3.6. Probar, Mantener y Revisar 10
4.3.7. Integrar el PGCN en la cultura de la Organización 10
CAPÍTULO V AUDITORÍA DE SEGURIDAD 11
5.1. ALCANCE 11
5.2. OBJETIVOS 11
5.3. LISTA DE VERIFICACIÓN 11
5.4. MATRIZ DE EJECUCIÓN DE AUDITORÍA 11
5.5. HALLAZGOS 11
5.6. INFORME Y PLAN DE ACCIÓN 11
CONCLUSIONES Y RECOMENDACIONES 11
ANEXOS o APÉNDICES 12
Bibliografía 13

CAPÍTULO I INTRODUCCIÓN

1.1. INTRODUCCIÓN DEL PROYECTO

El presente proyecto, se desarrolla el modelo para implementar una solución de

Seguridad y Auditoría Informática en la microempresa JOCKEY-SALUD, la cual
es una empresa que se dedica a la salud ,fármacos,línea de belleza y maquillaje.
El ambiente del mundo de los negocios de hoy exige una aplicación tecnológica
eficiente que transforme los datos de las áreas de la empresa en información
disponible para la toma de decisiones.
Seguridad y Auditoría Informática como su nombre lo indica, el análisis y gestión
de la empresa,para identificar,enumerar y posteriormente describir las diversas
vulnerabilidades. La Seguridad y Auditoría Informática ayuda a los que permiten
reducir los impactos una vez identificados los riesgos y vulnerabilidades.
Las empresas manejan mucha información día a día y cada vez es más difícil
controlarla, millones de datos dispersos en el tiempo por sí solos no adquieren un
significado para el negocio, sin embargo, al combinarlos, obtenemos información
relevante que se convierte en conocimiento permitiendo identificar al negocio
donde se encuentran sus fortalezas y debilidades, analizando donde se generan
los mayores ingresos, los más altos costos y el tiempo que dedica completar los
procesos.

CAPÍTULO II CONTEXTO DE LA EMPRESA

1.1. CONTEXTO ORGANIZACIONAL

FORTALEZA(F) DEBILIDADES(D)

● Calidad de Servicio ● Falta de un plan estratégico

● Amplia Gama de ● Limitada cantidad de
Servicio medicamentos en la
MATRIZ FODA ● Personal altamente farmacia
calificado ● Baja campaña publicitaria
● Materiales de buena ● No cuenta con estrategia
calidad y de garantía para afiliar nuevos clientes
OPORTUNIDADES(O) ESTRATEGIA FO ESTRATEGIA DO

● Aplicación de nuevos ● Con las nuevas ● Motivar a los

avances médicos y tecnologías tratar de colaboradores para unirse
tecnológicos. generar mayo más a la empresa
● Buena relación con los calidad dentro del
clientes. servicio.
● Creciente demanda ● Con los nuevos
● Usuarios dispuestos a estándares tener
pagar por un buen personal más
servicio calificado
AMENAZAS(A) ESTRATEGIA FA ESTRATEGIA DA

● Crisis Económica ● Una crisis en el ● Contratar a personales

● Alta demanda de Clínicas ámbito financiero capacitados en cada área
● Perdidas de Clientes puede perjudicar la
● Gran Staff de médicos de calidad del servicio.
 la competencia ● Competencia más
calificada que la
nuestra.

1.1.1. Descripción de la empresa

Jockey Salud es un Centro Médico especializado en medicina preventiva
con un concepto innovador ubicado dentro del Jockey Plaza, uno de los
Centros Comerciales más importantes del país, permitiéndole a nuestros
pacientes realizar diferentes actividades en un solo lugar.
Donde encontrarás un selecto equipo de médicos profesionales, que
trabajan con equipos de última generación, dentro de una moderna
infraestructura para atender urgencias tanto de adultos como niños.
● Sector: Sanidad, bienestar y ejercicio

● Tamaño de la empresa: 51-200 empleados

● Tipo: de financiación privada

● Fundación: 2005

Página Web: https://www.jockeysalud.com.pe

Ubicación
Fuente: Google Maps 2020

Figura 01. Ubicación geográfica de la clínica Jockey Salud.

Fuente: Elaboración Propia

Figura 02. Organigrama de la clínica Jockey Salud.

1.1.2. Misión
"Brindar la mejor experiencia de salud con profesionales de primer nivel, los
más avanzados recursos tecnológicos y una infraestructura moderna, que
garanticen seguridad, comodidad y respeto a las personas".

1.1.3. Visión
"Ser una organización de salud de la más alta categoría internacional que
acompañe el crecimiento de las familias con un servicio integral de
excelencia

1.1.4. Productos y servicios que ofrece

Actualmente, brinda atenciones médicas en más de 20 especialidades y
talleres socioemocionales con la finalidad de que todos pacientes se
sientan y se vean saludables.

Servicios
● Diagnóstico por Imágenes
✔ Ecografía
✔ Mamografía
✔ Rayos X
● Medicina del Dolor
✔ Técnica de aguja seca
✔ Proloterapia
✔ Viscosuplementación
✔ Neuroproloterapia
✔ Vendajes musculares
✔ Terapia Física
● Chequeos Médicos
✔ Chequeo Preventivo
✔ Chequeo ocupacional
▪ Evaluación médica preocupacional o de ingreso
▪ Evaluación médica ocupacional periódica
▪ Evaluación médica ocupacional de retiro
✔ Chequeo Premium
● Talleres Socioemocionales
✔ Disciplina positiva para padres
✔ Coaching académico
▪ Supervisión en la resolución de tareas
▪ Entrenamiento en métodos de estudios
 ▪ Orientación vocacional para los alumnos en transición
universitaria
✔ Otros Talleres según orientación inicial del especialista
● Farmacia
● Laboratorio
✔ Biología Molecular
✔ Bioquímica
✔ Hematología
✔ Inmunología
✔ Micobacteriología
✔ MicroBiología
✔ Parasitología
✔ Toxicología
● Tópico
● Óptica Jockey
● Retail
✔ La Roche Posay
✔ Mason
✔ Dentaid
✔ Genacol
1.1.5. Principales procesos relacionados al negocio

DESCRIPCIÓN DE LOS PROCESOS OPERATIVOS Y APOYO

Medicina Ocupacional y Preventiva:Se ocupa de la prevención y tratamiento de
enfermedades y lesiones que ocurren en el trabajo o en ocupaciones específicas.
Enfermería:Es brindar cuidados humanistas eficientes centrados en el logro de
resultados esperados, apoyándose en un modelo científico realizado por un
profesional de Enfermería.
Farmacia:Es donde están los medicamentos de los pacientes o clientes y el stock
del producto.
Archivo Médico:Es la información que guarda información médica de pacientes
tales como información demográfica (nombre, fecha de nacimiento, dirección),
historia clínica, imágenes médicas, resultados de pruebas de laboratorio,
medicamentos, y alergias.
Call Center:Se encarga de gestionar los contactos de los clientes,brindar algún tipo
de atención o servicio telefónico.
Chequeo Médico y Tópico:Donde se puede encontrar problemas antes que se
presenten síntomas.
Retail:Es la comercialización de productos que ofrece la empresa.
Gestión de Personal:comprende todas las tareas administrativas del departamento
de recursos humanos y abarca desde el proceso de contratación de cada empleado
hasta su cese.
 Gestión de Clima y Admision de Personal:Es el ambiente que se respira en un
entorno laboral,se encargan de buscar perfiles de personas que encajen con las
características predominante de la empresa.
Gestión Financiera:Analiza cómo obtener y utilizar de manera óptima los recursos
de la empresa.
Gestión Logística:Es donde todas las operaciones que buscan garantizar la
disponibilidad de un determinado elemento (producto, servicio, información) en
tiempo y forma óptimos.
Gestión de Desarrollo y Mantenimiento:Es evaluar el desempeño de los
empleados,capacitar a los empleados para que tengan un mejor conocimiento.
Gestión de Soporte Técnico:Es la asistencia técnica ,es ayudar a los usuarios para
que puedan resolver ciertos problemas.

1.2. CONTEXTO TECNOLÓGICO Y DE SEGURIDAD

Gestión de Desarrollo y
1.2.1. Principales procesos relacionados con TI Mantenimiento

Procesos de Negocio ligados directamente a TI Gestión de Soporte Técnico

● Gestión de Mesa Ayuda y Servicio, se realizan el mantenimiento

a los equipos informáticos de las distintas áreas de la empresa
Jockey Salud.
● Gestión de Desarrollo de Software, se establecen estrategias y
criterios metodológicos para el diseño y desarrollo de sistemas.
● Gestión de Mantenimiento de Sistemas Informáticos, se realiza
el mantenimiento al sistema de gestión de Salud de Jockey Salud.
● Gestión de Backup, se realizan copias de seguridad de los datos e
información en caso de pérdidas.

Procesos de TI externos

● Gestión de Ventas, se registran las ventas de fármacos, productos

Retail & óptica de la clínica Jockey Salud.
● Gestión de facturación, gestión de facturación a clientes, facturas
recibidas de proveedores, cuentas a pagar.
 ● Gestión de Atención en Farmacia, gestión de ticket para ser
atendido en plataforma de farmacia.
● Gestión de Reservas de Citas Médicas, se solicitan reservas de
citas médicas a los distintos servicios que ofrece la clínica Jockey
Salud.
● Gestión de Inventario, se gestiona el control de fármacos en el
área de farmacia.
● Gestión de Control de Asistencias, se registran el horario de
ingreso y salida del personal de Jockey Salud.
● Gestión de Reportes, se visualiza el reporte de ventas, servicios
del negocio, etc.

1.2.2. Principales procesos relacionados con SI

Principales Procesos relacionados con Seguridad de la Información:

● Gestión de Vulnerabilidades: Proceso continuo que consiste en la

identificación, evaluación y corrección de vulnerabilidades en los
sistemas de información y aplicaciones de la clínica Jockey Salud
además de categorizar los activos y clasificar las vulnerabilidades
según el nivel de riesgo.
● Gestión de Incidencia de Seguridad de la información: Proceso que
comprende la asignación de roles y responsabilidades para el
desarrollo de actividades ante la ocurrencia de incidentes. Enmarcado
en la mejora continúa permitiendo analizar y realizar mejoras a
controles existentes o implementar nuevos.
● Gestión seguridad física: Proceso de prevención y detección para
proteger cualquier recurso de los sistemas de la clínica Jockey Salud
además de incluir medidas para la protección de datos, evitar pérdidas,
disponibilidad de información.
● Gestión de concientización: Proceso que consiste enfocar la
atención en seguridad de la información para posibilitar que el público
 reconozca los temas de seguridad establecidos dentro de la clínica
Jockey Salud.
● Gestión de monitoreo de eventos: Proceso que consiste en
identificar de manera efectiva y oportuna posibles incidentes o eventos
que afecten la disponibilidad de los servicios de TI de la clínica Jockey
Salud.
1.2.3. Principales plataformas de TI
● Sistema de Gestión de Salud Jockey Salud: Desarrollado por el
equipo de TI de la clínica Jockey Salud, es un aplicativo web / intranet
que sirve para que los distintos usuarios de los diferentes
departamentos accedan la información necesaria para el desarrollo de
su actividad a través de diferentes módulos como Kardex, farmacia,
reportes, ventas, etc.
● Sistema de Historial Clínico Jockey Salud: Desarrollado por el
equipo de TI de la clínica Jockey Salud, es un sistema que sirve para
que la relación médico-paciente sea eficaz y se pueda repasar el
historial clínico de un paciente.
● Sistema Control de Asistencia Biométrico: Desarrollado por un
equipo de TI externo para la clínica Jockey Salud, es un aplicativo web
que sirve para autorizar o negar el ingreso del personal a partir del
reconocimiento físico de sus características dactilares además de tener
el control de turnos del personal.
● Sistema de Reservas de Citas Jockey Salud: Desarrollado por el
equipo de TI de la clínica Jockey Salud, es un aplicativo web que sirve
para que la paciente gestione una solicitud de cita médica previa desde
cualquier dispositivo por 24 horas al día. Jockey Salud tiene el control
total sobre la gestión de citas médicas, permitiendo un mejor uso de
tiempo y recursos.
● Sistema de Laboratorio de Jockey Salud: Desarrollado por el equipo
de TI de la clínica Jockey Salud, es un aplicativo web que permite al
paciente revisar sus resultados de exámenes de laboratorio en línea
desde cualquier dispositivo por 24 horas al día.
 ● Sistema de Consulta de Comprobantes: Desarrollado por el equipo
de TI de la clínica Jockey Salud, es un aplicativo web que sirve para
para consulta y verificación de comprobantes tales como factura
electrónica, boleta de venta, nota de crédito, nota de débito, guía de
remisión, ticket de máquina registradora, comprobante de retención y
comprobante de percepción

Servicio Tercerizado

● Hosting en WIGO S.A.

● Hosting en GoDaddy
● Firewall Fortinet

1.2.4. Principales plataformas de SI

Principales plataformas de Seguridad de la Información:

● Firewall: plataforma que permite gestionar y filtrar la totalidad de tráfico

entrante y saliente entre redes y ordenadores de la clínica Jockey Salud a
través de políticas de acceso entre usuarios de la red privada y el internet y/o
viceversa. Evita intrusiones de usuarios no deseados preservando la
seguridad y privacidad de la información almacenada.
● Antivirus eset NOD32: plataforma independiente que detecta, elimina y
protege ante topo tipo de malware, virus, ransomware, rootkits, gusanos y
spyware. Tiene un impacto en el sistema sin interrupciones y prevenir que
infecten el sistema de la clínica Jockey Salud.
● IPS: plataforma que ejerce el control de acceso en una red para proteger a
los distintos sistemas de la clínica Jockey Salud de ataques y abusos. Está
diseñado para analizar los datos del ataque y actuar en consecuencia,
detiene en el momento que se está gestando y antes de que logre su
cometido.
● ·DLP: es una estrategia para asegurar de que los usuarios finales de la
clínica no envíen ni divulguen información sensible fuera de la red de la
 organización además de monitorear y controlar las actividades de punto final,
filtrar fuga de datos en la red y proteger los datos en reposo.
● WAF: el firewall de aplicaciones web supervisa, filtra o bloquea el tráfico http
hacia y desde un aplicativo web. Protege a los aplicativos webs contra
ataques como inyección SQL, XSS y falsificación de sitios cruzados a través
de un escudo entre el sistema web e internet que pasan antes de llegar al
servidor.

CAPÍTULO III PROGRAMA DE AUDITORÍA

2.1. ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA

Norma ISO 27001:

Es una norma internacional que permite el aseguramiento, la confidencialidad

e integridad de los datos y de la información, así como de los sistemas que la
procesan. Se usará para el sistema de gestión de la seguridad de la
información que permite las organizaciones la evaluación del riesgo y la
aplicación de los controles necesarios para la mitigarlos o eliminarlos
 También se implementa en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una
entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con
la norma ISO 27001.

Ley 29733: Ley de protección de datos Personales

la Comisión Multisectorial conformada mediante Resolución Suprema Nº 180-

2011-PCM ha elaborado el proyecto de Reglamento de la Ley Nº 29733, Ley
de Protección de Datos Personales, el que ha sido republicado conforme a
ley, recibiéndose los aportes de la ciudadanía y comunidad en general;

El artículo 2 numeral 6 de la Constitución Política del Perú señala que toda

persona tiene derecho a que los servicios informáticos, computarizados o no,
públicos o privados, no suministren informaciones que afecten la intimidad
personal y familiar

La Ley Nº 29733, Ley de Protección de Datos Personales, tiene el objeto de

garantizar el derecho fundamental a la protección de los datos personales,
previsto en la Constitución Política del Perú, también que el artículo 32 de la
acotada Ley Nº 29733, dispone que el Ministerio de Justicia y Derechos
Humanos asume la Autoridad Nacional de Protección de Datos Personales.

Auditoría Informática de Redes

Es el análisis llevado a cabo de manera exhaustiva, específica y
especializada que se realiza a los sistemas de redes de una empresa,
tomando en cuenta, en la evaluación, los tipos de redes, arquitectura,
topología, sus protocolos de comunicación, las conexiones, accesos
 privilegios, administración y demás aspectos que impactan en su instalación,
administración, funcionamiento y aprovechamiento. Además, también la
auditoría de red toma en cuenta la revisión del software institucional, de los
recursos informáticos e información de las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones, software
y hardware de un sistema de red.

Norma ISO 22301: Gestión de Continuidad del Negocio

2.1.1. Objetivos y alcance de la auditoría

Evaluar el control interno de la clínica y el nivel de seguridad y confiabilidad que
existe en la información que se genera día a día, y si las actividades de control que
ejerce actualmente son eficaces y eficientes en la prevención de riesgo.
- Asegurar la prestación de servicios y el cumplimiento de la ISO 27001 de
manera eficaz.
- Verificar el cumplimiento de los controles de seguridad implementados para
poder garantizar el alineamiento con lo requerido en las principales
normativas del estado peruano.
El alcance comprenderá la valoración adecuado de la clínica Jockey salud y efectivo
de los sistemas de control y seguridad para la ejecución de las responsabilidades
asignadas:
- Revisión de los sistemas establecidos para asegurar el cumplimiento de las
políticas de seguridad.
- Revisión de la confiabilidad de la información de los datos personales clínicos
utilizados para identificar, medir, clasificar e informar sobre ello.

2.1.2. Responsabilidades

Responsable Rol

Omar Anthony Cordero Ferrua Jefe Auditor

Jharumy Cielo Inca Huaman Analista de SI

Gustavo Pezo Ramirez Analista de base de datos

Luis Miguel Huachallanqui Peralta Ingeniero en redes

 Luis Sierra Huanca Analista de la ISO 27001

Katya Vasquez Blanco Analista de TI

2.1.3. Recursos
2.1.3.1. Recursos económicos

- Contratación de auditores
- Presupuestos de auditoría

2.1.3.2. Gastos administrativos

- Analista en seguridad informática

- Experto en seguridad de datos

2.1.3.3. Herramientas

- Backups
- VPS
- Laptops

2.1.4. Procedimientos
- Identificar servicios críticos.
- Evaluar los riesgos de continuidad.
- Contar con procedimientos de restauración

2.2. IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA

Para la implementación de la auditoría se llevará a cabo la evaluación de los
controles requeridos según la norma ISO 27001. Incluyendo la evaluación de
controles compensatorios, también estableceremos mejoras en cuanto a las políticas
que se deberían implementar a corto, mediano y largo plazo.
2.2.1. Elaboración de calendario de las auditorías
 Auditoria Objetivo Alcance Mes Semana Dia Hora Actividad Auditor Auditado Recursos
Omar Cordero Laptop,
1 09:00 a 11:00 Apertura de la auditoría Dr. Ivan Ballena
Ferrua proyector, sala
Semana 1
Almacenamiento de Laptop,
Cumplimiento 2 09:00 a 11:00 Cielo, Katia Gabriela Angulo
Revisar la datos personales proyector, sala
de la ley de Planificar
seguridad de Septiembre
datos Auditorías Transporte de datos Luis, Cielo, Laptop,
la empresa 1 10:00 a 12:00 Gabriela Angulo
personales personales Gustavo proyector, sala
Semana 2
Cifrado de datos Omar, Katia,
2 10:00 a 12:00 Gabriela Angulo Laptop
personales SIerra

1 11:00 a 13:00 Apertura de la auditoría Omar Cordero Carla Barzona Laptop

Semana 3
Entendimiento de la Laptop,
2 11:00 a 13:00 Gustavo pezo Vanessa Quevado
organización proyector, sala

Política de gestión de Laptop,

1 09:00 a 11:00 Cielo, Katia Vanessa Quevado
Se busca continuidad del negocio proyector, sala
prever Semana 4
Gestión de Preveer Mecanismo de luis Laptop,
situaciones 2 09:00 a 11:00 Paola Pohrylec
continuidad situaciones Octubre comunicación y reporte huachallanqui proyector, sala
adversas y
del negocio adversas
actuar ante
Implementación de la
ellas
1 10:00 a 12:00 gestión de continuidad Gustavo pezo Gabriela Angulo Laptop
Semana 5 del negocio

2 10:00 a 12:00 Monitoreo y revisión luis sierra Gabriela Angulo Laptop

Semana 6 1 09:00 a 11:00 Criterio y riesgo Cielo, Katia Mayra Duffo Laptop
 Identificación de los luis Laptop,
2 09:00 a 11:00 Mayra Duffo
riesgos huachallanqui proyector, sala

Noviembre Laptop,
1 10:00 a 12:00 Análisis de riesgos Omar Cordero Mayra Duffo
proyector, sala
Semana 7
Tratamientos y registros luis
2 10:00 a 12:00 Mayra Duffo Laptop
de riesgos huachallanqui

Auditoria Se busca Verificar la 1 11:00 a 13:00 Apertura de la auditoría Cielo, Katia Dr. Juana Chavez Laptop
informatica verificar el seguridad
Semana 8
de Redes cumplimiento ante un Verificar los accesos en
y control de la riesgo de 2 11:00 a 13:00 Gustavo pezo Gabriela Angulo Laptop
dar contraseñas
seguridad de informació
información. n Verificar los controles de
gestión de accesos a las
aplicaciones que tratan
los datos personales. luis
1 09:00 a 11:00 Gabriela Angulo Laptop
Como la encriptaciones, huachallanqui
Semana 9 protección de claves,
autenticaciones a nivel
red, gestión de accesos.

Verificar que en una

2 09:00 a 11:00 transmisión sea recibida luis sierra Gabriela Angulo Laptop
por el destinatario

Semana Identificar las actividades Laptop,

1 10:00 a 12:00 Cielo, Katia Gabriela Angulo
10 de los usuarios en la red proyector, sala

2 10:00 a 12:00 Verificar la encriptar la luis Gabriela Angulo Laptop,

información pertinente huachallanqui proyector, sala
 Diciembre Verifica el cumplimiento
de accesos de Laptop,
1 11:00 a 13:00 Gustavo pezo Gabriela Angulo
información y los proyector, sala
recursos.

Verificar si el personal de
Semana las áreas cuentan con
11 entrenamiento y
conocimiento de planes Laptop,
2 11:00 a 13:00 luis sierra Carla Barzona
de recuperación y proyector, sala
preparación al presentar
algún riesgo de
seguridad informática.

Auditoría de Se busca la Procesos Revisión de conceptos

cumplimine verificación involucrad 09:00 a de la seguridad Omar Cordero, Laptop,
1 Mayra Duffo
nto de la del os a la 11:00 informática, revisión de Luis Sierra proyector, sala
ISO 27001 cumplimiento seguridad políticas de seguridad
de la norma del Semana
ISO 27001 personal Revisión de la gestión
12 de activos
de la
empresa 10:00 a informáticos, Revisión Gustavo Pezo, Laptop,
2 Gabriela Angulo
12:00 de la seguridad Luis Migul proyector, sala
relacionada con el
personal.

Semana Auditoría de la
13 11:00 a seguridad física y el Cielo, Luis Laptop,
1 Carla Barzona
13:00 entorno, Auditoria de Sierra proyector, sala
acceso

2 09:00 a Resultados de la Katia, Gustavo Gabriela Angulo Laptop,

11:00 auditoria, Cierre de la proyector, sala
auditoría
2.2.2. Evaluación de los auditores
Según la ISO 19011, la evaluación de la competencia del auditor deberá planificar,
implementar y documentar para proporcionar un resultado que es objetivo,
coherente, imparcial y fiable. El proceso de evaluación debería incluir cuatro pasos
principales:

- Determinar la competencia requerida para cumplir las necesidades del

programa de auditoría.
- Establecer los criterios de evaluación.
- Seleccionar el método de evaluación apropiado.
- Realizar la evaluación.

2.2.3. Selección de los equipos auditores

Responsable Rol

Omar Anthony Cordero Ferrua Jefe Auditor

Jharumy Cielo Inca Huaman Analista de SI

Gustavo Pezo Ramirez Analista de base de datos

Luis Miguel Huachallanqui Peralta Ingeniero en redes

Luis Sierra Huanca Analista de la ISO 27001

Katya Vasquez Blanco Analista de TI

2.2.4. Conducción de las actividades de auditoría

En la ISO 19011 se debe establecer directrices para la ejecución de las auditorías,
define principios relacionados con la parte conductual de los equipos involucrados. Y
también incluye un enfoque basado en el riesgo.

Inicio de la auditoría

Es en este apartado en el que se da la comunicación con los auditados, se obtiene

información relevante para el trabajo del auditor y se acuerdan horarios de acceso a
las instalaciones, uso de recursos y todo lo necesario para que la auditoría alcance
los objetivos propuestos.

Preparación de actividades de la auditoría

Con la auditoría en marcha, se procede a realizar el plan de auditoría formal. Para

ello es preciso elaborar un documento en el que se detallen las actividades, las
personas que están involucradas y los días y horas en que se llevará a cabo. En
este documento debe ser comunicado a todo el equipo de trabajo de auditores,
cuando ese es el caso, y a todos los auditores, cuando ese sea el caso, y a todos los
audífonos pertinentes. El contenido y la complejidad del plan de auditoría, como es
lógico, dependen de la naturaleza de la misma y de la estructura y tamaño de la
organización auditada.

Generación de las actividades de la auditoría

Para los observadores, cualquier disposición para el acceso, la seguridad y salud, el

medio ambiente, la seguridad física y la confidencialidad debería gestionarse entre el
cliente de la auditoría y el auditado. Puede ser necesario llegar a acuerdos formales
para la comunicación dentro del equipo auditor, así como con el auditado, el cliente
de la auditoría, y potencialmente con las partes interesadas externas, especialmente
cuando los requisitos legales y reglamentarios exijan la comunicación obligatoria de
las no conformidades.

Preparación y distribución del informe de auditoría

Se debe informar las conclusiones de la auditoría de acuerdo con el programa de

auditoría y se debe proporcionar un registro completo, preciso, conciso y claro de la
auditoría.

- Los objetivos de la auditoría.

- El alcance de la auditoría, particularmente la identificación de la organización
(el auditado) y de las funciones o procesos auditados.
- La identificación del cliente de la auditoría.
- La identificación del equipo auditor y de los participantes del auditado en la
auditoría.
- Las fechas y ubicaciones donde se realizaron las actividades de auditoría.
 - Los criterios de auditoría.
- Los hallazgos de la auditoría y las evidencias relacionadas.
- Las conclusiones de la auditoría.
- Una declaración del grado en el que se han cumplido los criterios de la
auditoría.
- Cualquier opinión divergente sin resolver entre el equipo auditor y el auditado.
- Las auditorías, por naturaleza, son un ejercicio de muestreo; como tales, hay
un riesgo de que las evidencias de la auditoría examinadas no sean
representativas.

2.2.5. Conservación de los registros

Implementar la planificación operacional y la coordinación de todas las actividades
dentro del programa.

a) Comunicar las partes pertinentes del programa de auditoría, incluyendo los

riesgos y oportunidades implicados, a las partes interesadas pertinentes e informar
periódicamente de su progreso, usando los canales de comunicación externos e
internos establecidos.

b) Definir los objetivos, el alcance y los criterios para cada auditoría individual.

c) Seleccionar los métodos de auditoría.

d) Coordinar y programar las auditorías y otras actividades pertinentes al programa

de auditoría.

e) asegurarse de que los equipos auditores tienen la competencia necesaria.

f) Proporcionar los recursos necesarios individuales y globales para los equipos

auditores.

g) Asegurar la realización de las auditorías de acuerdo con el programa de auditoría,

gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir,
eventos inesperados), según surjan durante el despliegue del programa.

h) Asegurarse de que la información documentada pertinente relativa a las

actividades de auditoría se gestiona y mantiene adecuadamente.
i) Definir e implementar los controles operacionales necesarios para el seguimiento
del programa de auditoría.

j) Revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo.

2.3. SEGUIMIENTO Y REVISIÓN DEL PROGRAMA DE AUDITORÍA

Las auditorías internas suelen realizarse para cumplir el requisito de un sistema de
gestión. Así, el mismo sistema determina que los hallazgos de auditoría deben ser
objeto de monitoreo y seguimiento.
Auditar no termina con la presentación del informe. Conduce generalmente a la
implementación de acciones correctivas. Y es preciso realizar un seguimiento a los
hallazgos y recomendaciones, sobre todo cuando se trata de hallazgos negativos.

2.3.1. Seguimiento y revisión

Las personas responsables de la gestión del programa de auditoría deberían
asegurar la evaluación de:
a) el cumplimiento de los calendarios y el logro de los objetivos del programa de
auditoría;
b) el desempeño de los miembros del equipo auditor, incluyendo el líder del equipo
auditor y los expertos técnicos;
c) la capacidad de los equipos auditores para implementar el plan de auditoría;
d) la retroalimentación de los clientes de la auditoría, de los auditados, de los
auditores, de los expertos técnicos y de otras partes pertinentes;
e) la suficiencia y adecuación de la información documentada en todo el proceso de
auditoría
Las personas responsables de la gestión del programa de auditoría deberían
asegurar de:
a) la revisión de la implementación global del programa de auditoría.
b) la identificación de áreas y oportunidades para la mejora.
c) la aplicación de cambios al programa de auditoría, si es necesario.
d) la revisión del desarrollo profesional continuo de los auditores.
2.3.2. Identificación de la necesidad de acciones correctivas y preventivas
Al finalizar el día se realiza una reunión de auditores para supervisar y analizar si
tienen alguna recomendación o necesita corregirse, para el día siguiente o un día
oportuno implementar esas correcciones y acometer toda la auditoría.

2.3.3. Identificación de oportunidades de mejora

Las personas responsables para la identificación de oportunidades de mejora, tienen
que tomar en cuenta lo siguiente:

a) los resultados y tendencias del seguimiento del programa de auditoría;

b) la conformidad con los procesos del programa de auditoría y con la información

documentada pertinente;

c) la evolución de las necesidades y expectativas de las partes interesadas

pertinentes;

d) los registros del programa de auditoría;

e) los métodos de auditoría alternativos o nuevos;

f) los métodos alternativos o nuevos para evaluar a los auditores;

g) la eficacia de las acciones para abordar los riesgos y oportunidades, y cuestiones

internas y externas, asociados con el programa de auditoría;

h) los temas de confidencialidad y seguridad de la información relacionados con el

programa de auditoría.

2.4. MEJORA DEL PROGRAMA DE AUDITORÍA

Las personas responsables de la gestión del programa de auditoría deberían
asegurar la evaluación de:
a) El cumplimiento de los calendarios y el logro de los objetivos del programa de
auditoría
b) El desempeño de los miembros del equipo auditor, incluyendo el líder del equipo
auditor y los expertos técnicos
c) La capacidad de los equipos auditores para implementar el plan de auditoría
d) La retroalimentación de los clientes de la auditoría, de los auditados, de los
auditores, de los expertos técnicos y de otras partes pertinentes.
e) La suficiencia y adecuación de la información documentada en todo el proceso de
auditoría.

CAPÍTULO IV PGCN PROGRAMA DE GESTIÓN DE

CONTINUIDAD DEL NEGOCIO

3.1. OBJETIVO Y ALCANCE

3.1.1. Objetivo
La clínica Jockey-Salud está preparada para una situación de emergencia es decir
cuenta con un plan de contingencia cuyo objetivo principal es mantener a la empresa
con un resguardo frente a posibles problemas de liquidez.

3.1.2. Alcance

El alcance de la ISO 27001 se centra en aquellos desastres que tengan relación con
la información crítica de la organización y durante el transcurso de la certificación
nos permitirá:

● Tener identificados y controlados todos los pasos y tareas del proyecto

● NO perder el foco y objetivos del proyecto
● Tener controlados los costes del proyecto y costes de mantenimiento

3.2. BASES PARA EL MARCO DE TRABAJO

3.2.1. Base Estratégica
● Trabajo y compromiso del equipo
● Compromiso de alta dirección
● Organización de seguridad
● Identificación de alcance y objetivos
 ● Autoevaluación de cumplimientos
● Planificación de etapas

3.2.2. Base Regulatoria

Justificación de la ley En base regulatoria según los estándares que exige el

gobierno peruano al no ser una entidad que exija mayor demanda en cuanto a
escenarios extremos de riesgo que puedan suceder en un contexto determinado.
Nuestra empresa está más dirigida en una base estratégica para lograr mayor
presencial no solo en el mercado sino también ser un referente de contar con una
seguridad de datos de los pacientes de la clínica jockey salud a nivel nacional

3.2.3. Base Metodológica

● Capacitación de personal
● Diseñar controles
● Implementación de requerimientos
● Documentación evidencias
● Estrategias

3.3. MARCO DE TRABAJO PARA PGCN

3.3.1. Gestión del programa de CN
En uno de los documentos de referencia más conocidos y completos para
gestionar el establecimiento y monitorización de una estrategia de
ciberseguridad.

1. Describir su postura actual de seguridad cibernética.

2. Describir su objetivo deseado para la seguridad cibernética.
3. Identificar y priorizar oportunidades de mejora dentro del contexto de
un proceso continuo y repetible.
4. Evaluar el progreso hacia el objetivo deseado.
 5. Comunicarse entre las partes interesadas internas y externas sobre el
riesgo de seguridad cibernética.
Este marco de trabajo está dividido en tres partes principales:

● Núcleo: Es un conjunto de actividades de seguridad cibernética,

resultados deseados y referencias aplicables que son comunes en
todos los sectores de infraestructura crítica.

● Los Niveles de Implementación del Marco: proporcionan un contexto

sobre cómo una organización considera el riesgo de seguridad.

Perfil del Marco, que representa los resultados que se basan en las necesidades
empresariales que una organización ha seleccionado de las categorías y
subcategorías del Marco.

3.3.2. Entender la organización

- Identificar productos y/o servicios críticos
- Identificar Procesos críticos
Servicio al Cliente
Medicina Ocupacional y Preventiva
Farmacia
Recursos Humanos
Enfermería
Gestión gerencial
Gestión de auditoria médica

- Identificación de activos

Inventario de Activos

ID Nombre del Activo Propietario Area/Proceso Estado

Sistema de
1
Servidor de aplicaciones Gerente TI Información Operativo
Sistema de
2
Camaras de seguridad Gerente TI Información Operativo
3 Servidor de base de datos Gerente TI Sistema de Operativo
 Información
Sistema de
4
Internet Gerente TI Información Operativo
Sistema de
5
Routers, Switches Gerente TI Información Operativo
Sistema de
6
Pantallas led Gerente TI Información Operativo
7 Sistema de facturación Gerente Ventas Ventas Operativo
Sistema de Gestión de
8
Salud Jockey Salud Gerente TI RRHH Operativo
Sistema de Historial Clínico Farmacia ,
9
Jockey Salud: Gerente TI Medicina Operativo
Sistema de Consulta de
10
Comprobantes: Gerente TI Ventas Operativo
Sistema de Reservas de Sistema de
11
Citas Jockey Salud: Gerente TI Información Operativo
Sistema de Laboratorio de
12
Jockey Salud: Gerente TI Laboratorio Operativo
Sistema Control de Sistema de
13
Asistencia Biométrico Gerente TI Información Operativo
14 Dispositivos biométricos Jefe de Enfermeria Emergencia Operativo
Sala de
15 Máquina de Anestia Jefe Medico Operaciones Operativo
16 Monitor de signos vitales Jefe de Enfermeria Emergencia Operativo
17 Camas Jefe de Enfermeria Emergencia Operativo
Sala de
18 Desfibriladores Jefe Medico Operaciones Operativo
Sala de
19 Lámpara Cialítica Jefe Medico Operaciones Operativo
Sala de
20 Mesa de Operaciones Jefe Medico Operaciones Operativo
Sala de
21 Mesa Quirúrgica Jefe Medico Operaciones Operativo
Sala de
22 Monitor Modular Jefe Medico Operaciones Operativo
Sala de
23 Monitor Multiparámetro Jefe Medico Operaciones Operativo
Sala de
24 Ventilador Mecanico Jefe Medico Operaciones Operativo
 Sala de
25 Carro de Emergencias Jefe de Enfermeria Emergencias Operativo
Sala de
26 Electrocardiógrafo Jefe de Enfermería Emergencias Operativo
Sala de
27 Ventilador Jefe de Enfermería Emergencias Operativo
Jefe de Central de Central de
28 Autoclave Esterilización Esterilización Operativo
29 Medicina Jefe de Farmacia Farmacia Operativo
30 Generador Ticket Jefe de Farmacia Farmacia Operativo

Datos: Es el núcleo de toda la organización. Normalmente están organizados

en bases de datos y almacenados en soportes de diferente tipo.
Personal: El conjunto de personas que interactúan con el sistema de
información: administradores, programadores, usuarios internos y externos y
resto de personal de la empresa
Servicios: Es toda aquella prestación que se ofrece a clientes o usuarios.
Instalaciones: Son las diferentes sedes donde la empresa Jockey-Salud
ofrece sus servicios .
Hardware y Software: Son aquellos equipos y programas donde la empresa
guarda sus datos.

3.3.3. BIA Análisis de impacto al negocio

o Identificación de riesgos
Comunicación de los objetivos y estrategias
Identificación, análisis y evaluación de los riesgos y controles
Evitar los riesgos o reducirlos a un nivel aceptable
Identificación de las mejoras
Implementación de los cambios
Monitoreo de riesgos e indicadores de desempeño

o Identificación de amenazas
CÓDIGO TIPO DE CONSECUENCIA PROBABILIDAD TIPO DE
DE AMENAZA SOLUCIÓN
AMENAZA

A001 Fraude Alta Probable Acción

preventiva

A002 Actuaciones Alta Posible Acción

ilegales correctiva

A003 usos no Alta Poco probable Acción

Autorizados preventiva

o Identificación de escenarios
Para la auditoría se identifica los diferentes escenario que se puedan
presentar en las actividades diarias de la empresa

ID NOMBRE ESPECIFICACIÓ
ESCENARI N
O

E001 Satisfacción del Las medidas

Cliente ,políticas y
evaluaciones
deben estar
sujetas a la
prevención de
satisfacción del
cliente

E002 Recursos La administración

Humanos de la empresa
debe estar
Desarrollo de
pendiente que los
 Productos colaboradores
estén integrados
en los cambios

E003 Abastecimiento La empresa debe

contar con
herramientas y
soluciones

E004 Interrupción del Pueden ser

negocio factores externos
como internos

E005 Ambientales Factor externo

,medida a tomar
preventiva

E006 Seguridad La empresa debe

tener como
prioridad este
factor en cada
actividad que
realice

E007 Lavado de Puede darse por

Dinero la falta de
conocimiento del
personal o
aplicación de
medidas y
políticas

o Evaluación de riesgos
1 . Prevenir el origen:
 Como prevención se identifica los factores causales y se revisa los
archivos ante estos tipos de riesgos para identificar las soluciones ,en
caso sea un nuevo riesgo se procede a analizarlo.

2. Inspeccionar , corregir y supervisar

De acuerdo a políticas,revisión de documentos de corrección, se

analiza el riesgo y se supervisan las acciones requeridas para la
solución

3. Supervisar e investigar

Como ya se había constatado ,en caso se a un nuevo riesgo se

procede a investigar medidas correctivas y así proceder a la solución
4. Control innecesario, continuar con la evaluación.
Una vez controlado el riesgo ,se archiva todo el proceso con datos
específicos, y se archiva todos los documentos utilizados para analizar
el siguiente paso de la evaluación
Periodo Máximo Tiempo de Inactividad que puede tolerar la Entidad sin
entrar en colapso

RIESGO O AMENAZA TIPO DE

SOLUCIÓN
 NIVEL DE RIESGO

ID DEL RIESGO CONSECUEN PROBABILID VALOR SOLUCION A

RIESGO CIA AD DEL TOMAR
RIESGO

R001 infección de ALTA PROBABLE RIESGO ACCIÓN

equipos ALTO CORRECTIVA
mediante
medios del
sistema

R002 pérdida de MODERADA POSIBLE RIESGO ACCIÓN

equipos o MEDIO PREVENTIVA
mal uso

R003 Falta de BAJA POSIBLE RIESGO NO ACCIÓN

mantenimien MEDIO
to fisico y
logico a
equipos

A01 Catástrofes ALTA POCO RIESGO ACCIÓN

PROBABLE ALTO PREVENTIVA

A02 Contaminaci MODERADA POSIBLE RIESGO ACCIÓN

ón BAJO PREVENTIVA

A03 Falta de MODERADA POCO RIESGO ACCIÓN

ventilación PROBABLE MEDIO PREVENTIVA

A04 Electromagn MODERADA PROBABLE RIESGO NO RIESGO

etismo BAJO

A05 Sobrecarga ALTA PROBABLE RIESGO ACCIÓN

eléctrica MEDIO CORRECTIVA

A06 Falta de ALTA POSIBLE RIESGO ACCIÓN

 almacenamie ALTO PREVENTIVA
nto

A07 Falta de ALTO POCO RIESGO ACCIÓN

capacitación PROBABLE MEDIO CORRECTIVA
del personal

A08 Mal manejo MEDIO POSIBLE RIESGO CORRECCIÓN

de equipos o ALTO CORRECTIVA
sistemas

A09 Error de ALTO PROBABLE RIESGO ACCIÓN

perdida por ALTO PREVENTIVA
un usuario

o Identificar el RTO, RPO, MTD

RTO : Tiempo de Recuperación Objetivo.

Tiempo Disponible para Recuperar Sistemas y/o recursos que han

sufrido una alteración

El objetivo de esta fase sea definir los tiempos requeridos para

recuperar o establecer los sistema a un estado de operaciones normal

Procedimiento:

el tiempo máximo de recuperación está definido por:

MTD=RTO+WRT

Teniendo en cuenta los elementos operacionales de la organización,

se requiere evaluar el nivel de impacto de una interrupción dentro de la
Entidad financiera
Categoría (Función Proceso (Servicios) Nivel Tolerancia a Descripción
del Negocio) Fallas (Horas)

Sistema de Control de Medio 2

Aplicaciones flujo de documentos Contenedor de

aplicaciones

Sitio web Alto 1

Web Capa de presentación

Oracle Alto 1
Base de Datos Contenedor de

aplicaciones en BD

Alto 1
Seguridad de Firewall Servicio de firewall

Información

Alto 1
Servidores Centro de Datos Centro de datos

Medio 3
Proveedores de Servicio Desarrollo Interno o
Aplicaciones contratado por
ATM externos.

Cajeros automáticos

Bajo 3
Recurso Humano Internos/externos Profesionales

encargados de
administrar

RPO :Punto de Recuperación Objetivo.

Magnitud de la pérdida de datos medida en términos de un periodo de

tiempo que puede tolerar un proceso de negocio

El objetivo de esta fase es el cálculo del punto objetivo de recuperación

(RPO) el cual se basa en la magnitud de información que puede tolerar

perder la superintendencia de banco desde el último respaldo hasta la

ocurrencia del evento
 el responsable de la coordinación general de tecnología conjuntamente
con los responsables de los procesos de cada unidad administrativa
debe determinar el RPO

ROP=% máximo de perdido en un periodo determinado

Descripción

Tiempo de Recuperación

RPO
un periodo de tiempo que puede tolerar un proceso de negocio.

RTO
Tiempo Disponible para Recuperar Sistemas

MTD
Periodo Máximo Tiempo de Inactividad que puede tolerar la Entidad

MTD :Tiempo máximo de Inactividad Tolerable.

Periodo Máximo Tiempo de Inactividad que puede tolerar la Entidad sin

entrar en colapso

El objetivo de esta fase será definir los tiempos relacionados con la

recuperación de un procesos crítico del negocio.

Procedimiento: el responsable del proceso en cada unidad

administrativa debe de determinar el tiempo máximo de interrupción
(MTD), relacionada con el proceso crítico a su cargo asociado a un
evento que impacta la continuidad del negocio según los siguiente
criterios de debe se ser medido en minutos horas días meses y años
según lo requerida por el banco.

Categoría (Función Crítica Proceso Crítico MTD (en días) Prioridad de Recuperación
del Negocio) (Servicios)
 2 días 3
Aplicaciones Sistema de Control de flujo
de documentos

2 días 3
Soporte Informático Dispositivos CPU

1 día* 1
Aplicaciones Sistema de web pagina

1 día* 1
Seguridad de Firewall

Información

1 día 2
Sistemas de Servidor de almacenamiento
de registros.
Almacenamiento

1 día 2
Comunicaciones Servicio red cableado

1 día* 1
Servidores Centro de Datos

3 días 4
Soporte Informático Equipo PC de usuario

3.3.4. Establecer la estrategia de CN

1. Evaluación:

Hemos realizado los trabajos correspondientes y necesarios para lograr garantizar la

eficiencia de nuestro CN.

hemos llevado a cabo una revisión de CN de la empresa para garantizar que se

hayan implementado correctamente y también que las soluciones implementadas
cumplan con los requisitos identificados
2. Planificación

hemos determinado qué metodología vamos a usar que es utilizada por los usuarios
para asegurar el desarrollo del CN.

3. Implantación

En los puntos anteriores han sido de más teóricas que prácticas debido a que están
basadas en recopilación de información y en este punto hemos concretado esas
teorías para nuestro CN en esta implantación hemos considerado :

1. roles a cada persona

2. documentación del plan de la estrategia CN

4. Cumplimiento continuo

Hemos identificado las acciones planeadas y orientadas al logro de los objetivos del
bbva, las cuales permitan establecer la continuidad de sus operaciones.

5. Confidencialidad

Los servicios de bbva, han sido diseñados desde su origen, con el fin de preservar al
máximo la confidencialidad del cliente orientando a la seguridad del
mismo.comprometidos con mantener siempre la confidencialidad de la información
que le entregues, en especial sobre tus datos personales, los mismos que son
almacenados utilizando altos estándares de seguridad, a fin de evitar su alteración,
pérdida, tratamiento o acceso no autorizado.

6. Comunicación

temenos comunicación tanto interna como externa con personal

también contamos con comunicaciones de una crisis Lo importante es manejar

racionalmente la comunicación antes, durante y después de la crisis, para que la
crisis no provoque caos en la comunicación por eso tenemos lo siguientes puntos:

● asumir el problema

● reacción temprana

● liderazgo
● responsabilidad

3.3.5. Desarrollar e implementar la respuesta de CN

Evaluación:

Revisamos el cumplimiento de cada uno de los requerimientos que establece la

norma actual

2. Planificación:

Diseñamos un plan de acción encaminado a determinar las medidas que se

deben implantar

3. Implantación:

Nuestros ingenieros implementarán todas las medidas diseñadas para cumplir

con la norma.

4. Cumplimiento continuo:

Facilitamos a las entidades ISO 27001 una completa asesoría para mantener el
cumplimiento con el estándar.

5. Confidencialidad :

durante todo el proceso. La seguridad comienza con la firma de un acuerdo de

confidencialidad entre ambas partes.

6. Comunicación:

constante. Nuestros expertos en ISO 27001 le ayudarán con cualquier duda que
se le pueda plantear durante el proceso.
3.3.6. Probar, Mantener y Revisar
Probar:

Riesgos Humanos: La Clínica Jockey Salud cuenta con una capacitación para los
nuevos empleados que ingresen, se les capacita enseñando los procedimientos de
su área.

Desastres Naturales: La clínica Jockey Salud cuenta con programas de

simulacros. Se analizarán y evaluarán las dificultades en los simulacros con el fin de
identificar problemas ante un posible evento de desastre natural.

Mantener:

Riesgos Humanos: La clínica Jockey Salud realiza mejoras de los métodos de

enseñanzas en las capacitaciones de los nuevos empleados, para cada vez que se
realice una capacitación esta mejore y los nuevos empleados cumplan con un buen
trabajo y cuenten con un mejor conocimiento de prevención de problemas.

Desastres Naturales: Los procedimientos que se realicen cuando suceda un

desastre natural, serán reforzados por los protocolos de seguridad y estrategias.

Revisar:

Riesgos Humanos: Para tener un buena gestión de la capacitación , se evaluará a

los capacitados que tan eficaz resultó el programa.

Desastres Naturales: Cuando pase un desastre natural se visualizará si la clínica

pudo controlar y no ser afectado, si la clínica es afectada, entonces se revisará la
parte perjudicada, para analizar mejoras y en un futuro no esté preparada para los
desastres naturales.

3.3.7. Integrar el PGCN en la cultura de la Organización

Se desarrollarán capacitaciones tanto del personal implicado en los procesos de
negocio, como del personal de TI. Se plantea un proceso de concienciación que
contemple la descripción de los elementos que utilizamos en la continuidad.
El público objetivo en este caso deberá ser tanto el personal técnico como el
personal de negocio que tenga algún tipo de relación con los procesos críticos
dentro del alcance.

Para llevar a cabo el proceso de concientización , se contrata especialistas que

impartirán capacitaciones a las distintas áreas de la Clínica Jockey Salud . Los
resultados de la capacitación serán analizados y evaluados para verificar su
eficiencia.

CAPÍTULO V AUDITORÍA DE SEGURIDAD

4.1. ALCANCE

El alcance del siguiente proyecto como tal es la realización de la auditoría a Jockey

Salud con la finalidad de establecer las condiciones claras frente a los estándares de
ISO 27001 que permite el aseguramiento, la confidencialidad e integridad de los
datos y de la información.

4.2. OBJETIVOS

El objetivo de este proyecto es principalmente auditar el centro de Jockey Salud si

se cumple o no con los estándares que ISO 27001 entabla respecto a los procesos
realizados, además de verificar las políticas y procedimientos que se utilizan al
momento de almacenar y eliminar información confidencial como son los datos
personales de los pacientes que se ingresan al sistema.

1. Proteger todo el sistema y las redes, y estar preparado para responder ante
una falla en el sistema.
2. Eliminar los datos confidenciales de autenticación y limitar la retención de los
datos.
3. Supervisar y controlar el acceso a sus sistemas.
4. Realizar diferentes planes de contingencia

4.3. LISTA DE VERIFICACIÓN

Verificación de Políticas de Seguridad de la información

Verificación de Controles de Acceso

Verificación de Seguridad Física y del Entorno

Verificación de Políticas Criptográficas

Verificación de Seguridad de las Operaciones

Verificación de Adquisiciones desarrollo y mantenimiento de

sistemas de información

Verificación de Relación con Proveedores

Verificación de Gestión de Incidente de SI

4.4. MATRIZ DE EJECUCIÓN DE AUDITORÍA

A5 Políticas de seguridad de la información

Controles de Preguntas Notas Documentos

Seguridad de la revisados
 Información

Políticas para la ¿Existe una clara evidencia de un Si cuentan con una Si cuenta con
seguridad de la marco / estructura / jerarquía global evidencia, evidencias de
información razonablemente diseñada y documentos o marco un marco,
administrada? de referencia. estructura o
Cuentan con alguna
¿Las políticas son razonablemente políticas que cubran jerarquía.
completas y cubren todos los riesgos riesgos de Cuentan con
de información y áreas de control información por lo políticas
relevantes? tanto los escritas.
trabajadores Cuenta con
¿Cómo se autorizan, comunican, cumplen con un organigrama.
comprenden y aceptan las políticas? acuerdo adecuado Documento
de cumplimiento y de la política
¿Están formalmente obligados a refuerzo. La de seguridad
cumplir todos los trabajadores y, en organización es de la
su caso, sus empleadores? madura en este información.
área. Existe Cargo de
¿Hay acuerdos adecuados de funciones de entrega de la
cumplimiento y refuerzo? seguridad de política.
información. Correo
¿Hay referencias cruzadas a buenas comunicando
prácticas (como ISO27k, NIST la política de
SP800, CSC20 y otras normas y la
directrices relevantes)? información.

¿Están las políticas bien escritas,

legible, razonable y viable?

¿Incorporan controles adecuados y

suficientes?

¿Cubren todos los activos de

información esenciales, sistemas,
servicios, etc.?

¿Cuán madura es la organización en

esta área?

A6 Organización de la seguridad de la información

Controles de Seguridad Preguntas Notas Documentos

de la Información revisados
Roles y ¿Se le da suficiente énfasis a la No presentan Presupuestos
responsabilidades en seguridad y al riesgo de la políticas con énfasis para las
seguridad de la información? a la seguridad y al actividades
información riesgo de de seguridad.
¿Hay apoyo de la administración? información .La - Correos.
administración no
¿Existe un foro de alta gerencia involucra gestión de
para analizar el riesgo de la seguridad y riesgo
información y las políticas, los de la información .
riesgos y los problemas de No cuentan con un
seguridad? foro de alta gerencia.
Si disponen de
¿Los roles y las auditorías externas.
responsabilidades están Si se cuenta con
claramente definidos y asignados roles y
a personas adecuadamente responsabilidades
capacitadas? donde están a cargo
de personas
¿Tiene cada rol responsabilidad capacitadas en la
específica con respecto al riesgo implementación de
y la seguridad de la información? nuevas formas de
mejora continua. No
¿Hay suficiente presupuesto para cuentan con un
las actividades de seguridad y presupuesto
riesgo de la información? exclusivo para
actividades
¿Hay coordinación dentro de la relacionadas a la
organización entre las unidades seguridad y riesgo
de negocio? de la información.

¿funciona efectivamente en la
práctica?

¿Existe una conciencia y un

apoyo adecuados para la
estructura de riesgo y seguridad
de la información?

Política de dispositivos ¿Existen políticas y controles de Si existen las Políticas de

móviles seguridad relacionados con los políticas de usuarios los controles
usuarios móviles? móviles en el caso de seguridad
de las aplicaciones relacionado
¿Se distinguen los dispositivos móviles con los
personales de los empresariales? implementadas, usuarios
como cifrado , móviles.
¿Cómo se mantienen y controlan tokens para
los sistemas portátiles para usuarios. Se
garantizar que estén actualizados distinguen los
sobre las definiciones de antivirus dispositivos
y los parches de seguridad? personales y
empresariales en el
¿Se emplean soluciones de MDM ingreso a la
y soluciones MAM para controlar empresa. Existen
las aplicaciones, el acceso y el controles de
cifrado completo de disco? seguridad respecto a
 antivirus Nod32 y
parches de
seguridad.

Teletrabajo ¿Los controles de seguridad para EEl control de - Registro de

el teletrabajo son equivalentes a seguridad de datos seguridad y
los de los lugares de trabajo de respecto a monitoreo. -
oficina? teletrabajo es via Controles de
VPN que equivale al seguridad de
¿Existen disposiciones mismo acceso de datos.
adecuadas para la autenticación oficina. Si existe
del usuario (2FA), la seguridad de disposiciones de
la red (Always-on-VPN), antivirus, autenticación a
copias de seguridad, parches, excepción de
registro de seguridad y autenticación (2FA)
monitoreo, encriptación y
continuidad del negocio?

A7 Seguridad relativa a los Recursos Humanos

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Investigación de ¿El proceso de evaluación previa al Si consideran - Contrato realizado

antecedentes empleo toma en cuenta las leyes y evaluar a su bajo el
regulaciones relevantes de personal de nuevo cumplimiento de
privacidad y empleo? ingreso, se leyes y
subcontratan regulaciones de
¿Se hace en la empresa o se terceros revisando privacidad y
subcontrata a un tercero? sus procesos. El empleo.
contacto de
Si se subcontrata a un tercero, ¿Se referencia y
han revisado sus procesos y se han verificación de
considerado aceptables? antecedentes si se
aplica.
¿Se hace contacto de referencias y
una verificación de antecedentes,
según corresponda durante el
proceso de selección?

¿Existen procesos de selección

mejorados para los trabajadores en
roles críticos?

¿Cómo se logra todo esto? ¿Hay un

proceso documentado, consistente y
 repetible, que sea propiedad y
mantenido por RRHH?

Términos y ¿Están claramente definidos los Si se tiene Términos y

condiciones del términos y condiciones de empleo? definido los condiciones de
empleo términos y empleo según el
¿Se hace distinción entre condiciones área. - Registro de
profesionales de la seguridad, los planteados para la cumplimiento de las
administradores de redes / sistemas contratación. Se obligaciones de
de TI, los gerentes, los auditores y hace distinción seguridad de
los trabajadores en general? para contratación información de los
de profesionales trabajadores.
¿Se identifican responsabilidades según áreas.
específicas relacionadas con el
riesgo y la seguridad de la
información de acuerdo con la
naturaleza de los roles?

¿Se mantienen registros para probar

que los trabajadores entendieron,
reconocieron y aceptaron sus
obligaciones de seguridad de la
información?

Responsabilidades ¿Existen políticas de revisión, Si existen Políticas de revisión

ante la finalización estándares, procedimientos, políticas, , estándares ,
o cambio directrices y registros relacionados procedimientos procedimientos y
con la seguridad de la información para la registros
para los trabajadores que se recuperación de relacionados a la
mueven lateral o verticalmente activos de seguridad de la
dentro de la organización? información y información.
todos los accesos
¿Se tienen en cuenta las a ex-trabajadores.
promociones, degradaciones,
cambios de roles, nuevas
responsabilidades, nuevas prácticas
de trabajo, renuncias, despidos?

¿Se tiene en cuenta la recuperación

de los activos de información
(documentos, datos, sistemas), las
llaves, la eliminación de los
derechos de acceso?

A8 Gestión de activos

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Inventario de ¿Hay un inventario de activos de la Presenta inventario - Inventario de los

activos información? de activos de activos de
información información. -
¿Contiene la siguiente información? .Contiene datos Registro de
digitales , cambios de los
• Datos digitales información activos de
impresa , software , información.
• Información impresa infraestructura , a
cargo del área de
• Software TI. Se realizan
reuniones donde
• Infraestructura se actualiza o
agregan nuevos
• Servicios de información y activos.
proveedores de servicios

• Seguridad física

• Relaciones comerciales

• Las personas

¿A quién pertenece el inventario?

¿Cómo se mantiene el inventario en

una condición razonablemente
completa, precisa y actualizada a
pesar de los cambios de equipo /
personal, nuevos sistemas, negocios
y cambios de TI?

¿Es suficientemente detallado y está

estructurado adecuadamente?

Propiedad de los ¿Los activos tienen propietario de El área de TI es - Etiquetas

activos riesgo? responsable impresas de los
tecnico y activos. Documento
¿Los activos tienen responsable propietario de los a detalle de los
técnico? activos de la responsables de los
organización. Con activos de
¿Cómo se asigna la propiedad poco delegación a los información .
después de crear o adquirir los responsable de
activos críticos? cada área
correspondiente.Si
¿Cómo se etiquetan los activos? se asignan
responsables del
¿Cómo se informa ante incidentes de activo entregado,
seguridad de la información que los se asignan
afectan? etiquetas de
 inventario mediante
etiquetas impresas.

Uso aceptable de ¿Existe una política sobre el uso No presentan un -Existen

los activos aceptable de los recursos manual de uso de documentos con
tecnológicos, como el correo los recursos permisos de cada
electrónico, la mensajería informaticos para personal.
instantánea, el FTP, las cada area de la
responsabilidades de los usuarios, empresa.No se
etc.? permite el uso de
los recursos de la
¿Cubre el comportamiento del organización para
usuario en Internet y en las redes temas
sociales? personales.No se
permite el uso de
¿Se permite el uso personal de los los recursos de la
activos de la empresa? organización a
personal no
En caso afirmativo, ¿En qué medida autorizado. Se
y cómo se controla / asegura esto? distribuye cada vez
que solicita
¿Se describe de forma explícita lo permiso,
que constituye un uso inapropiado? adjuntando un
cargo de
¿Se distribuye esta información a responsabilidad.
toda la empresa?

¿El uso de la criptografía cumple con

todas las leyes, acuerdos / contratos
y normativas relevantes?

Devolución de ¿Existe un procedimiento para Presenta -Informe de

activos recuperar los activos tras una baja o procedimientos reemplazos de
despido? para recuperar los activos.
activos , se informa
¿Es un procedimiento automatizado al área de TI. -Informes de
o manual? notificaciones al
Es un área de TI Y
Si es manual, ¿Cómo se garantiza procedimiento RRHH.
que no haya desvíos? manual. Se
garantiza que no -Inventario de
¿Cómo se abordan los casos en los haya desvíos activos
que los activos no han sido mediante
devueltos? reuniones donde
se planifica como
se recupera el
activo.

Se reemplaza
mediante la
compra de otro
activo y se pasa a
notificar a área de
 recursos el
descuento
correspondiente
del responsable del
recurso.

Clasificación de la ¿Existen políticas de revisión, Si existen políticas Documentación de

información estándares, procedimientos, de revisión se dan los estándares de
directrices y registros asociados en un tiempo información.
relacionados con la clasificación de la
definido por el
información? hospital. Si cuentan
con obligaciones
¿La clasificación es impulsada por legales ya que no
obligaciones legales o contractuales? pueden compartir
los datos de los
¿La clasificación se basa en los pacientes. Si los
requisitos de confidencialidad, requisitos va
integridad y disponibilidad? enlazado con la
confidencialidad. Si
¿Se utilizan marcas apropiadas en cuentan con una
los activos en función de la marca para
clasificación de la información que diferenciarlas del
contienen? resto. No el
personal no está
¿El personal conoce los requisitos de muy informado de
seguridad correspondientes para el los protocolos de
manejo de materiales clasificados? seguridad.

Etiquetado de la ¿Existe un procedimiento de 1)tanto la - Foto de la

información etiquetado para la información tanto información físicas información física
en forma física como electrónica? como electrónica
cuentan con una
¿Está sincronizado con la política de backup 2)No
clasificación de la información? todavía no cuentan
con ello 3)dando
¿Cómo se garantiza el correcto un codigo de
etiquetado? validacion a cada
formulario 4)Se
¿Cómo se garantiza que solo garantiza mediante
aquellos con permisos de acceso un administrador
aprobados accedan a la información que es aquel que
de la clasificación relevante? permite los
accesos a dichos
¿Cómo se garantiza que no haya usuarios 5)
acceso no autorizado? Mediante un
administrador
¿Se revisan los niveles de
clasificación en intervalos
predefinidos?

Manipulado de la Más allá de A.8.2.1 No cuentan con un - Reporte de hechos

 información ¿Están los niveles de clasificación sistema de y sanción de casos
adecuadamente asignados a los etiquetación en de fuga de
activos? todas las áreas. información .

¿Se consideran los gimiente?

Método de etiquetado, transferencia,

almacenamiento, manejo de medios
extraíbles, eliminación de medios
electrónicos y físicos, divulgación,
intercambio, intercambio con
terceros, etc.

Gestión de ¿Existe un registro de activos 1)Si, se registran - Hoja de cálculo de

soportes completo y actualizado de CD / DVD, los activos de registros.
extraíbles almacenamiento USB y otros medios medios extraíbles.
extraíbles? 2)Los medios
extraíbles están
¿Los medios extraíbles están con su debido
debidamente etiquetados y etiquetado
clasificados? 3)Existen
gabinetes donde se
¿Los medios se mantienen y almacenan y
almacenan de forma adecuada? mantienen
custodiados por
¿Hay controles apropiados para sus jefes de área
mantener la confidencialidad de los para un adecuado
datos almacenados? mantenimiento.
4)Actualmente se
está llevando un
mejor control para
mantener la
confidencialidad de
los datos
almacenados.custo
diados por sus
jefes de área

Eliminación de Más allá de A.8.3.1 E1)Existe el Documentación de

soportes documento sobre cada
¿Existe una política específica y activos con responsabilidad de
documentación de obligaciones responsabilidades los usuarios. -
contractuales, legales o al usuario. 2)Los Documentos de
reglamentarias para la eliminación de medios extraíbles validación de
los medios? con información destrucción de
que ya no se activos.
¿Se documenta la aprobación en utilizan o se
cada etapa para la eliminación de los deterioran
medios? parcialmente son
entregados al área
¿Los datos que aún deben de logística y
conservarse se copian en otros prevención. 3)Si,
medios y se verifican antes de su los datos se
 eliminación? verifican cuando ya
no son servibles
¿Se tiene en cuenta los periodos de para su correcta
retención? eliminación e
incineración. 4)Si,
¿Los datos particularmente se analiza y se
confidenciales se eliminan de forma documenta todo
segura (borrado criptográfico, hasta el periodo de
desmagnetización o destrucción retención.
física)?

Soportes físicos ¿Se utiliza un transporte o servicio de 1)Si, para el -Autorización del
en tránsito mensajería confiable? transporte de motorizado para el
documentos transporte de los
¿Se utiliza un mecanismo de cifrado oficiales se cuenta documentos.
adecuado durante el proceso de con un personal - Foto de entrega y
transferencia? motorizado que recibimiento de
cumple esa documentos. -
¿Se verifica la recepción por el función. 2)Los Cargo firmado.
destino? documentos se
sellan y se
clasifican como
confidenciales
dependiendo de la
información. 3)Se
confirma la
recepción del
destino con cargo
firmado , por el jefe
de logistica.

A9 Control de acceso

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Política de control ¿Existe una política de control de Existe un manual y - Manual de

de acceso acceso? directrices a seguir directrices de
para la designación control de accesos
¿Es consistente con la política de de control de de nuevos usuarios.
clasificación? acceso a nuevos - Documento de
usuarios. No existe alta de usuario.
¿Hay una segregación de deberes política de -Aprobación de
apropiada? clasificación, la acceso de un nuevo
segregación de usuario.w
¿Existe un proceso documentado deberes se da por
de aprobación de acceso? áreas específicas, el
 ¿El proceso de aprobación documento de alta
requiere que se involucre el de nuevo usuario
propietario del sistema o la aprueba el acceso.
información en cuestión?

Acceso a las ¿Se asegura que el acceso VPN e El acceso a VPN y Se encontraron
redes y a los inalámbrico sea supervisado, redes inalámbricas contratos de
servicios de red controlado y autorizado? son supervisadas adquisición de vps
por el área de DTI. y fotos.
¿Se utiliza autenticación de Si se utiliza
múltiples-factores para acceso a autenticación
redes, sistemas y aplicaciones multifactor para
críticas, especialmente para los acceso a redes y
usuarios privilegiados? plataformas web del
negocio. No se
¿Cómo monitoriza la red para monitorea la red
detectar acceso no autorizado? actualmente, los
controles de
¿Los controles de seguridad de la seguridad de la red
red son evaluados y probados son evaluados a
regularmente (Pentesting)? groso modo con
políticas de cambio
¿La organización mide la de claves y de
identificación y los tiempos de acceso a los que
respuesta ante incidentes? verdaderamente
necesiten en el área
y usuario indicado.
Se tiene definido los
tiempos en caso de
riesgo ante
incidentes.

Registro y baja de ¿Se utiliza un ID de usuario únicos Si se utiliza un ID Reporte de los

usuario para cada usuario? para cada uno de usuarios creados y
los usuarios, cuando usuarios dados de
¿Se genera en función a una se da de baja a un baja.
solicitud con aprobaciones y usuario se
registros apropiados? deshabilita
automáticamente a
¿Se deshabilitan los ID de usuario ese ID
de forma inmediata tras una baja o anteriormente
despido? creado. Existe
comunicación entre
¿Existe una comunicación eficiente la Administración de
entre la Administración de seguridad y
Seguridad y Recursos Humanos? recursos humanos.

¿Existe una revisión / auditoría

periódica para identificar y
deshabilitar los ID de usuario
redundantes?

¿Se eliminan los ID deshabilitados

 después de confirmar que ya no
son necesarios?

¿Qué impide que los ID de usuario

sean reasignados a otros usuarios?

Provisión de ¿El acceso a sistemas y servicios El acceso a los - Documentación de

acceso de usuario de información se basa en las sistemas de la solicitudes de actas
necesidades del negocio? organización se da y aprobaciones de
mediante el acta de acceso.
¿Se garantiza que todo acceso que alta de usuario, en
se concede se ajuste a las políticas el cual describe sus
de control de acceso y segregación principales
de funciones? funciones y
limitaciones. Se
¿Existe un registro documental de documenta y
la solicitud y aprobación de archiva las
acceso? solicitudes de actas
y aprobaciones de
acceso.

Gestión de Más allá de A.9.2.2 Se cuenta con un - Reporte de

privilegios de monitoreo no actualizaciones de
acceso ¿Hay un proceso para realizar constante sobre accesos y
revisiones más frecuentes y actualizaciones de caducidad de
periódicas de cuentas privilegiadas acceso a archivos e información. -
para identificar y deshabilitar / información Documentación de
eliminar cuentas con privilegios inicialmente roles y accesos de
redundantes y / o reducir los brindada. Se cuenta archivos. -
privilegios? con un servidor de Screenshot de lista
Active directory en de usuarios en el
¿Se genera un ID de usuario la cual se crean Active Directory
separado para otorgar privilegios usuarios , se
elevados? asignan roles y
privilegios de
¿Se ha establecido una caducidad accesos a archivos
para los ID de usuario con y redes, en la cual
privilegios? también se colocan
posibles fechas de
¿Se controlan las actividades de caducidad de
los usuarios privilegiados de forma acceso según se
más detallada? requiera.
Gestión de la ¿Se implementan controles Se cuenta con - Documentación de
información técnicos, como la longitud mínima requisitos mínimos requisitos de
secreta de de la contraseña, reglas de para la creación de acceso. -
autenticación de complejidad, cambio forzado de claves de acceso. Notificación de
los usuarios contraseñas en el primer uso, No existen acciones cambio de
autenticación de múltiples factores, de cambio forzado contraseña de
datos biométricos, contraseñas de contraseñas, la fábrica.
compartidas etc.? autenticación de dos
factores es opcional
¿Se verifica rutinariamente si hay para el acceso a
contraseñas débiles? correo corporativo.
El monitoreo de
¿Se requiere confirmar la identidad contraseñas débiles
de los usuarios antes de no es recurrente, se
proporcionarles contraseñas cambian las
temporales nuevas? contraseñas que
vienen de fábrica.
¿Se transmite dicha información Se almacena de
por medios seguros? modo cifrado las
contraseñas de
¿Se generan contraseñas acceso a las
temporales suficientemente plataformas.
fuertes?

¿Se cambian las contraseñas por

defecto de los fabricantes?

¿Se recomienda a los usuarios

usar el software adecuado de
protección de contraseñas?

¿Se almacenan de forma cifrada

las contraseñas en sistemas,
dispositivos y aplicaciones?

Retirada o ¿Existe un proceso de ajuste de Es de conocimiento - Correo y

reasignación de derechos de acceso? a los empleados, notificaciones del
los derechos de proveedores el retiro cese y eliminación
acceso ¿Tiene en cuenta empleados, de todos los de cuentas.
proveedores y contratistas al accesos una vez
finalizar o cambiar su empleo, culminado su tiempo
contrato o acuerdo? en la empresa. Se le
notifica el cese y
¿Incluye el acceso físico a las eliminación de sus
instalaciones y el acceso lógico a la cuentas. Se le quita
red? todo de tipo de
accesos a red,
En casos en los que se usan como
credenciales compartidas, ¿Se identificaciones de
cambian las contraseñas cuando acceso físico a la
ocurren ceses o despidos de empresa
empleados que las usan?
Uso de la ¿Cómo se asegura la Se asegura la - Contrato donde
información confidencialidad de las confidencialidad de incluya cláusulas de
secreta de credenciales de autenticación? las claves según las confidencialidad de
autenticación directrices y las claves . -
¿Existe un proceso de cambio de responsabilidades al Informe del proceso
contraseña en caso de ser firmar contrato. Si de cambios.
comprometida? existe un proceso
de cambio en caso
¿Existen controles de seguridad de verse afectada.
relativas a las cuentas
compartidas?

Restricción del Más allá de A.9.2.2 Si existen controles - Documentación de

acceso a la de acceso a controles de
información ¿Existen controles de acceso sistemas y accesos al sistema
adecuados? aplicaciones, se y aplicaciones. -
cuenta con el acta Acta de alta de
¿Se identifican los usuarios de de alta de usuario, usuario.w
forma individual? como medio de
gestión de
¿Cómo se definen, autorizan, permisos.
asignan, revisan, gestionan y
retiran los derechos de acceso, los
permisos y las reglas asociadas?

Procedimientos ¿Se muestra una pantalla de Las alertas de inicio - Screen de

seguros de inicio advertencia en el proceso de inicio de sesión denegada Notificaciones de
de sesión de sesión para disuadir el acceso desencadenan acceso de
no autorizado? mensajes y usuario. .- Logs de
bloqueos acceso y bloqueo
¿Cómo se autentican las temporales al sitio. del sistema.
identidades de usuario durante el La autenticación se
proceso de inicio de sesión? da por tokens en la
cual el acceso es
¿Se utiliza autenticación multifactor restrictivo. Si se
para sistemas / servicios / utilizan VPNs para
conexiones remotas críticas a acceder
través de VPN s etc.? remotamente y de
manera segura a los
¿La información de inicio de sesión equipos. Se
sólo se valida una vez imputadas mantiene un log de
las credenciales? acceso a la
plataforma, como de
¿Las contraseñas no válidas intentos fallidos. Las
desencadenan demoras o contraseñas están
bloqueos, entradas de registro y cifradas
alertas / alarmas?

¿Se registran los inicios de sesión

exitosos?
 ¿Se transmiten las contraseñas de
modo seguro mediante el uso de
cifrado?

Sistema de ¿Los sistemas requieren una Existe directrices de - Screenshot de

gestión de fortaleza de contraseñas
requerimientos para formulario de login.
contraseñas establecidos en las políticas y la creación de - Documento de
estándares corporativos? claves seguras. Se requisitos para la
mantiene oculto la creación de claves
¿Las reglas tienen en cuenta lo clave siempre a la seguras.
siguiente? hora de su acceso

• Longitud mínima de la contraseña

• Evitan la reutilización de un
número específico de contraseñas

• Imponen reglas de complejidad

(mayúsculas, minúsculas,
números, símbolos, etc.)

• Requiere el cambio forzado de

contraseñas en el primer inicio de
sesión

• Esconde la contraseña durante la

imputación

¿Se almacenan y transmiten de

forma segura (cifrado)?

Control de acceso ¿El código fuente se almacena en El código fuente se - Screenshot de

al código fuente una o más bibliotecas de almacena en un commits
de los programas programas fuente o repositorios? repositorio privado describiendo la
de la propia actualización en el
¿El entorno es seguro, con un organización , repositorio privados
acceso adecuado, control de teniendo una copia de la organización .
versiones, monitoreo, registro, fiel en disco duro del - Copia del código
etc.? desarrollador. El fuente en el disco
repositorio es duro del
¿Cómo se modifica el código seguro, el código desarrollador.
fuente? para su publicación
es compilado. El
¿Cómo se publica y se compila el registro de cambios
código? se da mediante
commits
¿Se almacenan y revisan los documentando la
registros de acceso y cambios? acción.

A10 Criptografía
 Controles de Preguntas Notas Documentos
Seguridad de la revisados
Información

Política de uso de ¿Existe una política que cubra el No existen políticas - No se

los controles uso de controles criptográficos? de criptografía y encontraron
criptográficos uso de controles documentos
¿Cubre lo siguiente?

• Los casos en los que información

debe ser protegida a través de la
criptografía

• Normas que deben aplicarse para

la aplicación efectiva

• Un proceso basado en el riesgo

para determinar y especificar la
protección requerida

• Uso de cifrado para información

almacenada o transferida

• Los efectos de cifrado en la

inspección de contenidos de
software

• Cumplimiento de las leyes y

normativas aplicables

¿Se cumple con la política y

requerimientos de cifrado?

Gestión de claves ¿La política de criptografía abarcaNo existe política No se encontraron

todo el ciclo de vida de la gestiónde criptografía y documentos de las
de claves (de principio a fin)? ciclo de vida de políticas de
gestión de clave. Si criptografías.
¿Se protege el equipo utilizado se evitan claves
para generar, almacenar y archivar débiles. Se generan
claves criptográficas? claves diferentes
para plataformas.
¿Se generan claves diferentes para No se hace un
sistemas y aplicaciones? respaldo de claves

¿Se evitan claves débiles?

¿Existen reglas sobre cambio /

actualización de claves (ej.
autorizar, emitir, comunicar e
instalar claves)?

¿Se hacen copias de respaldo de

 las claves?

¿Se registran las actividades clave

de gestión?

¿Cómo se cumplen todos estos

requisitos?

A11 Seguridad física y del entorno

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Perímetro de ¿Las instalaciones se encuentran Si se cuenta con una - Plan de

seguridad física en una zona de riesgo? definición de áreas seguridad (donde
seguras , estas áreas están definidas las
¿Se definen los perímetros de seguras están áreas que
seguridad (edificios, oficinas, identificadas en el requieren de
redes informáticas, habitaciones, plan de seguridad seguridad) -Si
armarios de red, archivos, salas física. Existen vías cuentan con
de máquinas, etc.)? seguras, cámaras de cerraduras las
monitoreo, sistema de áreas sensible e
¿El techo exterior, las paredes y cámara de detección importantes. -
el suelo son de construcción de movimiento. Toda Fotos de las
sólida? la infraestructura de cerraduras. -
la empresa es de Planos de la
¿Están todos los puntos de construcción sólida estructura de la
acceso externos adecuadamente donde las ventanas y empresa.
protegidos contra el acceso no puertas cuentan con
autorizado? una
cerradura.Contamos
¿Las puertas y ventanas son con monitoreo de
fuertes y con cerradura? cámaras.

¿Se monitorea los puntos de

acceso con cámaras?

¿Existe un sistema de detección

de intrusos y se prueba
periódicamente?
Controles físicos ¿Se utilizan sistemas de control Se tiene controles de -Reporte de
de entrada de acceso adecuados (ej. accesos como el monitoreo de
Tarjetas de proximidad, monitoreo CCTV, cámaras.- Reporte
biométrico, cerraduras de identificación de las
seguridad, monitorización CCTV, biométrica de inspecciones
detección de intrusos)? colaboradores .. realizadas por los
Existen guardias.
¿Hay procedimientos que cubran procedimientos de
las siguientes áreas? cambios regulares de
códigos de acceso,
• Cambio regular código de inspección de los
acceso guardias que se
encuentran
• Inspecciones de las guardias de activamente
seguridad monitoreando las
cámaras , los
• Visitantes siempre visitantes son
acompañados y registrados en el acompañados y
libro de visitantes registrados en el
sistema. Áreas
• Registro de movimiento de restringidas para
material colaboradores que no
tengan acceso
• Entrada a áreas definidas del
edificio según roles y
responsabilidades (acceso a
CPD, salas de comunicación y
otras áreas críticas)

¿Se utiliza autenticación multi-

factor de autenticación (ej.
Biométrico más el código PIN)?

¿Se requiere para las áreas

críticas?

¿Existe un registro de todas las

entradas y salidas?
 Seguridad de ¿Están los accesos (entrada y Se tiene cámaras de Cámaras,
oficinas, salida) de las instalaciones seguridad por área, detectores de
despachos y físicamente controlas (ej. los controles de proximidad
recursos Detectores de proximidad, seguridad son
CCTV)? proporcionales para
salvaguardar la
¿Son proporcionados los integridad de las
controles de seguridad utilizados oficinas y demás
para salvaguardar las oficinas, ambientes
salas e instalaciones con
respecto a los riesgos?

¿Se tiene en cuenta los activos

de información almacenados,
procesados o utilizados en dichas
ubicaciones?

Protección contra ¿Qué tipo de protecciones Existen detectores de - Planos y croquis

las amenazas existen contra el fuego, el humo, humo para evitar de los riesgos
externas y inundaciones, rayos, intrusos, incendios y internos y
ambientales vándalos, etc.? extinguidores por externos. -Planos
cada área. de evacuación de
¿Existe un procedimiento de Identificación de la empresa.
recuperación de desastres? salidas de
emergencia.
¿Se contemplan sitios remotos?

El trabajo en áreas ¿Se verifican al final del día las Si se hace una - Reporte de
seguras oficinas, las salas de informática verificación de parte control de ingresos
y otros lugares de trabajo? de seguridad, y cada y salidas de las
área esta chequeado personas en la
¿Se hace un análisis para evaluar por una cámara de empresa. -
que los controles adecuados seguridad. Si se Convenio con la
están implementados? hacen controles de empresa de
acceso físico al alarmas.
Controles de acceso físico momento de ingreso
en cada área. Si se
Alarmas de intrusión hace controles de
accesos físico. No se
Monitoreo de CCTV (verificar la prohíben equipos
retención y frecuencia de fotográficos, de video
revisión) o audio.

Se prohíbe el uso de equipos

fotográficos, video, audio u otro
tipo de grabación

Políticas, procedimientos y
pautas

¿Cómo se asegura que la

 información de carácter sensible
permanece confidencial a
personal autorizado?

Áreas de carga y ¿Las entregas se hacen en un El guardia de - Guías de

descarga área segura con control de seguridad es el Remisión.
acceso y limitado a personal encargado de validar -Reporte de la
autorizado? los pedidos para recepción diario. -
luego derivar al Inventarios de los
¿Se verifica que el material encargado de materiales.
recibido coincide con un número despacho. Se llenan
de pedido autorizado? fichas de entrada y
salidas de objetos
¿Se registran los detalles de la
recepción de material según las
políticas y procedimientos de
adquisición, gestión de activos y
seguridad?

Emplazamiento y ¿Las TIC y el equipo relacionado El área de TIC se - Informe del

protección de se encuentran en áreas
equipos adecuadamente protegidas?
¿Las pantallas de los equipos de información de sus
trabajo, las impresoras y los
teclados están ubicados o
protegidos para evitar la
visualización no autorizada?
¿Existen controles para minimizar
los siguientes riesgos de
amenazas físicas y
medioambientales?
encuentra junto a las estado de las Pc e
demás áreas, donde impresoras.
puede ser visible la -Políticas de
riesgos de
encargados. Se amenazas físicas y
tienen detectores de medioambientales.
fuego, áreas
protegidas de polvo,
pozo a tierra.

• Agua / inundación

• Fuego y humo

• Temperatura, humedad y
suministro eléctrico

• Polvo

• Rayos, electricidad estática y

seguridad del personal

¿Se prueban estos controles

periódicamente y después de
cambios importantes?
Instalaciones de ¿El sistema UPS proporciona una Se cuenta con UPS 's - Plan de
suministro potencia adecuada, confiable y confiable para la mantenimiento
de alta calidad? alimentación del para las UPS. -
servidor de Reporte de los
¿Hay una capacidad de UPS aplicaciones internas detectores de
adecuada para abarcar todos los en casos de cortes de temperaturas de
equipos esenciales durante un electricidad, se alarmas internas.
período de tiempo suficiente? cuenta con un
proveedor de servicio
¿Hay un plan de mantenimiento técnico para los
para los UPS y generadores en UPS's. Se ven
acuerdo con las especificaciones afectados los equipos
del fabricante? informáticos que
estuviesen
¿Son probados con regularidad? encendidos en fallas
de electricidad.
¿Hay una red de suministro Existen equipos de
eléctrico redundante? repuestos en caso de
imprevistos. Existen
¿Se realizan pruebas de cambio? detectores de
temperaturas con
¿Se ven afectados los sistemas y alarmas internas
servicios?

¿Hay sistemas de aire

acondicionado para controlar
entornos con equipos críticos?

¿Están ubicados
apropiadamente?

¿Hay una capacidad adecuada

de A / C para soportar la carga de
calor?

¿Hay unidades redundantes, de

repuesto o portátiles disponibles?

¿Hay detectores de temperatura

con alarmas de temperatura?

Seguridad del ¿Hay protección física adecuada Existe protección - Plan de

cableado para cables externos, cajas de mediante canaletas seguridad del
conexiones? reforzadas para cableado - Normas
conexiones de red de protección
¿Se separa el cableado de separadas de la física adecuada
suministro eléctrico del cableado electricidad para para los cables
de comunicaciones para evitar evitar inferencias. Se externos.
interferencias? controla el acceso al
tablero central de red
¿Se controla el acceso a los y electricidad, las
paneles de conexión y las salas cuales sólo acceden
de cableado? personal autorizado
 ¿Existen procedimientos
adecuados para todo ello?

Mantenimiento de ¿Se asigna personal cualificado Se tiene personal - Control de

los equipos para realizar el mantenimiento de cualificado para mantenimientos de
los equipos (infraestructura y realizar tareas de equipos,
dispositivos de red, equipos de mantenimiento tanto dispositivos de red
trabajo, portátiles, equipos de para infraestructura , y equipos de
seguridad y servicios tales como dispositivos,etc. Se seguridad.
detectores de humo, dispositivos cuenta con Registro de los
de extinción de incendios, HVAC, programas de equipos.
control de acceso, CCTV, etc.)? mantenimientos
preventivos y
¿Hay programas de exhaustivos de
mantenimiento y registros / equipos.
informes actualizados?

¿Se aseguran los equipos?

Reutilización o ¿Cómo evita la organización que Se realiza la Foto de registros

eliminación segura se revele la información
de equipos almacenada en equipos tras su
reasignación o eliminación?
¿Se utiliza cifrado fuerte o
borrado seguro?
eliminación total de de equipos
información de los desechados
equipos mediante su
incineración, se valida
su eliminación total

¿Se mantienen registros

adecuados de todos los medios
que se eliminan?

¿La política y el proceso cubren

todos los dispositivos y medios de
TIC?

Equipo de usuario ¿Se suspenden / finalizan las Suspensiones y captura( por

desatendido sesiones a aplicaciones para apagados referenciar)
evitar la pérdida de datos o la automatizadas de
corrupción? equipos para evitar
accesos a los
¿Se define un tiempo de mismos. Se protegen
inactividad adecuado a los las pantallas con
riesgos de acceso físico no acceso mediante
autorizado? contraseñas , se
verifica el
¿Se protegen los bloqueos de cumplimiento
pantalla con contraseña? mediante informes de
verificación del área
¿Se aplica a todos los servidores, de TIC
equipos de trabajo, portátiles,
teléfonos y otros dispositivos
 TIC?

¿Cómo se verifica el
cumplimiento?

Política de puesto ¿Existen políticas, normas, 1. No existen En el documento

de trabajo procedimientos y directrices para
políticas y normas de planificación de
despejado y mantener las zonas de trabajo para la mantención trabajo, no se
pantalla limpia limpias y despejadas? de las distintas áreas encuentran las
limpias. 2. np 3. No políticas y normas
¿Funciona en la práctica? todos los dispositivos, para la mantención
pero quienes cuentan de las distintas
¿Todos los dispositivos con información áreas limpias.
informáticos tienen un delicada o relevante
salvapantallas o bloqueo con para la empresa 4. si
contraseña que los empleados 5. Si se mantienen las
usan cuando se alejan de sus impresoras,
dispositivos? fotocopiadoras,
escáneres
¿Se activa automáticamente tras despejados
de un tiempo inactivo definido?

¿Se mantienen las impresoras,

fotocopiadoras, escáneres
despejados?

A12 Seguridad de las operaciones

Controles de Preguntas Notas Documentos

Seguridad de la revisados(EVIDENCIAS)
Información
 Documentación ¿Existen procedimientos para 1) el area de ti se - Plan de procedimientos
de procedimientos las operaciones de TI, encarga de de operaciones de TI.
operacionales sistemas y gestión de redes, supervisar los Reportes de cambios
gestión de incidencias, la usuario pero no realizados. Listado de
administración de TI, cuenta con roles
seguridad de TI, seguridad operaciones ante
física, gestión de cambios, alguna falla 2)se
etc.? monitorea 1 vez por
semana pero solo a
¿Existe un conjunto completo los usuarios nuevos
de procedimientos de y registrados 3)Se
seguridad y cuándo se controla una vez
revisaron por última vez? registrados en el
sistema 4) Falta
¿Los procesos son capacitación a los
razonablemente seguros y nuevos
están bien controlados? trabajadores 5) El
área de
¿Los roles y administrativa toma
responsabilidades están bien en cuenta cada
definidos y se capacita versión modificada
adecuadamente al personal?

¿Se tienen en cuenta los

cambios, configuraciones,
versiones, capacidad,
rendimiento, problemas,
incidentes, copias de
seguridad, almacenamiento,
restauración, registros de
auditoría, alarmas / alertas,
endurecimiento, evaluaciones
de vulnerabilidad, parches,
configuración /
actualizaciones de antivirus,
encriptación, etc.)?

¿Los procedimientos están

siendo revisados y
mantenidos rutinariamente,
autorizados / ordenados,
compartidos y usados?

-Registros de gestión de
Gestión de ¿Existe una política de 1)cuenta con un cambios
cambios gestión de cambios? registro de
modificación 2)
¿Existen registros cuenta con una
relacionados a la gestión de gestión de cambios
cambios? pero a nivel básico
3)se gestiona al
¿Se planifican y gestionan los momento de una
cambios? falla 4)Por el
momento no cuenta
¿Se evalúan los riesgos con una gestión de
potenciales asociados con los riesgos 5)se
 cambios? encuentran
documentados en el
¿Los cambios están área administrativa
debidamente documentados,
justificados y autorizados por
la administración?

Gestión de ¿Existe una política de 1)No cuenta con No se encontraron

capacidades gestión de capacidad? políticas de documentos.
capacidad. 2)No
¿Existen registros existen registros
relacionados a la gestión de con la gestión de
capacidad? capacidad.
3)Actualmente no
¿Incluye aspectos tales como incluye ningún
las SLA, seguimiento de las aspecto relacionado
métricas relevantes (ej. uso con las SLA
de la CPU, almacenamiento y 4)Priorizan el
errores de página, capacidad rendimiento y la
de la red, demanda de RAM, disponibilidad de
la capacidad de aire sus servidores,
acondicionado, espacio de aplicaciones en un
rack, la utilización, etc.), análisis de riesgos.
alarmas / alertas en niveles
críticos, la planificación hacia
adelante?

¿Se basa la prioridad en

asegurar el rendimiento y la
disponibilidad de servicios
críticos, servidores,
infraestructura, aplicaciones,
funciones en un análisis de
riesgos?
Separación de los ¿Se segregan entornos de Si se asegura cada No se encontraron
recursos de TIC de desarrollo, prueba y entorno. Cuenta documentos.
desarrollo, prueba operacionales? con los entornos de
y operación desarrollo, pruebas,
¿Cómo se logra la producción. Si tiene
separación a un nivel de acceso solo con
seguridad adecuado? usuarios permitidos.
No se tiene una
¿Existen controles gestión de
adecuados para aislar cada migraciones. No se
entorno (ej. redes de tiene aspectos de
producción, redes utilizadas seguridad al
para el desarrollo, redes de momento de las
pruebas, la gestión)? migraciones. No se
cuenta con un
¿Se tienen acceso a través responsable que
de perfiles de usuario garantice las
debidamente diferenciados modificaciones.
para cada uno de estos
entornos?

¿Cómo se promueve y se
lanza el software?

¿Se aplica la gestión de

cambios a la autorización y
migración de software, datos,
metadatos y configuraciones
entre entornos en cualquier
dirección?

¿Se tiene en cuenta el riesgo

de la información y los
aspectos de seguridad que
incluye el cumplimiento de
privacidad si los datos
personales se mueven a
entornos menos seguros?

¿Se identifica un responsable

de garantizar que el software
nuevo / modificado no
interrumpa las operaciones
de otros sistemas o redes?
Controles contra ¿Existen políticas y No existen políticas Se verificó la instalación
el código procedimientos asociados a y procedimientos de antivirus gratuitos en
malicioso controles antimalware? para los controles algunos equipos
antimalware. informáticos.
¿Se utilizan listas blancas o
negras para controlar el uso No se utilizan listas
de software autorizado y no blancas o negras
autorizado? para controlar el
uso de software
¿Cómo se compila, gestiona autorizado y no
y mantiene la lista y por autorizado.
quién?
Presentan el uso de
¿Hay controles de antivirus antivirus gratuitos
de “escaneado en acceso” y limitados en
“escaneo programático” en algunos equipos
todos los dispositivos informáticos.
relevantes, incluidos
servidores, portátiles,
ordenadores de sobremesa y
dispositivos integrados / IoT?

¿Se actualiza el software

antivirus de forma
automática?

¿Se genera alertas

accionables tras una
detección?

¿Se toma acción de forma

rápida y apropiada para
minimizar sus efectos?

¿Cómo se gestionan las

vulnerabilidades técnicas?

¿Existe una capacitación y

una concienciación apropiada
que cubra la detección, el
informe y la resolución de
malware para usuarios,
gerentes y especialistas de
soporte?

¿Existe un mecanismo de
escalamiento para incidentes
graves?
 Copias de ¿Existen políticas y Si existen políticas Documento de politicas
seguridad de la procedimientos asociados a de procedimientos de procedimientos de
información las copias de seguridad? de copias de copias de seguridad.
seguridad.
¿Existe un mandato basado
en el riesgo para un registro No existe un
preciso y completo de copias mandato basado en
de seguridad cuya política de el riesgo que refleje
retención y frecuencia las necesidades del
reflejen las necesidades del negocio
negocio?
Las copias de
¿Las copias de seguridad seguridad
cubren los datos y realizadas se
metadatos, sistema y aprueban para
programas de aplicación y los garantizar una
parámetros de configuración restauración.
de copias de seguridad para
todos los sistemas,
incluyendo servidores,
ordenadores de sobremesa,
teléfonos / sistemas de red,
sistemas de gestión de red,
portátiles, sistemas de
control, sistemas de
seguridad, etc.?

¿Los medios de respaldo

están físicamente
protegidos / asegurados al
menos al mismo nivel que los
datos operacionales?

¿Las copias de seguridad se

almacenan en ubicaciones
adecuadas, protegiendo
contra desastres físicos y
acceso indebido?

¿Se mantienen copias off-line

para evitar una propagación
de ransomware catastrófica?

¿Las copias de seguridad se

prueban regularmente para
garantizar que puedan
restaurar?

¿Hay una clara adherencia a

principios de
confidencialidad, integridad y
disponibilidad?
Registro de ¿Existen políticas y 1) No existen No se encontraron
eventos procedimientos para el políticas y documentos.
registro de eventos? procedimientos
para el registro de
¿Se monitorean y registran eventos. 2) Se
de manera consistente y monitorean datos
segura todos los sistemas seguros del sistema
clave incluido el registro de con identificadores
eventos en sí? de usuarios y
asignación de
¿Se registra lo siguiente? permisos.

• cambios en los ID de
usuario

• permisos y controles de
acceso

• actividades privilegiadas del

sistema

• intentos de acceso exitosos

y fallidos

• inicio de sesión y cierre de

sesión

• identidades y ubicaciones
de dispositivos

• direcciones de red, puertos

y protocolos

• instalación de software

• cambios a las
configuraciones del sistema

• uso de utilidades y
aplicaciones del sistema

• archivos accedidos y el tipo

de acceso

• filtros de acceso web

¿Quién es responsable de
revisar y hacer un
seguimiento de los eventos
informados?

¿Cuál es el periodo de
retención de eventos?

¿Existe un proceso para

revisar y responder
 adecuadamente a las alertas
de seguridad?

Instalación del ¿Existe una política acerca
software en de la instalación de software?
explotación
¿Se asegura que todo
software instalado es
probado, aprobado, permitido
y mantenido para su uso en
producción?
¿Se verifica que ya no se
utiliza software sin soporte
(firmware, sistemas
operativos, middleware,
aplicaciones y utilidades)?
No se puede Toda instalación requiere
instalar softwares las credenciales del
en los equipos si no administrador de activos.
tienes los permisos
necesarios. no
Existe un monitoreo
y alertas para la
detección de
softwares no
aprobados.

¿Se hace esta verificación en

ordenadores de sobremesa,
portátiles, servidores, bases
de datos, etc.?

¿Existen controles para evitar

instalaciones de software,
excepto por administradores
capacitados y autorizados?

¿Existe un monitoreo y alerta

para detectar instalaciones
de software no aprobadas?

¿Existe un control de cambio

y aprobación adecuado para
la aprobación de software?

Restricción en la ¿La instalación software en
instalación de los sistemas está limitada a
software personal autorizado con
privilegios de sistema
adecuados?
¿Los privilegios de
instalación están divididos en sistemas.
categorías y permiten instalar
tipos de sistemas
específicos?
Si está limitado bajo Toda instalación requiere
credenciales. No las credenciales del
están divididos en administrador de activos.
categorías. Solo se
presenta en copias
de seguridad e
instalaciones de

¿Los controles se aplican a

parches, copias de seguridad
y descargas de la web, así
como a instalaciones de
 sistemas, servidores, etc.?

A13 Seguridad de las comunicaciones

Controles de Preguntas Notas Documentos

Seguridad de la revisados(EVIDENCIAS)
Información

Controles de red ¿Existen políticas de redes Si existen políticas Organigrama del

físicas e inalámbricas? de redes físicas e departamento de TI.
inalámbricas . Documento de políticas
¿Existe una separación de la Existe una de redes físicas e
administración de las separación de la inalámbricas. Registro de
operaciones de sistemas y la administración de monitoreo de red y
de infraestructuras de red? las operaciones de dispositivos.
sistemas y de la
¿Existe un mecanismo de infraestructura de
registro y monitorización de la red. A si mismo
red y los dispositivos que se mecanismo de
conectan con ella? monitorización de la
red y dispositivos
¿Hay un sistema de que se conectan a
autenticación para todos los ella.
accesos a la red de la
organización?

¿El sistema limita el acceso

de personas autorizadas a
aplicaciones / servicios
legítimos?

¿Los usuarios se autentican

adecuadamente al inicio de
sesión?

¿Cómo se autentican los

dispositivos de red?

¿Existe una segmentación de

red adecuada usando
cortafuegos, VLAN, VPN,
etc.?

¿Se controlan los puertos y

servicios utilizados para
funciones de administración
de sistemas?
A14 Adquisición, desarrollo y mantenimiento de los sistemas de información

Controles de Preguntas Notas Documentos

Seguridad de la revisados(EVIDENCIAS)
Información

Análisis de ¿Existen políticas, No se cuenta con No se cuenta con

requisitos y procedimientos y procedimientos de evidencias. - Documento
especificaciones registros relacionados al análisis de adquisición de requisitos funcionales
de seguridad de análisis de requisitos de de software. Para el
la información seguridad para la tema de adquisición no
adquisición de sistemas y se tomó en cuenta la
software? seguridad del sw. - Los
requisitos funcionales
¿Existen procedimientos para los procesos son
para analizar riesgos, realizados por el área de
requisitos funcionales y Operaciones, no se
técnicos, arquitectura de contaba con un área
seguridad, las pruebas de especialista en
seguridad y la desarrollo y/o seguridad.
certificación de sistemas
y desarrollo?

¿Son estos
procedimientos
obligatorios para todos
los nuevos desarrollos y
cambios en los sistemas
existentes (ej.
Actualizaciones de
sistema operativo /
aplicaciones en las
actualizaciones, cambios
de criptografía, etc.)

¿Se aplican estos

controles para sistemas /
software comercial,
incluidos los productos “a
medida” o
personalizados?

Asegurar los ¿La organización usa o No cuenta con SS de acción de acceso

servicios de proporciona aplicaciones aplicaciones de al sitio web. SS de
aplicaciones en web de comercio comercio electrónico. forzado de https.
redes públicas electrónico? Cuenta con aplicaciones Documento del diagrama
web para usuarios de la arq. de app
¿Se verifican los (clientes y trabajadores),
aspectos de seguridad intranet para gestión de
 como control de acceso y contenidos. Se cuenta
autenticación de con controles de
usuarios, integridad de accesos(autenticación
datos y la disponibilidad multifactor) a las
del servicio? plataforma, integridad de
la información. Las
¿Contiene controles tales plataformas cuentan con
como validación de datos disponibilidad(servidores
de entrada, validación de espejos) como
procesamiento, contingencia. Se tiene
encriptación, una validación de datos
autenticación de en frontend y backend.
mensajes e Se cuenta con
irrenunciabilidad? certificados SSL (HTTPS
se fuerza)
¿Se fuerza https?

¿Los sitios web públicos

están siendo
monitoreados (ej.
eventos, vulnerabilidades,
etc.)?

¿Se analizan y
documentan las
amenazas de forma
rutinaria?

¿Existe una gestión de

incidentes y cambios para
tratarlos?

Política de ¿Existe una política de No existen políticas de No se encontró

desarrollo seguro desarrollo seguro que desarrollo seguro. Se documentación de
abarque la arquitectura utiliza repositorios en políticas de desarrollo
de seguridad? estado privado. No utiliza seguro.
pautas de programación
¿Los entornos de segura. No se realizan
desarrollo usan capacitaciones.
repositorios seguros con
control de acceso,
seguridad y control de
cambios?

¿Los métodos de
desarrollo incluyen
pautas de programación
segura?

¿Se capacita a los

desarrolladores para que
tengan el conocimiento
adecuado acerca de las
prácticas seguras de
 programación?

Procedimiento de ¿Existen políticas, No existen políticas, No se encontro

control de procedimientos y procedimientos y documentacion de
cambios en registros relacionados registros relacionados de procedimientos y
sistemas con la gestión de la gestión de cambios registros relacionados de
cambios? la gestión de cambios

¿Incluyen planificación y
prueba de cambios,
evaluaciones de impacto
(incluido el riesgo de
información y aspectos
de seguridad, más los
impactos de no cambiar),
verificaciones de
instalación y
procedimientos de
retroceso / reversión?

¿Incluye un
procedimiento para
cambios de emergencia?

¿Se aplican los cambios

significativos en equipos
informáticos y de
telecomunicaciones?

¿Los cambios en el
sistema están
debidamente
documentados,
justificados y autorizados
por la administración?

Principios de ¿Se siguen principios de No se visualiza Documentación de

ingeniería de SDLC que incluyen documentación donde se proyectos de sistemas de
sistemas seguros controles de seguridad? detalle requerimientos y información realizados
controles de seguridad por el área de TI.
¿Se capacita a los para el ciclo de Documento de plan
desarrolladores para que desarrollo de software en estrategico del area de
tengan el conocimiento proyectos realizados por TI.
adecuado acerca de las el área de TI. No existen
prácticas seguras de evidencias de
programación? capacitaciones a los
desarrolladores de
prácticas seguras de
programación.

Organigrama del
Entorno de ¿Se aíslan los entornos No se aíslan los departamento de TI.
 Revisión del área de los
desarrollo seguro de desarrollo? entornos de desarrollo. entornos de desarrollo
Si se realizan pruebas
¿Cómo se desarrolla, antes de lanzar a
prueba y lanza el producción el software .
software? No existe el cargo de QA
en el equipo desarrollo
¿Quién es responsable de la clínica , quienes
de garantizar que el integran el equipo de
software nuevo / desarrollo asumen las
modificado no interrumpa pruebas.
otras operaciones?

¿Se realizan
comprobaciones de
antecedentes de los
desarrolladores?

¿Tienen que cumplir con

un NDA?

¿Cuáles son los

reglamentos y los
requisitos de
cumplimiento que afectan
el desarrollo?

¿Cómo se protegen los

datos de prueba de la
divulgación y dónde están
almacenados?

Protección de los ¿Se utilizan mecanismos
datos de prueba para proteger datos de
prueba como la
seudonimización,
enmascaramiento, datos
falsos, borrado, etc.?
¿Existe un mecanismo de
verificación y aprobación
para el uso de datos no
protegidos para pruebas?
No existen mecanismos Entrevista al jefe de TI.
para la proteger los
datos de pruebas.No
existe un mecanismo de
verificación y aprobación
para el uso de datos no
protegidos para pruebas.

¿Existen registros de
estas actividades?

A15 Relación con proveedores

Controles de Preguntas Notas Documentos

 Seguridad de la revisados
Información

Política de ¿Existen políticas, procesos, Se incluye servicios -Documento de

seguridad de la prácticas y registros relacionados de nube ,alojamiento las políticas de
información en las con la gestión de relaciones con web, emisión de confidencialidad
relaciones con los proveedores que involucran certificados, servicio para proveedores
proveedores servicios de TI? de pasarelas de pago externos. -
subcontratados. Los Informe y reporte
¿Incluyen servicios de nube, servicios en la nube de los servicios
logística, servicios públicos, son administrados por subcontratados.
recursos humanos, médicos, el área de TI .
financieros, legales y otros Existencia de
servicios subcontratados de alto acuerdos , contratos y
riesgo? políticas de
confidencialidad para
¿Los contratos y acuerdos proveedores
abordan lo siguiente? externos.

• Arreglos de gestión de
relaciones, incluyendo el riesgo de
la información y los aspectos de
seguridad, la métrica, el
rendimiento, problemas, rutas de
escalada

• Información / propiedad
intelectual, y obligaciones /
limitaciones derivadas

• Rendición de cuentas y
responsabilidades relacionadas
con el riesgo y la seguridad de la
información

• Requisitos legales y normativos,

como el cumplimiento certificado
de ISO 27001

• Identificación de controles físicos

y lógicos

• Gestión de eventos, incidentes y

desastres incluyendo evaluación,
clasificación, priorización,
notificación, escalado, gestión de
respuesta y aspectos de
continuidad del negocio

• Habilitación de seguridad de los

empleados y concienciación

• Derecho de auditoría de
seguridad por parte de la
organización
 ¿Existe una obligación contractual
de cumplimento?

¿Los proveedores de servicios

externos son monitoreados
rutinariamente y auditados para
cumplir con los requisitos de
seguridad?

Requisitos de ¿Los contratos o acuerdos Los contratos - Contratos de los

seguridad en formales con proveedores cubren vinculantes a proveedores
contratos con lo siguiente? proveedores cumplen subcontratados.
terceros con requisitos previos
• Gestión de las relaciones, que validen la
incluyendo riesgos seguridad e
integridad de los
• Cláusulas de confidencialidad datos de la empresa
vinculantes antes de su
contratación.
• Descripción de la información
que se maneja y el método de
acceder a dicha información

• Estructura de la clasificación de
la información a usar

• La Inmediata notificación de
incidentes de seguridad

• Aspectos de continuidad del

negocio

• Subcontratación y restricciones
en las relaciones con otros
proveedores

• Aspectos personales y RRHH

(ej. Rendimiento, antecedentes,
“robo de empleados”, etc.)
 Cadena de Más allá de A.15.1.1 y A.15.1.2 No existe forma - Documento de
suministro de alguna donde se transferencia de
tecnología de la ¿Cómo se validan los requisitos valide los requisitos servicios y
información y de las de seguridad de los productos o de seguridad de los productos.
comunicaciones servicios adquiridos? productos y/o
servicios adquiridos.
¿Cómo se logra una capacidad de
recuperación cuando productos o La capacidad de
servicios críticos son recuperación de
suministrados por terceros? productos que son
suministrados por
¿Se puede rastrear el origen del terceros se da gracias
producto o servicio? a la transferencia de
conocimientos.

A16 Gestión de incidentes de seguridad de la información

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Notificación de los ¿Cómo se informan los eventos El monitoreo de la - Reporte de

eventos de de seguridad de la información? seguridad de monitoreo que se
seguridad de la información que se realiza. - Informe
información ¿Son conscientes los trabajadores realiza y reporte de
de la necesidad de informar de periódicamente, incidencias de la
inmediato y lo hacen? identifica seguridad de
eventualidades que información que
¿Se crean informes de ocurrieron, las cuales será presentado
seguimiento de los incidentes? se informa de al área de TI.
Desde la detección a la inmediato al área de
resolución. TI , para la toma de
decisiones y
¿Qué pasa con esos informes? restablecimiento de la
información ,
reduciendo tiempos.
Los trabajadores de la
clínica sí informan de
inmediato los eventos
de seguridad.

Notificación de Más allá de A.16.1.2 Los empleados tienen - Reporte de

puntos débiles de la capacidad de ocurrencias e
 la seguridad ¿Existe una obligación contractual reportar incidentes , incidencias de
por parte de los empleados para ocurrencias parte de los
reportar cualquier tipo de inusuales, mas no empleados. -
ocurrencia inusual? aprovecharse de las Documentación
mismas. La política de políticas de
¿Las políticas prohíben de protección de protección de
explícitamente a los trabajadores información, aclara la información.
'verificar', 'explorar', 'validar' o capacidad para
'confirmar' vulnerabilidades a reportar incidentes
menos que estén expresamente por parte de
autorizados para hacerlo? empleados, para
gestionar su pronta
solución.

Evaluación y ¿Qué tipos de eventos se espera Eventos como bugs - Screenshot de

decisión sobre los que informen los empleados? en el funcionamiento evidencia de mala
eventos de de plataformas , programación de
seguridad de ¿A quién informan? descubrimiento de destinatarios de
información brechas de seguridad correos.- Correos
¿Cómo se evalúan estos eventos en el acceso, de informes al
para decidir si califican como programación área de TI para
incidentes? incorrecta de una solución.
destinatarios en
¿Hay una escala de clasificación? correos. Se informa
directamente al área
¿Hay un proceso de clasificación y de TI o jefe inmediato
/ o escalamiento para priorizar los para su solución. No
incidentes graves? hay un proceso de
clasificación de
¿En qué se basa? incidentes

Respuesta a ¿Cómo se recolecta, almacena y La evidencia de -Screenshot de

incidentes de evalúa la evidencia? incidentes es hilos de correos.
seguridad de la registrada y
información ¿Hay una matriz de escalación mantenida en hilos de
para usar según sea necesario? correos a los
responsables de
¿Hay medios para comunicar solucionar el
información de tales incidentes a incidente. No se
las organizaciones internas y cuenta con una
externas pertinentes? documentación de
incidentes.
¿Se documentan las acciones
tomadas para resolver y
finalmente cerrar un incidente?
 Recopilación de ¿La recolección de evidencias de La recopilación de - Reporte de hilos
evidencias hace de forma competente en la evidencias es baja y de correos.
empresa o por terceros solo se presenta en -Documentos de
especializados y capacitados en reportes por hilos de autorización de
esta área? correos. Los hilos de análisis de
correo podrían forense de los
¿Haya personal capacitado, someterse a análisis hilos de correo
competente y confiable con forense en cualquier que se verían
herramientas adecuadas y momento previa afectados
procesos definidos para el rol? autorización de
Gerencia.
(cadena de evidencia
rigurosamente mantenida,
evidencia asegurada en
almacenamiento, herramientas y
técnicas)

¿Quién decide emprender un

análisis forense, y en qué criterio
se base?

¿Existen obligaciones
relacionadas con la jurisdicción,
las diferentes normas forenses y
los requisitos legales asociados?

A17 Continuidad de la seguridad de la información

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Planificación de la ¿Cómo se determinan los -Cuenta con un área de Se encontró

continuidad de la requisitos de continuidad del operaciones las cuales documentación
seguridad de la negocio? determinan ciertos requisitos: de requisitos de
información continuidad de negocio, continuidad de
¿Existe un plan de cuenta con área que negocio.
continuidad de negocio? determina ciertos requisitos
como estimación de riesgos
¿Existe un diseño adecuado de tecnologías,
de "alta disponibilidad" para activos,controles,
sistemas de TI, redes y implementaciones,gestiones.
procesos críticos? - Si existe un plan de
continuidad de negocio - El
¿Se identifica el impacto área de operaciones y del
potencial de los incidentes? área de TI están de la mano
de identificar y mejorar los
¿Se evalúan los planes de incidentes que pueda tener
continuidad del negocio? la empresa - No se lleva a
cabo ensayos de
 ¿Se llevan a cabo ensayos
de continuidad?
Implementar la ¿Los planes tienen plazos
continuidad de la definidos para restaurar
seguridad de la servicios tras una
información interrupción?
¿Los planes tienen en cuenta
la identificación y el acuerdo
de responsabilidades, la
identificación de pérdidas
aceptables, la
implementación de
procedimientos de
recuperación y restauración,
la documentación de
procedimientos y las pruebas
regulares?
¿La planificación de la
continuidad es consistente e
identifica las prioridades de
restauración?
¿Tienen los miembros de los
equipos de recuperación /
gestión de crisis / incidentes
conocimiento de los planes y
tienen claro sus roles y
responsabilidades?
¿Los controles de seguridad
son adecuados en los sitios
de recuperación de desastres
remotos?
Verificación, ¿Existe un método de
revisión y pruebas del plan de
evaluación de la continuidad?
continuidad de la
seguridad de la ¿Con qué frecuencia se
información llevan a cabo dichas
pruebas?
¿Hay evidencia de las
pruebas reales y sus
resultados?
¿Se han identificado
deficiencias?, ¿Se han
remediado? y ¿Se han vuelto
a probar hasta que los
continuidad.
- Si se cuenta con plazos Se encontró
establecidos de 1 a 3 horas documentación
para restaurar los servicios de los
ante alguna interrupción. -Si procedimientos
cuenta con un acuerdo de que deben de
responsabilidades donde seguir la
debe seguir un recuperación y
procedimiento de restauración.
recuperación y restauración.
- Cuenta con la
documentación
procedimientos y pruebas.-
Los planes de continuidad
dan prioridades de
restauración. -Si se cuenta
con roles y
responsabilidades en cada
área en el plan de
continuidad.
No existe un método para No se encontro
hacer pruebas de plan de documentacion
continuidad. Existen pseudo para realizar las
pruebas de verificación de pruebas de plan
continuidad respecto a de continuidad
seguridad de la información.
Se verificó y se detectó
deficiencias para la
seguridad en la protección
de datos respecto a
credenciales y accesos. Las
cuales se remediaron.
 resultados sean
satisfactorios?

Disponibilidad de ¿Cómo se identifican los -Se identifican un 70 % de No existe

los recursos de requisitos de disponibilidad
tratamiento de la de servicios?
información
¿Se tienen en cuenta la
capacidad de recuperación,
la capacidad de rendimiento,
el balanceo de carga?
disponibilidad de servicios documentación
-Si cuenta con servicios de de la
DNS, no estamos disponibilidad de
completamente asegurados los servicios.
con el servicio de internet -
Se cuenta con controles de
seguridad de la información.

¿Se tienen en cuenta

servicios poco fiables,
equipos, instalaciones,
servidores, aplicaciones,
enlaces, funciones, y la
organización en sí?

¿Los controles clave de

seguridad de la información
están implementados y son
funcionales en los sitios de
recuperación de desastres?

A18 Cumplimiento

Controles de Preguntas Notas Documentos

Seguridad de la revisados
Información

Derechos de ¿Existen políticas y No existen políticas ni - Portal web de

Propiedad procedimientos relativos a la procedimientos Clínica Jockey
Intelectual (DPI) adquisición, el uso y licencias relativos a la Salud , revisión
de propiedad intelectual, adquisición y el uso del apartado de
gestión de licencias y de patentes.Sin "Término y
cumplimiento? embargo se tiene en Condiciones de
cuenta los contenidos, Uso" . Discos con
marcas, logos, iso Win 10 Pro y
dibujos, office.
documentación,
programas
informáticos o
cualquier otro
elemento susceptible
de protección por la
legislación de
propiedad intelectual o
 industrial, que sean
accesibles en su
portal , corresponden
exclusivamente a la la
clínica o a sus
legítimos titulares y
quedan expresamente
reservados todos los
derechos sobre los
mismos. Se revisó
licencias de software
en los activos de TI.

Protección y ¿Hay un mecanismo para Si existe mecanismo - Documentos

privacidad de la instruir al personal en el manejo para instruir al electrónicos con
información de de información de carácter personal en el manejo firma digital del
carácter personal personal? de información de personal
carácter personal .No perteneciente a la
¿Hay un responsable de existe responsable clínica Jockey
privacidad en la organización? encargado de la Salud . El
privacidad en la documento detalla
¿Es el responsable conocedor organización como el tratamiento
de la información de carácter tal . Sin embargo, la consentido ,
personal que es recopilado, clínica Jockey Salud seguro y privado
procesado y almacenados por está cumpliendo con de su data
la organización? la Ley Nº 29733 - Ley personal.
de Protección de Revisión del portal
¿Cuáles son los controles de Datos Personales , web , sección de
acceso a información de existe política de Términos y
carácter personal? privacidad y Condiciones de
protección de Datos Uso , apartado de
¿Cuál es el nivel de acceso y Personales. políticas de
roles (de personal) que tienen privacidad y
acceso a estos activos? protección de
datos personales.

Revisión ¿Están las prioridades de - Existe controles de -Registro de

independiente de la implementación de controles seguridad de auditoría externa
seguridad de la alineadas con los riesgos a información mínimos , (verificación de
información activos de información? estos no cubren fechas , detallado
alineación con los de actividades y
¿Los requisitos de auditoría de riesgos .No se áreas
sistemas son cuidadosamente encuentran auditadas).Docum
planificados, autorizados, precedentes de entacion de
implementados y controlados auditorias planificadas auditoria externa.
para minimizar los riesgos? para el control de Documento de
minimización de planificación de
¿Están los objetivos y el riesgos. Sin embargo auditorías
alcance de auditoría si hay presencia de presupuestadas y
autorizados por la gerencia? auditorías externas planificadas
por emergencia en durante el año .
¿Está adecuadamente tiempo recientes a
controlado el acceso a las partir de un hecho en
 herramientas / software de concreto (fuga de
auditoría del sistema de información de
información? interna). Se
documentan los
¿Se documentan los hallazgos hallazgos de auditoría.
de auditoría y las actuaciones
para solventarlos?

Cumplimiento de las ¿Cómo garantizar que todos los - No se visualiza la Planificación de

políticas y normas procedimientos de seguridad forma en cómo se actividades del
de seguridad dentro de un área de revisan los requisitos presente año de la
responsabilidad se llevan a definidos dentro de la Clínica Jockey
cabo correctamente? organización . A si Salud.(Plan
mismo no se Estratégico de
¿Se hace una verificación encuentran trabajo) Activos de
periódica? implementación de TI. Documento de
sistemas de medición requisitos
automática y definidos dentro
herramientas de de la
informe. organización.

Comprobación del ¿Se llevan a cabo escaneos de No existe registro Planificación de

cumplimiento técnico vulnerabilidades de red y anteriores ni recientes actividades del
pruebas de Pentesting de programas de presente año
regulares? escaneos de programadas para
vulnerabilidades y el área de TI.
¿Las pruebas son realizadas pruebas de pentesting Registro de
por profesionales debidamente , así como no existen Auditorías de
cualificados, competentes y políticas ni normas Jockey Salud.
confiables? para abordar
problemas
¿Cómo informa, analiza y utiliza identificados.
los resultados de dichas
pruebas?

¿La prioridad de tratamiento se

basa en un análisis de riesgos?

¿Hay evidencias de medidas

tomadas para abordar los
problemas identificados?

4.5. HALLAZGOS
Se revisaron y se encontraron estos puntos

A5 Políticas de seguridad de la información

 Controles de Seguridad de la Información Hallazgos

Políticas para la seguridad de la información Se encontró políticas definidas de seguridad de

información. Cuentan con una estructura
organigrama. Las políticas aplicadas no se
encuentran aprobadas por la alta gerencia.

A6 Organización de la seguridad de la información

Controles de Seguridad de la Información Hallazgos

Roles y responsabilidades en seguridad de la No se encontró un foro de alta gerencia para

analizar el riesgo de la información y políticas de
riesgos y problemas de seguridad.

información

Política de dispositivos móviles Se encontraron políticas de seguridad para las

aplicaciones móviles. Se encontró monitoreo y
control de los dispositivos. Se encontró control de
seguridad a antivirus y parches de seguridad.

Teletrabajo Se encontró que el control de la seguridad de los

datos se protegen via VPN. Se encontró
autentificación menos de la autenticación(2FA).

A7 Seguridad relativa a los Recursos Humanos

Controles de Seguridad de la Información Hallazgos

Investigación de antecedentes Se encontró que se evalúa a su personal nuevo. Se

encontró que si aplica la verificación de antecedentes
y referencia de los contactos.
 Términos y condiciones del empleo Se encontró que están bien definidos los términos y
condiciones de empleo. Se encontró que si se hace
distinción entre profesionales de seguridad.

Responsabilidades ante la finalización o Se encontró que no existe un marco de referencia

cambio para los registros relacionados a la información para
los trabajadores que se mueven dentro de la
organización.

A8 Gestión de Activos

Controles de Seguridad de la Información Hallazgos

Inventario de activos Se encontró que existe inventario de activos

físicos y de información. A cargo del área de TI.
Actualmente el inventario está desactualizado ,
falta verificar el estado de algunos equipos
informáticos.

Propiedad de los activos Se encontraron los inventario y monitoreo de los

responsables de los activos.

Uso aceptable de los activos No se encontraron manuales para los recursos

informáticos.

Se encontró que no se permiten los recursos de la

empresa para otras actividades o fines.

Se encontró que se adjuntan cargos de

responsabilidad .

Devolución de activos Se encontró que existen cargos firmados de

responsabilidad de uso de equipos.

Los informes manuales tardan mucho en ser

notificados al área correspondiente.

Informe de reemplazos de activos

 Clasificación de la información
Etiquetado de la información
Manipulado de la información
Gestión de soportes extraíbles
Eliminación de soportes
Soportes físicos en tránsito
A9 Control de acceso
Controles de Seguridad de la Información
Política de control de acceso
Acceso a las redes y a los servicios de red
Se encontró que no todas las áreas cuentan con una
política de revisión.
Se encontró que cada área se hace responsable de
la confidencialidad
Se encontró que se considera la fuga de información
controlable
Se encontró que se encontraron CD/DVD y Usb pero
con fin de instaladores de softwares, no como uso
de almacenamiento de información. Se encontró
que existe una hoja de cálculo de registros.
Se encontró que existen documentos sobre activos
con responsabilidades de usuarios.
Se encontró que para el transporte de documentos
oficiales si cuenta con un motorizado que cumple
esa función . Se encontró que los documentos se
sellan y se clasifican dependiendo la información .
Hallazgos
Se encontró que no existen políticas de
clasificación. Se encontró un manual y directrices a
seguir para la designación. Se encontró que la
segregación de deberes se da por áreas específicas.
Se encontró que no se monitorea la red y se
encontró que los controles de seguridad son
evaluados a groso modo. Se encontró que se tiene
definido los tiempos en caso de riesgo ante
incidentes.
 Registro y baja de usuario
Provisión de acceso de usuario
Gestión de privilegios de acceso
Gestión de la información secreta de
autenticación de los usuarios
Retirada o reasignación de los derechos de
acceso
Uso de la información secreta de autenticación Se encontró que existe un proceso de cambio en
Restricción del acceso a la información
Se encontró que existe comunicación entre la
administración de seguridad y recursos
humanos. Se encontró que se utiliza un ID para
cada usuario.
Se encontró que se documenta y archiva las
solicitudes de las actas y aprobaciones de
accesos.Se encontró que los accesos a los
sistemas se brinda mediante el acta de alta de
usuario.
Se encontró que se cuenta con un monitoreo
no constante de las actualizaciones a los
accesos a los archivos e información
inicialmente brindada. se cuenta con un
servidor de active directory donde se asignan
roles y privilegios de archivos y redes .
Se cuenta con los requisitos mínimos para la
creación de claves de accesos,Se encontró que el
monitoreo a las claves débiles no es recurrente. se
encontró que se realiza el cambio de credenciales
que viene de fabrica.se encontró que se guardan de
modo cifrado las claves de accesos a las
plataformas.
Se encontró que se notifica a los empleados ,
proveedores el retiro de todos los accesos y
cuentas una vez se culminó su estadía en la
organización.
caso de verse afectada.
Se encontró que existen controles de acceso a
sistemas y aplicaciones , Se encontró que se cuenta
con el acta de alta de usuario como medio de
gestión de permisos.
 Procedimientos seguros de inicio de sesión Se encontró que no muestra pantalla de
advertencia al inicio de sesión. Se encontró que si
se utilizan VPNs para acceder remotamente y de
manera segura a los equipos. Se encontró que se
mantiene un log de accesos a la plataforma, como
de intentos fallidos.

Sistema de gestión de contraseñas No se encontraron

Control de acceso al código fuente de los Se encontró que el almacenamiento del código
programas fuente se almacena en repositorios privados . El
código para la publicación es compilado. Almacenan
y revisan registros de accesos y cambios.

A10 Criptografía

Controles de Seguridad de la Información Hallazgos

Política de uso de los controles criptográficos - No se encontraron documentos

Gestión de claves - No se encontraron documentos

A11 Seguridad física y del entorno

Controles de Seguridad de la Información Hallazgos

Perímetro de seguridad física Se encontró una definición de áreas seguras. Si se

cuenta con cerraduras en las áreas sensibles e
importantes. Se encontró que se tiene un control de
acceso . Se encontró que hay un personal que
monitorea constantemente estos puntos .

Controles físicos de entrada Se encontró controles de acceso como el monitoreo

 CCTV, acceso biométrico. Se encontró áreas según
sus roles y responsabilidades. Se encontró puntos de
acceso con seguridad de datos biométricos.

Seguridad de oficinas, despachos y recursos Si se encontraron detectores de proximidad , CCTV

en los accesos de las instalaciones.

Protección contra las amenazas externas y Se encontraron planos y croquis de los riesgos
ambientales internos y externos. Se encontró que cuentan con
extintores de humo. Se encontró que no se
contemplan sitios remotos.

El trabajo en áreas seguras Se encontraron controles adecuados para el acceso

físico , como alarmas Y CCTV .Se encontraron que se
prohíbe el uso de fotografías u otros .No se encontró
forma de asegurar la información confidencial .

Áreas de carga y descarga Se encontró las restricciones la entrega de activos

mediante una persona autorizada. Se encontró la
validez de lo que ingresa.

Emplazamiento y protección de equipos Se encuentra que las áreas no se encuentran

protegidas frente a desastres agua, fuego,
temperatura, rayos y seguridad del personal.

Instalaciones de suministro Se encontró que cuenta con sistemas de UPS.

Seguridad del cableado Se encontró que cuentan con cables externos y cajas
de conexiones.Se encontró que se tienen todos los
controles que ayudan a la protección.

Mantenimiento de los equipos Se encontró que todo el personal se encuentra

capacitado en el mantenimiento de equipos. Se
encontró que los épicos si cuentan con seguros .
 Seguridad de los equipos fuera de las Se encontró que se tienen que brindar mejores
instalaciones control de los equipos

Retirada de materiales propiedad de la empresa Se encontró que los equipos se encuentran en

óptimas condiciones para un traslado

Reutilización o eliminación segura de equipos Se encontró un módulo del sistema para el registro
de equipos desechados

Equipo de usuario desatendido Se encontró que si tienen accesos con credenciales a

todos sus dispositivos..

Política de puesto de trabajo despejado y No se encontró documentos de políticas , normas y

pantalla limpia directrices para la mantención de las distintas áreas
limpias . No se encontró antecedentes de
capacitaciones al personal de las distintas áreas para
la mantención de las distintas áreas limpias. Equipos
de TI sin salvapantallas o bloqueo de contraseña

A12 Seguridad de las operaciones

Controles de Seguridad de la Información Hallazgos

Documentación de procedimientos Se encontró que se debe de mejorar los procesos de

operacionales monitoreo de la información

Gestión de cambios Se encontró fallas en gestionar cambios y reportarlo

Gestión de capacidades No se encontró que tengan una política de gestión

de capacidad, no se encontraron registros de
gestión de capacidad.
 Separación de los recursos de desarrollo, Se encontró que cuenta con entornos de
prueba y operación desarrollo y pruebas

Controles contra el código malicioso No se encontró que cuenta con políticas de

procedimientos para los controles de antimalware.

No se encontró una lista blanca o negra para

controlar el uso de software autorizado y no
autorizado.

Se halló equipos sin antivirus de terceros.

Copias de seguridad de la información Documento de políticas de procedimientos de

copias de seguridad.

Registro de eventos No se encontraron politicas de eventos, tampoco

registros ni documentación.

Instalación del software en explotación Se encontró que no tienen procesos para

identificar software falsos

Restricción en la instalación de software Se encontraron que maneja credenciales para

administrar archivos

A13 Seguridad de las comunicaciones

Controles de Seguridad de la Información Hallazgos

Controles de red Se encontraron políticas de redes físicas e

inalámbricas , separación de las operaciones de
sistemas y de la infraestructura de red y
 mecanismos de monitorización de la red y
dispositivos que se conectan a ella. Cuentan con
VPN

A14 Adquisición, desarrollo y mantenimiento de los sistemas de información

Controles de Seguridad de la Información Hallazgos

Análisis de requisitos y especificaciones de No se encontró Políticas definidas de seguridad

seguridad de la información de sw

Asegurar los servicios de aplicaciones en redes Se encontraron políticas de control acceso a

públicas las aplicaciones en redes públicas

Política de desarrollo seguro No se encontraron documentos, no se

realizaron capacitaciones.

Procedimiento de control de cambios en No se encontraron políticas, tampoco

sistemas documentos de sus cambios

Principios de ingeniería de sistemas seguros Se encontro documentacion de proyectos donde no

se visualiza controles de seguridad para el ciclo de
desarrollo de los proyectos.No hay planificacion de
capacitaciones a los desarrolladores de practicas
seguras de programacion.No se encuentra
procedimientos seguros para el diseño y
codificación , procesos de diseño de mecanismos de
autenticación difíciles vulnerar.

Entorno de desarrollo seguro No se encontró aislamiento de entornos de

desarrollo. No existen controles que permitan la
separación de ambientes de desarrollo, pruebas y
producción.

Protección de los datos de prueba No existe documentación de lineamientos para los

controles de las pruebas de un

A15 Relación con proveedores
Controles de Seguridad de la Información
Política de seguridad de la información en las
relaciones con los proveedores
Requisitos de seguridad en contratos con
terceros
Cadena de suministro de tecnología de la
información y de las comunicaciones
A16 Gestión de incidentes de seguridad de la información
Controles de Seguridad de la Información
Notificación de los eventos de seguridad de la
información
Notificación de puntos débiles de la seguridad
sistema de información nuevo o la mejora de uno
ya existente. No se encontró mecanismo de
verificación y aprobación para el uso de datos no
protegidos para prueba.
Hallazgos
Se encontró existencia de servicios subcontratados
administrados por el área de TI y políticas de
confidencialidad para proveedores externos .No se
encontró un checklist de cumplimiento de la política
de seguridad en lo relativo a relación con
proveedores. Así como la existencia de un
documento con análisis de riesgos , política de
control y restricción de los accesos a la
información , evidencias de monitoreo a los
proveedores cumplen con todas las cláusulas.
Se encontró que los vinculantes a proveedores
cumplen con requisitos previos que validen la
seguridad e integridad de los datos .
No se encontró como se valida los requisitos de
seguridad de los productos y/o servicios adquiridos.
Hallazgos
Se encontró que se informa de inmediato al
área de TI según el monitoreo que se realiza
periódicamente
se encontró que reportan incidencia por parte de
los empleados y realizan su documentación
respectiva.
 Evaluación y decisión sobre los eventos de tienen eventos de funcionamiento de plataformas,
seguridad de información direccion destinatarios de correos, pero no se
encontro un proceso que clasifica los incidentes

Respuesta a incidentes de seguridad de la No se encontró un proceso de tickets para

información registrar incidencias

Recopilación de evidencias Se encontró que sus evidencias no son muy

eficientes, tienen un documento de obligaciones
relacionados con la jurisdicción.

A17 Vulnerabilidades

Controles de Seguridad de la Información Hallazgos

Planificación de la continuidad de la seguridad de Se encontró que no se llevan a cabo ensayos

la información de continuidad. Se encontró que tienen
documentación que determinan ciertos
requisitos .

Implementar la continuidad de la seguridad de la Se encontró que cuentan con roles y

información responsabilidades en cada área en el plan de
continuidad. Se encontró que los
procedimientos de recuperación y restauración
cuenta con la documentación procedimientos
y pruebas.

Verificación, revisión y evaluación de la Se encontró que no existe un método para

continuidad de la seguridad de la información realizar pruebas en el plan de continuidad.

Disponibilidad de los recursos de tratamiento de Se encontró que si cuenta con disponibilidad

la información de servicios DNS. Se encontró que no están
completamente asegurados con el servicio de
internet. Se encontró que cuenta con controles
de seguridad de la información.

A18 Cumplimiento
Controles de Seguridad de la Información
Derechos de Propiedad Intelectual (DPI)
Protección y privacidad de la información de
carácter personal
Revisión independiente de la seguridad de la
información
Cumplimiento de las políticas y normas de
seguridad
Hallazgos
No se encontraron documentos , ni registros de
políticas y procedimientos relativos a la adquisición ,y
el uso de patentes. Se encontró en el portal web de
la clínica Jockey Salud , un apartado dedicado al "Uso
y Término de condiciones" donde se aclara el uso
correcto del contenido y/o alteración del portal web
de la clínica Jockey Salud. Se encontró disco ISO de
win 10 Pro , win 10 Home y office 2016
No se encontró cargo alguno o responsable
relacionado a la privacidad en la organización . Se
pudo visualizar y comprobar la existencia de
documentos electrónicos detallados sobre la ley de
protección de Datos Personales. No se encontró
presupuesto exclusivo para la seguridad de
información . Los bancos de datos que contienen
datos personales están inscritos en el Registro de
Protección de Datos de la Autoridad de Protección de
Datos Personales. Si bien la clínica expone que tiene
implementadas medidas de índole técnica y
organizativa necesarias para garantizar la seguridad
de los datos personales y evitar su alteración, pérdida
y tratamiento y/o acceso no autorizado, estas no se
cumplen en su totalidad. No existen protocolos de
seguridad técnica sobre archivos en soportes
automatizados y no automatizados.
Se encontró controles técnicos mínimos de seguridad
de información , los cuales no están alineados en su
totalidad con los riesgos de la empresa . Se verificó la
existencia de auditorías externas recientes ,
documentos de hallazgos de auditorías (No se
visualizó el documento al ser de índole privado).
Documentos de planificación y de presupuestos de
auditorías durante el año , se observa que no existe
planificación alguna o presupuesto directo a
auditorias informaticas.
No se encontró forma alguna (física y/o digital) de
cómo se revisa los requisitos definidos dentro de la
organización
En las planificaciones de actividades del presente año
y anteriores , no se encuentra un apartado dedicado
 a una verificación periódica de revisión de los
requisitos definidos . No presenta implementación de
sistemas de medición automática.

Comprobación del cumplimiento técnico No se encontraron registros anteriores ni recientes

de programas de escaneos de vulnerabilidades y
pruebas de pentesting. No hay planificación para
revisión periódica de los sistema de información así
como también la existencia de documentación sobre
fallos en actualizaciones de sistemas , identificación
de vulnerabilidades ni reglas y políticas definidas. Se
realizó un test de escaneo de vulnerabilidades al
portal web de la clínica Jockey Salud con resultados
poco favorables , potencialmente vulnerables.

4.6. INFORME Y PLAN

A5 Políticas de seguridad de la información

Controles de Seguridad de la Información Recomendaciones

Políticas para la seguridad de la información Se recomienda implementar políticas de seguridad

basado en algún marco o estructura administrada
para la seguridad de información. Esta política tiene
que ser aprobada por la alta gerencia, luego debe
ser publicada o entregada a los usuarios..

A6 Organización de la seguridad de la información

Controles de Seguridad de la Información Recomendaciones

Roles y responsabilidades en seguridad de la Se recomienda tener un foro para el análisis de

información riesgo de información y políticas de seguridad.

Política de dispositivos móviles Se recomienda implementar soluciones MDM y

soluciones MAM para controlar las
 aplicaciones

Teletrabajo Se recomienda implementar autenticación del

usuario (2FA)

A7 Seguridad relativa a los Recursos Humanos

Controles de Seguridad de la Información Recomendaciones

Investigación de antecedentes Se recomienda implementar procesos de

selección mejorado para los riesgos críticos.

Términos y condiciones del empleo Se recomienda que guarden un registro sobre

las actividades y obligaciones de seguridad de
la información..

Responsabilidades ante la finalización o cambio Recomendaciones debe definir los estándares

o marcos de referencias relacionados con
seguridad de la información de los
trabajadores.

A8 Gestión de Activos

Controles de Seguridad de la Información Recomendaciones

Inventario de activos Se recomienda verificar el estado de equipos

informáticos.

Actualizar el inventario de activos.

Realizar un plan detallado y destinar fechas para

actualización o agregación de nuevos activos.

Propiedad de los activos Se recomienda realizar un informe de incidentes de

seguridad de la información que podrían afectar.

Se recomienda etiquetar mediante software los

 activos de información.

Uso aceptable de los activos Se recomienda realizar un manual de uso de los

recursos informáticos para cada área de la
empresa.

Se recomienda implementar la automatización de

recuperación de activos.

Se recomienda destinar capacitación de un uso

adecuado de los recursos informáticos.

Devolución de activos Se recomienda realizar informes digitales para

notificar a las áreas correspondientes.

Se recomienda mejorar el procedimiento para

recuperar los activos.

Clasificación de la información Se recomienda crear políticas de revisión de la

información.

Etiquetado de la información Se recomienda la automatización del manejo

de las etiquetas.

Manipulado de la información Se recomienda monitoreo de la información en

todas las áreas.

Gestión de soportes extraíbles Se recomienda centralizar la información sobre

activos de medios extraíbles.

Eliminación de soportes Se recomienda la automatización de los

documentos de información.

Soportes físicos en tránsito Se recomienda monitorear el viaje del

motorizado .

A9 Control de acceso
 Controles de Seguridad de la Información Recomendaciones

Política de control de acceso Se recomienda implementar políticas de

clasificación .

Acceso a las redes y a los servicios de red Se recomienda tener a una persona
permanente encargada de la revisión de la
red.

Registro y baja de usuario Se recomienda que pase un tiempo

determinado para reasignar los ID de usuarios
a otros usuarios.

Provisión de acceso de usuario Se recomienda el monitoreo de posibles

actualizaciones de accesos.

Gestión de privilegios de acceso Se recomienda monitoreo constante a los

encargados sobre los accesos , caducidad y
usuarios en el servidor active directory

Gestión de la información secreta de Se recomienda el monitoreo constante a las

autenticación de los usuarios credenciales débiles .

Retirada o reasignación de los derechos de Se recomienda que las notificaciones de cese

acceso resguarden y validen la integridad de la
información.

Uso de la información secreta de autenticación Implementar políticas de cambios periódicos

de claves y accesos.

Restricción del acceso a la información Se recomienda la implementación de un

gestor de actas.

Procedimientos seguros de inicio de sesión Se recomienda agregar una pantalla de

advertencia en el proceso de inicio de sesión para
disuadir el acceso no autorizado. Se recomienda
 realizar evaluaciones periódicamente sobre sus
controles que manejan actualmente.

Sistema de gestión de contraseñas -Se recomienda realizar evaluaciones

periódicamente sobre sus controles que manejan
actualmente.

Control de acceso al código fuente de los Se recomienda realizar una documentación sobre
programas los hallazgos que tienen, y realizar copias de
seguridad.

A10 Criptografía

Controles de Seguridad de la Información Recomendaciones

Política de uso de los controles criptográficos Implementar una política que cubra el uso de
criptografía.

Gestión de claves Implementar políticas de criptografía

A11 Seguridad física y del entorno

Controles de Seguridad de la Información Recomendaciones

Perímetro de seguridad física Se recomienda Implementación un sistema de

detección de intrusos

Controles físicos de entrada Se recomienda que sigan con los protocolos de

seguridad que tienen implementado .

Seguridad de oficinas, despachos y recursos Se recomienda que los controles sean

proporcionados para salvaguardar los datos.

Protección contra las amenazas externas y Se recomienda que deben contemplar sitios
ambientales remotos.
 El trabajo en áreas seguras Se recomienda implementar un control de
permanencia de persona autorizada. Se
recomiendo implementar controles que
prohiba el uso de equipos fotográficos

Áreas de carga y descarga se recomienda implementar una política o

procedimiento de adquisición

Emplazamiento y protección de equipos Se recomienda implementar controles de

inundación, fuego, hueda, y se realicen
pruebas periódicamente

Instalaciones de suministro Se recomienda implementar un plan de

mantenimiento de ups.

Seguridad del cableado se recomienda realizar un control o una

verificación de todos los controles
mensualmente

Mantenimiento de los equipos se recomienda realizar una verificación

quincenalmente

Retirada de materiales propiedad de la empresa Se recomienda realizar un traslado en caso de

emergencia

Reutilización o eliminación segura de equipos Se recomienda cubrir todos los dispositivos

que serán parte de este proceso de desecho
para evitar fuga de información.

Equipo de usuario desatendido Se recomienda que se realice una verificación

exhaustiva.

Política de puesto de trabajo despejado y pantalla Se recomienda planificar e implementar políticas y

limpia directrices de seguridad para la mantención de las
distintas áreas limpias. Así mismo capacitar al
personal de las distintas áreas para que puedan
cumplir en su totalidad con las directrices.

A12 Seguridad de las operaciones

 Controles de Seguridad de la Información Recomendaciones

Documentación de procedimientos operacionales Se recomienda que realicen revisiones y

mantenimientos de sus procedimientos
rutinariamente.

Gestión de cambios Se recomienda que al planificar y gestionar los

cambios, realicen un documento autorizado de
lo que se va a realizar con el fin de poder
evaluar los riesgos.

Gestión de capacidades Se recomienda integrar políticas de capacidad,

priorizar el rendimiento y la disponibilidad de
sus servidores y realizar un análisis de riesgos

Separación de los recursos de desarrollo, prueba Se recomienda realizar una gestión de

y operación migración de software, datos. designar
responsables para que garanticen las
modificaciones y se cumplan.

Controles contra el código malicioso Se recomienda realizar políticas y procedimientos

para los controles anti malware, y realizar la
documentación de los hallazgos.

Se recomienda realizar una lista blanca o negra

para el control de uso de software autorizado y no
autorizado.

Se recomienda la masificación de antivirus en todos

los equipos informáticos de la organización.

Se recomienda la compra de un antivirus

corporativo para acceder a todos las funciones sin
limitación.

Se recomienda capacitaciones para el uso correcto

del antivirus , realizar informes de notificaciones de
incidentes de malware al área de TI.

Copias de seguridad de la información Se recomienda implementar un mandato basado

en el riesgo que refleje las necesidades del negocio.
 Se recomienda verificar que las copias de seguridad
cumplan con los estándares definidos para la
continuidad del negocio.

Registro de eventos Se recomienda implementar políticas de

registros de los eventos y realizar registros de
sus documentaciones.

Instalación del software en explotación Se recomienda implementar políticas acerca

de la instalación de software, revisión
periódicamente sobre los software para
identificar softwares legítimos.

Restricción en la instalación de software Se recomienda implementar controles para los

parches, copias de seguridad y descargas
web.

A13 Seguridad de las comunicaciones

Controles de Seguridad de la Información Recomendaciones

Controles de red Actualizar o Agregar a las políticas de redes físicas e

inalámbricas , autenticación para la red , y
fundamental control de privilegios. Implementar un
sistema de garantía de factores múltiples para el
control de acceso. Consolidar el monitoreo y
registro para establecer medidas correctivas y si es
necesario disciplinarias como para establecer
medidas preventivas.

A14 Adquisición, desarrollo y mantenimiento de los sistemas de información

Controles de Seguridad de la Información Recomendaciones

 Análisis de requisitos y especificaciones de Implementación de políticas de especificación
seguridad de la información de seguridad de sw

Asegurar los servicios de aplicaciones en redes Se recomienda considerar implementar

públicas políticas de seguridad para comercio
electrónico.

Política de desarrollo seguro Se recomienda implementar políticas de

desarrollo seguro, realizar capacitaciones
sobre la programación segura.

Procedimiento de control de cambios en sistemas Se recomienda implementar políticas de

procedimientos y registros de gestión de
cambios. realizando documentación necesaria.

Principios de ingeniería de sistemas seguros Se recomienda planificar y realizar capacitaciones a

los desarrolladores de prácticas seguras de
programación. Evaluar la contratación de
academias online y/o programas intensivos
presenciales. Así mismo realizar procedimientos
seguros para el diseño y codificación , diseño de
mecanismos de autenticación. Documentar los
controles de seguridad usados en cada proyecto.
Tener un control de calidad en controles de
seguridad , pruebas de seguridad , aseguramiento
basados en riesgos.Utilizar prácticas criptográficas
y owasp.

Entorno de desarrollo seguro Se recomienda el aislamiento de entornos de

desarrollo. Definir controles para la separación de
ambientes de desarrollo , pruebas y producción.
Evaluar la contracción de personal con el perfil de
QA de no ser así , planificar y realizar
capacitaciones de desarrollo de pruebas dirigido al
equipo de desarrollo.

Protección de los datos de prueba Se recomienda definir lineamientos para los

controles de las pruebas de un sistema de
información . Generar e implementar mecanismos

A15 Relación con proveedores
Controles de Seguridad de la Información
Política de seguridad de la información en las
relaciones con los proveedores
Requisitos de seguridad en contratos con
terceros
Cadena de suministro de tecnología de la
información y de las comunicaciones
A16 Gestión de incidentes de seguridad de la información
de verificación y aprobación para el uso de datos
no protegidos prueba.Aplicar técnicas de cifrados
para minimizar la exposición de datos sensibles.
Recomendaciones
Se recomienda realizar un análisis de riesgos ,
definir políticas de control y restricción de los
accesos a la información. Monitoreo a los
proveedores para verificar si cumplen con todas las
cláusulas establecidas. Generar checklist de
cumplimiento de políticas de seguridad en lo
relativo a relación con proveedores..
Se recomienda monitorear el cumplimiento de
los requisitos que validan la seguridad e
integridad de los datos.
Se recomienda monitoreo de los productos
suministrados por terceros .Planificar y realizar
controles aplicados a la cadena de suministros ,
donde se detalle criterios de seguridad para cada
servicio , producto o tecnología a contratar ,
requisitos de seguridad a sus proveedores y cadena
de suministro establecer procesos para comprobar
que los productos o servicios suministrados
cumplen con los requisitos establecidos para la
seguridad de la información , trazabilidad de
componentes críticos. Además establecer canales
de comunicación con los proveedores y su cadena
de suministros.
 Controles de Seguridad de la Información Recomendaciones

Notificación de los eventos de seguridad de la Se recomienda monitorear con un índice más

información recurrente si los trabajadores son conscientes
de informar lo que hacen.

Notificación de puntos débiles de la seguridad Se recomienda realizar evaluaciones

periódicamente de las políticas que se tienen
actualmente.

Evaluación y decisión sobre los eventos de Se recomienda realizar un proceso de

seguridad de información clasificación de incidentes.

Respuesta a incidentes de seguridad de la Implementar un sistema de tickets el cual

información registre las incidencias presentadas con
evidencias , a la vez las categorice y
documenten según la eventualidad de
actualización y cierre de la misma.

Recopilación de evidencias Se recomienda realizar una recolección de

evidencias de forma eficiente por parte de la
empresa o terceros , tener en cuenta los
personal capacitados con herramientas
adecuadas.

A17 Vulnerabilidades

Controles de Seguridad de la Información Recomendaciones

Planificación de la continuidad de la seguridad de Se recomienda implementar un diseño

la información adecuado de alta disponibilidad para sistemas
de TI, redes y procesos críticos

Implementar la continuidad de la seguridad de la Se recomienda seguir mejorando los controles

información que se tienen actualmente.
 Verificación, revisión y evaluación de la Se recomienda implementar un método para
continuidad de la seguridad de la información realizar pruebas de plan de continuidad

Disponibilidad de los recursos de tratamiento de Se recomienda implementar un servicio de red

la información dedicado para sus procesos más importantes

A18 Cumplimiento

Controles de Seguridad de la Información Recomendaciones

Derechos de Propiedad Intelectual (DPI) Se recomienda revisar periódicamente , actualizar

el apartado de "Uso y término de Condiciones". Se
recomienda implementar políticas y
procedimientos relativos a la adquisición y el uso
de patentes de ser necesario o como precedente.
Así mismo se recomienda planificar charlas al
personal sobre políticas de uso legal de software
aclarando que cosas están permitidas y cuáles no.

Protección y privacidad de la información de Se recomienda generar un puesto responsable de

carácter personal la privacidad de información de la clínica , solicitar
la contratación de personal capacitado para el
puesto o de lo contrario capacitar a personal
interno . De no encontrar un personal calificado ,
optar por la capacitación de personal interno bajo
la supervisión de una empresa tercera
especializada en protección de Datos Personales.
Así mismo se recomienda evaluar y destinar
presupuesto anual para resguardar la seguridad de
información de la clínica.

Revisión independiente de la seguridad de la Se recomienda planificar y presupuestar auditorías

información informáticas durante el año . Evaluar , corregir y/o
 actualizar controles técnicos de seguridad de
información , donde se alinean con los riesgos de la
empresa. Medir el impacto de las auditorías ,
corregir los hallazgos y planificar auditorías con
mira hacia el siguiente año.Evaluar e identificar
periódicamente los riesgos que tiene la empresa
con el fin de conseguir una mejora continua.

Cumplimiento de las políticas y normas de Se recomienda definir requisitos de seguridad para

seguridad la organización. Realizar periódicamente y/o
anuales la revisión de requisitos de seguridad
definidos complementados con capacitaciones de
sensibilización a la seguridad. Implementar sistema
de medicion automatica.Documentar los
resultados de las revisiones para poder realizar
informes de los resultados.

Comprobación del cumplimiento técnico Se recomienda definir reglas y políticas para la

evaluación del sistema de información.Realizar
periódicamente programas de escaneos de
vulnerabilidades y pruebas de pentesting.Así
mismo definir análisis de riesgos , documentar los
hallazgos , evaluar y tomar medidas correctivas
para minimizar las amenazas que comprometan a
los sistemas de información.

Gráficos de las Evaluación de las Métricas

 Estado de Controles - Anexo A

CONCLUSIONES Y RECOMENDACIONES
El presente proyecto nos sirvió como una gran experiencia al momento de realizar
una auditoría a una organización de salud, siendo esta una muy reconocida, de ese
modo haber utilizado un framework como lo es ISO 27001 nos generó una visión
más amplia acerca de las políticas y procedimientos que debe seguir cualquier
institución que quiera certificarse y realizar procesos de seguridad las cuales
manejan información personal sensible.

Es así que después de haber analizado cada punto de la matriz de ISO 27001 nos
dimos cuenta que esta se enfoca tanto en la confidencialidad de los datos
personales como en la prevención de que ocurra algún hecho que pueda perjudicar
y/o alterar cualquier sistema de la organización como tal.

Ahora bien, al culminar este plan de auditoría nos queda muchas enseñanzas una
de las cuales se podría decir que; la clave para que un programa sea efectivo
consisten en sus políticas , estándares, procedimiento de seguridad y que cada
organización exija y cumpla el requerimiento de seguridad.

En conclusión podemos decir que seguir un marco de trabajo como ISO 27001 es
muy valioso para cualquier institución ya que ofrece un estándar a seguir para poder
realizar todo los procesos y procedimientos de una manera óptima.

Bibliografía
Artículos

Botta, A., de Donato, W., Persico, V., & Pescapé, A. (2016). Integration of Cloud
computing and Internet of Things: A survey. Future Generation Computer
Systems, 56, 684–700. https://doi.org/10.1016/j.future.2015.09.021

Libros

Sharda, R., Delen, D. & Turban, E. (2014). Business Intelligence and Analytics –
Systems for Decision Support. 10ma Ed. PEARSON. England. ISBN 10: 1-
292-00920-9

Tesis

Chavez, S. & Contreras, C. (2018). Implementación de Business Intelligence,

utilizando la Metodología de Ralph Kimball, para el proceso de toma de
decisiones del área de ventas. Empresa Yukids. Repositorio Institucional -
AUTONOMA. Recuperado de
http://repositorio.autonoma.edu.pe/handle/AUTONOMA/435
ANEXOS