Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1 Generalidades
Proveedor:
1
Diagrama de Red Adjuntar copia del Diagrama de Red
2
3 Concientización, educación y Evidencia de capacitaciones en
formación en accesos
Controles de seguridad de la
físico Seguridad
Evidencia de
de la Informacion
registro dictadas
de bitacoras de
información acceso a areas restringidas (Data
Se recomienda que las áreas estén Center) y acceso a las instalaciones
Se recomienda
protegidas que todosdelos
por controles entrada de la empresa
empleados
adecuados quede laaseguren
organización y,
el acceso
donde sea relevante, contratistas
4 sólo al personal autorizado. y
usuarios de terceras partes reciban
formación adecuada en
concientización y actualizaciones
regulares en políticas y
procedimientos organizacionales,
relevantes para su función laboral.
Gestión de cambios Relacion de Cambios a nivel de
Hardware y Software con sus
Se recomienda controlar los cambios respectivas autorizaciones
en los sistemas e instalaciones de
procesamiento de información.
5
Segregación de tareas Funciones y responsabilidades del
personal de tecnologia que
Se recomienda segregar las tareas y administran las aplicaciones e
las áreas de responsabilidad para infraestructura que soportan el
reducir las oportunidades de servico con Claro
modificación no autorizada o no
intencional, o el uso inadecuado de
los activos de la organización.
6
Registros de auditoría Evidencia de los registros de
Auditoria a nivel de sistema operativo
Se recomienda que la grabación de y sistemas de informacion que
registros de auditoría de actividades soportan el servicio con Claro
de usuario, excepciones, y eventos de
seguridad de la información sean
producidos y guardados durante un
período acordado para ayudar en
futuras investigaciones y en la
supervisión del control de acceso.
7
Política de Control de Acceso Evidencia de la ultima revision y
autorizacion de privilegios de cada
Se recomienda establecer, usuario que actua en los sistemas de
documentar y revisar una política de informacion que soporta el servicio de
control de acceso, basada en Claro
requisitos de negocio y seguridad Relación de caracteristicas definidas
para el acceso. para los passwords.
8
Política de escritorio y pantalla limpios Copia de la Politica de escritorio
limpio y resultados de su validacion
Se recomienda adoptar una política
de escritorio limpio para papeles y
medios de almacenamiento
removibles y una política de pantalla
limpia para las instalaciones de
procesamiento de información.
9
Políticas sobre el uso de servicios en Evidencia de Cifrado implementado
red en el almacenamiento o transmision
de informacion de Claro
Se recomienda cifrar (encrypted) toda
transferencia de información
confidencial.
10
Protección de datos de prueba del Politica de Proteccion de datos en
sistema ambientes de pruebas y evidencia de
Datascrambling
Se recomienda que los datos de
prueba sean seleccionados
cuidadosamente, protegidos y
controlados.
11
Control de vulnerabilidades técnicas Informe de Vulnerabilidades realizado
en el ultimo semestre o año, planes
Se recomienda obtener información de accion y evidencia de su
oportuna sobre las vulnerabilidades cumplimiento
técnicas de los sistemas de
información en uso, evaluarse la
exposición de la organización a tales
vulnerabilidades, y tomar medidas
apropiadas para gestionar el riesgo
asociado.
12
Gestion de incidentes de seguridad Relacion de incidentes de seguridad
de la información incluyendo su analisis, contencion y
remediacio
Se recomienda que existan
mecanismos establecidos para
reporte, analisis, contencion, solución
y validacion de soluciones
13
Continuidad del negocio y evaluación Plan de continuidad del Negocio,
de riesgos DRP
14
Pruebas, mantenimiento y Resultados de pruebas la plan de
reevaluación de los planes de continuidad del negocio y al DRP
continuidad del negocio
15
Seguridad en Dispositivos Relacion y evidencia de
implementación de los controles de
Se recomienda que las estaciones de acceso implementado en estaciones
trabajo y dispositivos moviles tengan de trabajo y dispositivos moviles que
los controles de acceso necesarios y no permitanla fuga de información
que tengan restricciones de (bloqueo USB, restriccion a Internet,
configuracion que no permitanla fuga DLP, Antivirus, Cifrado, etc)
de información
16
Seguridad Perimetral Evidencia de la implementación de
controles perimetrales que protegen
la Red.
17
Borrado Seguro de Información Copia de la Politica de Borrado
Seguro
Evidencia de Borrado de Información
de Claro (SI aplica)
18
Gestion de Riesgos Copia de la Politica de Gestion de
Debe existir una Politica de Gestion Riesgos y evidencia del tratamiento
de Riesgo de riesgos que impactan el servico
contratado por Claro.
19
Clausula de Confidencialidad Evidencia de existencia y firma de la
Todos los empelado deben firmar una clausula de confidencialidad de la
Clausula de Confidencialidad frente a Información
la Información que manejan
20
Politica de proteccion de datos Copia de la Politica de proteccion de
personales datos personales y evidencia de su
Debe existir una politica de proteccion divulgación
de datos personales
21
Actualizacion de Parches Evidencia de actualizacion de
Parches del Sistema Operativo que
corresponda.
22
Hardening Copia de la Linea base de seguridad
Debe existir Lineas Base de definida y evidencia de su
Seguridad del información a nivel de implementación
servidores y estaciones de trabajo
23
Identificación de la legislación Relación de leyes aplicables y
aplicable evidencia de su cumplimiento a
planes de accion encaminados a
Las entidades que contraten bajo la cumplir los requerimientos.
modalidad de outsourcing o
tercerización, a personas naturales o
jurídicas, para la atención parcial o
total de los distintos canales o de los
dispositivos usados en ellos, o que en
desarrollo de su actividad tengan
acceso a información confidencial de
la entidad o de sus clientes, deberán
cumplir, como mínimo, con los
requerimientos 3.2 Tercerización –
Outsourcing, de circular 022.
24
1.4 Aprobaciones
La aprobación indica que se entiende el impacto de las no-conformidades y la responsabilidad de verificar que se cumplan los pl
Nombre
Evaluación de estándares de segurid
Fecha de la visita/Diligenciamiento:
x
x
Fecha de solución
(Máximo 60 días)
x
Tratamiento del
Plan de Acción / Tareas Estado de la solución
riesgo x
Aceptar el riesgo (RA) Resuelto
x
Aceptar el riesgo (RA) En progreso
x
Remediar Pendiente
x
Remediar En progreso
x
Remediar En progreso
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
x
Remediar Pendiente
Remediar Pendiente
Remediar Pendiente
Remediar En progreso
Remediar Pendiente
Remediar Pendiente
Remediar Pendiente
Remediar Pendiente
Remediar Pendiente
x
x
x
Via Autor.: Estado Sol:
[Seleccione o [Seleccione o
Correo electróPendiente
Copia escaneResuelto
Fax
Área:
[Seleccione opción]
Remediar
Rechazar