Anexo H Declaracion de Aplicabilidad

(1)

La presente declaración los controles que son relevantes para el SGSI de

La presente declaración los controles que son relevantes para el SGSI de la organización y aplicables al mismo. Adicionalmla organización y aplicables al mismo. Adicionalmente en ella sente en ella s e encuentran justificada la exclusión de algunos dee encuentran justificada la exclusión de algunos de los controles y se muestra el motivo de selección de los controles aplicables, entre los motivos de selección se pueden encontrar: resultados y conclusiones de la evaluación de riesgos y los controles y se muestra el motivo de selección de los controles aplicables, entre los motivos de selección se pueden encontrar: resultados y conclusiones de la evaluación de riesgos y en los procesos de tratamiento del riesgo, requisitos legales o reglamentos, obligaciones contractuales y necesidades empresariales de la organización en materia de seguridad de la en los procesos de tratamiento del riesgo, requisitos legales o reglamentos, obligaciones contractuales y necesidades empresariales de la organización en materia de seguridad de la información: información: L: Requerimiento Regulatorio L: Requerimiento Regulatorio C: Obligación contractual C: Obligación contractual N: Requerimiento del negocio N: Requerimiento del negocio R: Análisis de riesgos R: Análisis de riesgos

Fecha de elaboración :

Fecha de elaboración : Agosto 27 de 2009 Agosto 27 de 2009

Salvaguardas Seleccionadas Salvaguardas Seleccionadas Razones para Razones para la selección de la selección de los controles los controles Sección

Sección Controles Controles ISO ISO 27001:200527001:2005 Justificación paraJustificación para exclusión

exclusión Salvaguardas Salvaguardas existentes existentes Salvaguardas Salvaguardas planeadas planeadas L L C C N N RR 55 Política de seguridadPolítica de seguridad

5.1

5.1 Política de seguridad de la informaciónPolítica de seguridad de la información

5.1.1 5.1.1

La Dirección debería aprobar y publicar un La Dirección debería aprobar y publicar un documento de la política de seguridad de la documento de la política de seguridad de la información y comunicar la política a todos información y comunicar la política a todos los empleados y las partes externas los empleados y las partes externas relevantes.

relevantes.

Existen políticas de sistemas Existen políticas de sistemas documentadas en el manual de documentadas en el manual de políticas de sistemas

políticas de sistemas

Redacción del documento: “Política de Redacción del documento: “Política de Seguridad de la Información” (PSI)

Seguridad de la Información” (PSI) x x xx

5.1.2 5.1.2

La política de seguridad de la

La política de seguridad de la informacióninformación se debería revisar a

se debería revisar a intervalos planificadintervalos planificadosos (o en caso

(o en caso que se produzcan cambiosque se produzcan cambios significativos) para garantizar que es significativos) para garantizar que es adecuada, eficaz y

adecuada, eficaz y suficiente.suficiente.

Las políticas de sistemas son Las políticas de sistemas son revisadas anualmente por el revisadas anualmente por el comité de tecnología comité de tecnología

En el documento: “Política de

En el documento: “Política de Seguridad deSeguridad de la Información” se establece un

la Información” se establece un

procedimiento de revisión de la política de procedimiento de revisión de la política de seguridad

seguridad

x

x xx

66 Organización de la seguridad de laOrganización de la seguridad de la información

información 6.1

6.1 Estructura para la seguridad de laEstructura para la seguridad de la información

información

6.1.1 6.1.1

Los miembros de la Dirección deberían Los miembros de la Dirección deberían respaldar activamente las iniciativas de respaldar activamente las iniciativas de seguridad demostrando su claro apoyo y seguridad demostrando su claro apoyo y compromiso, asignando y a

compromiso, asignando y a probandoprobando explícitamente las responsabilidades en explícitamente las responsabilidades en seguridad de la información dentro de la seguridad de la información dentro de la Organización.

Organización.

En el documento: “Política de Seguridad deSeguridad de la Información” se plasma

la Información” se plasma el compromisoel compromiso manifiesto de las máximas Autoridades de manifiesto de las máximas Autoridades de lala empresa y de los Jefes de Área para la empresa y de los Jefes de Área para la difusión, consolidación y cumplimiento de los difusión, consolidación y cumplimiento de los principios de Seguridad que rigen a l principios de Seguridad que rigen a l aa empresa.

empresa.

(2)

Sección

Sección Controles Controles ISO ISO 27001:200527001:2005

exclusión

exclusión Salvaguardas Salvaguardas existentes existentes Salvaguardas Salvaguardas planeadas planeadas L L C C N N RR

6.1.2 6.1.2

Las actividades para la seguridad de la Las actividades para la seguridad de la información deberían ser coordinadas por información deberían ser coordinadas por representantes que posean de cierta representantes que posean de cierta relevancia en su puesto y

relevancia en su puesto y funciones y de losfunciones y de los distintos sectores que forman la

distintos sectores que forman la Organización.

Organización.

Se encuentran identificados los Se encuentran identificados los roles de seguridad de la roles de seguridad de la información

información

En el documento: “Política de Seguridad deSeguridad de la Información” se establece la

la Información” se establece la conformación conformación de un comité de seguridad de l

de un comité de seguridad de l a información,a información, conformado por miembros de distintos conformado por miembros de distintos sectores de la organización.

sectores de la organización.

xx

6.1.3 6.1.3

Se deberían definir claramente todas las Se deberían definir claramente todas las responsabilidades para la seguridad de la responsabilidades para la seguridad de la información.

información.

Las responsabilidades son Las responsabilidades son conocidas a nivel informal en la conocidas a nivel informal en la organización

organización

En el documento: “Política de Seguridad deSeguridad de la Información” en el numeral 2.3. Se la Información” en el numeral 2.3. Se establecen las resp

establecen las responsabilidades frenonsabilidades frente a te a lala seguridad de la información.

seguridad de la información.

xx

6.1.4 6.1.4

Se debería definir y establecer un Se debería definir y establecer un procesoproceso de gestión de autorizaciones para los de gestión de autorizaciones para los nuevos recursos de tratamiento de la nuevos recursos de tratamiento de la información.

información.

En las políticas de sistemas está En las políticas de sistemas está definido que en el momento definido que en el momento enen que Leasing Bolívar decida crear que Leasing Bolívar decida crear un nuevo canal de prestación de un nuevo canal de prestación de servicios se emitirá un informe a servicios se emitirá un informe a la superintendencia financiera. la superintendencia financiera. Leasing Bolívar S.A. dispondrá Leasing Bolívar S.A. dispondrá de una plataforma tecnológica de una plataforma tecnológica adecuada y con la suficiente adecuada y con la suficiente capacidad para la atención de capacidad para la atención de los clientes y el desarrollo de sus los clientes y el desarrollo de sus operaciones. Para su

operaciones. Para su

cumplimiento de manera anual el cumplimiento de manera anual el comité de TI de Leasing Bolívar comité de TI de Leasing Bolívar S.A. (Presidente, Gerente S.A. (Presidente, Gerente Financiero y Jefe de Sistemas), Financiero y Jefe de Sistemas), se reunirá con el objetivo de se reunirá con el objetivo de evaluar la necesidad de evaluar la necesidad de actualización de los equipos de actualización de los equipos de cómputo que soportan la cómputo que soportan la operación de la Compañía. operación de la Compañía.

En el documento: “Política de SeguridadSeguridad de de la Información” numeral 2.3.5. Se

la Información” numeral 2.3.5. Se describe eldescribe el proceso de autorización para los nuevos proceso de autorización para los nuevos recursos de tratamiento de la inf

recursos de tratamiento de la inf ormación yormación y en el numeral 6.5 se estipulan las políticas de en el numeral 6.5 se estipulan las políticas de planificación y aprobación de sistemas. planificación y aprobación de sistemas. El detalle del

El detalle del proceso de autorización deproceso de autorización de compras se encuentra en los documentos: compras se encuentra en los documentos: MP-SOP-03-02-01 Selección de Proveedores MP-SOP-03-02-01 Selección de Proveedores MP-SOP-03-02-02 Compras MP-SOP-03-02-02 Compras X x X X x X 6.1.5 6.1.5

Se deberían identificar y revisar Se deberían identificar y revisar regularmente en los acuerdos aquellos regularmente en los acuerdos aquellos requisitos de confidencialidad o no requisitos de confidencialidad o no divulgación que contemplan las divulgación que contemplan las necesidades de protección de la necesidades de protección de la información de la Organización. información de la Organización. Existe un acuerdo de Existe un acuerdo de

confidencialidad en los contratos confidencialidad en los contratos laborales laborales En el procedimiento "MP-SOP-03-02-01 En el procedimiento "MP-SOP-03-02-01 Selección de proveedores" y el Selección de proveedores" y el

procedimiento "MP-SOP-03-02-02 Compras", procedimiento "MP-SOP-03-02-02 Compras", se establece la firma por

se establece la firma por parte del proveedorparte del proveedor de un acuerdo de

de un acuerdo de confidencialidad diseñadoconfidencialidad diseñado y aprobado por el departamento jurídico de l y aprobado por el departamento jurídico de l aa compañía.

compañía.

Los acuerdos de confidencialidad son Los acuerdos de confidencialidad son revisados periódicamente por el revisados periódicamente por el

x x x x x x

(3)

Sección Controles ISO 27001:2005

exclusión Salvaguardas existentes Salvaguardas planeadas L C N R

departamento jurídico.

6.1.6

Se deberían mantener los contactos apropiados con las autoridades pertinentes.

Existe un proceso de gestión legal y cumplimiento normativo en donde se establecen los procedimientos para gestionar las relaciones con las autoridades reguladoras

En el documento: “Política de Seguridad de la Información” numeral 11.5 se estipula que el área de Control Interno de Leasing Bolívar S.A. o la Auditoria de T I del Grupo Bolívar emitirá un informe Anual del estado y cumplimiento de las normas de seguridad de la información

x

6.1.7

Se debería mantener el contacto con grupos o foros de seguridad especializados y as ociaciones profesionales.

Se mantiene contactos informales con proveedores de servicios de información

El Responsable de Seguridad Informática será el encargado de coordinar los

conocimientos y las experiencias disponibles en la organización a fin de brindar ayuda en la toma de decisiones en materia de

seguridad. (Documento Política de Seguridad de la Información)

x x

6.1.8

Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su

implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la información.

Se establece el procedimiento MP-SOP-06-01-02 Documentación de procedimientos en donde se establece la metodología de actualización y creación de nuevos procedimientos. Así mismo se establece el instructivo: IU-SOP-06-01 Guía para la elaboración, manejo y control de documentos

x x

6.2. Terceros

6.2.1

Se deberían identificar los riesgos a la información de la organización y a las instalaciones del procesamiento de información de los procesos de negocio que impliquen a terceros y se deberían implementar controles apropiados antes de conceder el acceso.

En el marco de SARO se establecieron los riesgos asociados a cada departamento de la compañía y en estos se incluyen los riesgos asociados al acceso de terceros

Se levantaran matrices de SARO con los

riesgos frente al acceso de terceros. x x x

6.2.2

Se deberían anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la información o a los activos de la organización.

En el documento: “Política de Seguridad de la Información” se establecen las políticas de seguridad frente al acceso de terceros. Numeral 2.4.

En el procedimiento "MP-SOP-03-02-08 Ingreso de terceros" se establecen claramente los requisitos para el i ngreso de terceros a las instalaciones de la compañía

(4)

6.2.3

Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la

organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, deberían cubrir todos los requisitos de seguridad relevantes.

Los contratos con terceros incluyen requerimientos de seguridad

En el documento: “Política de Seguridad de la Información” se establecen las políticas de seguridad frente a tercerización. Numeral 2.5. En el procedimiento: MP-SOP-03-02-08 Ingreso de terceros, se establecen las condiciones para permitir el ingreso de terceros a las instalaciones de la compañía.

x x x

7 Gestión de activos

7.1 Responsabilidad sobre los activos

7.1.1

Todos los activos deberían estar

claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

Se cuenta con un i nventario de equipos y aplicaciones

En Leasing Bolívar existe un inventario actualizado con los activos de información de la compañía y su respectivo responsable. Adicionalmente el inventario de los activos de

cómputo de la compañía se mantiene en el sistema SIGLEASE y se especifica el registro de nuevos activos como uno de los pasos del proceso MP-SOP-03-02-02 Compras. En el procedimiento " MP-COL-03-03-03 Creación e ingreso de garantías al s istema" se describe el proceso de administración del archivo de garantías de la compañía.

x x

7.1.2

Toda la información y activos asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.

Se tiene identificado

informalmente al responsable de los activos

En el "Inventario de Activos de Información" se encuentran documentados los

responsables de dichos activos de información.

x

7.1.3

Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.

Las regulaciones para el uso adecuado de la información y los activos para su administración, se encuentran documentadas en el manual de políticas de sistemas

En el numeral 3 del documento: “Política de Seguridad de la Información” se establecen las regulaciones para el adecuado manejo de la información según su clasificación

x

7.2 Clasificación de la información

7.2.1

La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.

Se estableció un sistema de cl asificación de la información descrito en el numeral 3.5 del "Documento Política de Seguridad de la información"

(5)

7.2.2

Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la

Organización.

El procedimiento de etiquetado se encuentra documentado en el numeral 3.5.1. del documento: “Política de Seguridad de la Información”

x

8 Seguridad ligada a los recursos humanos 8.1 Seguridad en la definición del trabajo y los

recursos

8.1.1

Se deberían definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización.

Se tiene identificados los requisitos de seguridad de los puestos

En el documento: “Política de Seguridad de la Información” se definen las

responsabilidades en cuanto a Seguridad de la Información.

x x

8.1.2

Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los

requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los r iesgos percibidos.

Se investigan los antecedentes para los candidatos a cargos en la organización

En los procedimientos:

MP-SOP-03-04-01 Contratación

MP-SOP-03-04-02 Selección de personal Se establece el procedimiento de verificación de antecedentes para los candidatos. En el procedimiento "MP-SOP-03-02-01 Selección de proveedores" se establece el procedimiento de verificación de

antecedentes a terceros

x x

8.1.3

Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las

obligaciones de la organización para la seguridad de información.

El departamento jurídico de la empresa diseñó un contrato de confidencialidad que debe ser firmado por los funcionarios y los proveedores. (Articulo 11 y 12, 17 del Contrato de Trabajo).

x

8.2 Seguridad en el desempeño de las funciones del empleo

(6)

8.2.1

La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

La dirección reconoce a la seguridad con un factor decisivo en el negocio

Al inicio del contrato laboral, de debe dar a conocer el código de Seguridad de la Información del Grupo Bolívar y el documento: “Política de Seguridad de la Información”, el empleado, estese debe comprometer a cumplirlo junto con las políticas de seguridad de la empresa. Numeral 4 del documento: “Política de Seguridad de la Información”

x

8.2.2

Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

En el documento: “Política de Seguridad de la Información” se encuentran asignadas las responsabilidades de Capacitación. Adicionalmente los procedimientos e

instructivos de usuario se constituyen en una herramienta adicional de capacitación.

x

8.2.3

Debería existir un proceso formal disciplinario para empleados

que produzcan brechas en la seguridad.

En el numeral "11.7 Sanciones Previstas por Incumplimiento" del documento: “Política de Seguridad de la Información” se especifican las sanciones previstas por incumplimiento de la Política de Seguridad de la Información.

x

8.3 Finalización o cambio en el puesto de trabajo

8.3.1

Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas y asignadas.

se informa al área de sistemas el retiro de los funcionarios

Los jefes de área son los responsables de ejecutar la finalización de un empleo frente a funcionarios que estén a su cargo, el área de recursos humanos y administrativos está encargada de los trámites administrativos de la finalización del contrato.

x

8.3.2

Todos los empleados, contratistas y terceros deberían devolver todos los activos de la organización que estén en su posesión a la finalización de su empleo, contrato o acuerdo.

Se solicita la devolución de tarjetas de acceso al finalizar el contrato

Al finalizar un contrato con la compañía, el área de recursos humanos y administrativos es responsable de verificar que todos los activos de la organización que estén en posesión empleados, contratistas y terceros sean devueltos.

x x

8.3.3

Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisada en caso

El departamento de sistemas actualiza los permisos de acceso cuando se entera del retiro de un funcionario

En el procedimiento " MP-SOP-04-01-01 Deshabilitación de usuarios” se establecen los procedimientos de retiro de permisos para los usuarios en los sistemas de información. Cuando se presenta un cambio o retiro del cargo se debe diligenciar el formato: "FR-SOP-03-08 Acta de Entrega de Cargo"

(7)

de cambio.

9 Seguridad física y del entorno 9.1 Áreas seguras

9.1.1

Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento.

Las instalaciones de Leasing Bolívar con los siguientes controles de acceso físico: tarjetas de acceso, paredes solidas y un puesto de recepción

x

9.1.2

Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.

Los controles de las áreas de seguridad se detallan en el documento: “Política de Seguridad de la Información” numeral 5.5

x

9.1.3 Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.

Existe una empresa de seguridad encargada de la protección del las instalaciones Los controles existentes se encuentran detallados en documento: “Política de Seguridad de la Información” Numeral 5.5 x 9.1.4

Se debería designar y aplicar medidas de protección física contra incendio,

inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.

La empresa cuenta con un programa de brigadas de acción en caso de emergencia Implementos de seguridad ambiental y física

a. Extintor de Solkaflam

b. Sistema de aire acondicionado c. Red regulada de voltaje d. Detector de humo y/o incendio e. Cableado estructurado f. Puerta de acceso con seguridad.

x

9.1.5

Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información.

Las áreas de carga y descarga se encuentran fuera de las instalaciones de la empresa.

En el documento: “Política de Seguridad de la Información” numer al 5.8 se dictan las

(8)

9.2 Seguridad de los equipos

9.2.1

El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado.

En el procedimiento MP-SOP-04-02-05 Instalación de equipos de cómputo se define el procedimiento seguro para realizar la instalación de equipos.

x x

9.2.2

Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo.

El edificio cuenta con dos plantas de energía accionadas automáticamente en caso de interrupción eléctrica.

La compañía cuenta con una UPS que funciona en caso de presentarse una falta de energía.

x

9.2.3

Se debería proteger el cableado de energía y de telecomunicaciones que transporten datos o soporten servicios de información contra posibles interceptaciones o daños.

El cableado de las instalaciones de Leasing Bolívar se encuentra protegido con pisoducto metálico según el "Código eléctrico colombiano – NTC 2050"

x x

9.2.4

Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.

El mantenimiento a los equipos se hace de acuerdo a la garantía por personal debidamente autorizado

El mantenimiento de la plataforma tecnológica se encuentra documentado en los procesos:

MP-SOP-04-02-02 Solicitud de Soporte Técnico

MP-SOP-04-02-04 Mantenimiento de los equipos de cómputo

En el "Documento Política de Seguridad de la Información" numeral 5.12 se establece la normatividad de mantenimiento de equipos de la empresa

x x

9.2.5

Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización considerando los diversos riesgos a los que están expuestos.

No aplica debido a que la compañía no cuenta con equipos fuera de sus instalaciones

Las medidas a seguir para equipamiento fuera de la instalaciones de l a compañía se encuentran descritas en el documento: “Política de Seguridad de la Información” numeral 5.13

En el procedimiento MP-SOP-04-03-06 Transporte equipos de computo, se establece el correcto envío y entrega de equipos de computo a las sucursales de la compañía

(9)

9.2.6

Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación

se retiran los archivos cuando el computador cambia de usuario

En el documento: “Política de Seguridad de la Información” en el numeral 5.14 se establece que: Los medios de almacenamiento conteniendo material sensible, por ejemplo discos rígidos no removibles, serán físicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estándar.

x x

9.2.7

No deberían sacarse equipos, información o software fuera del local sin una autorización.

Se tiene identificadas las personas autorizadas a retirar equipos de la compañía

En el procedimiento "MP-SOP-04-03-06 Trasporte de equipos" se establece el sistema de autorización de retiro de equipos de la compañía.

En el procedimiento "MP-SOP-04-01-10 autorización de retiro de información de la compañía" se especifica la autorización de retiro de información de la compañía.

x x x x

10 Gestión de comunicaciones y operaciones 10.1 Procedimientos y responsabilidades de

operación

10.1.1

Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten.

En la intranet de la compañía se encuentran publicados los procedimientos de la c ompañía, así como instructivos de usuario para operaciones especificas

La metodología de documentación de procesos se encuentra registrada en los siguientes documentos:

MP-SOP-06-01-02 Documentación de procedimientos

IU-SOP-06-01 Guía para la elaboración, manejo y control de documentos

x x

10.1.2

Se deberían controlar los cambios en los sistemas y en los recursos de tratamiento de la información.

Los cambios son realizados por el personal debidamente autorizado

El control de cambios de los sistemas de información se estipula en los si guientes procedimientos:

MP-SOP-04-03-01 Elaboración del requerimiento

MP-SOP-04-03-02 Desarrollo del requerimiento

En el documento: “Política de Seguridad de la Información” numeral 6.4.2 se encuentran las políticas de gestión de cambios de la organización.

(10)

10.1.3

Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.

Los roles están segregados informalmente

las funciones de los cargos del área de sistemas se encuentran documentados en el manual de funciones

En el documento de política de seguridad de la información numeral 6.4.3 se definen los controles de separación de f unciones.

x x

10.1.4

La separación de los recursos para el desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional.

Se impide el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo, cuando no sean indispensables para el funcionamiento del mismo.

En el numeral 6.4.4. del documento de política de seguridad de la información se realiza una definición formal de los entornos de desarrollo:

La compañía cuenta con tres ambientes separados para efectuar el desarrollo de sus sistemas de información: desarrollo, pruebas y producción.

Se utilizan sistemas de autenticación y autorización independientes para los diferentes ambientes, así como perfiles de acceso a los sistemas. Se prohíbe a los usuarios compartir contraseñas en estos sistemas. Las interfaces de los sistemas identificarán claramente a qué instancia se está realizando la conexión.

El paso de información entre los diferentes ambientes de desarrollo se encuentra documentado en el procedimiento: MP-SOP-04-03-02 Desarrollo del requerimiento

x x x

10.2 Supervisión de los servicios contratados a terceros

10.2.1

Se debería garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.

En el documento: “Política de Seguridad de la Información” numeral 6.4.5. Gestión de instalaciones externas, se especifican las políticas a tener el cuenta en caso tercerizar instalaciones de procesamiento de

información, en el momento no se tienen instalaciones tercerizadas.

También está el numeral 2.4.2

Requerimientos de Seguridad en Contratos de Tercerización, con los parámetros que se deben seguir para la ejecución de este t ipo de contratos

(11)

10.2.2

Los servicios, informes y registros suministrados por terceros deberían ser monitoreados y revisados regularmente, y las auditorias se deberían realizar a intervalos regulares.

El cumplimiento de contratos se revisa por el área de control interno

Se establece que los jefes de área monitoreen y revisen regularmente los informes y registros suministrados por terceros.

x

10.2.3

Se deberían gestionar los cambios en la provisión del servicio, incluyendo mantenimiento y mejoras en las políticas de seguridad de información existentes, en los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos.

Se efectúan pruebas de

regresión en la base de datos evaluación de riesgosSe estipula un revisión semestral de la x

10.3 Planificación y aceptación del sistema

10.3.1

Se debería monitorizar el uso de re cursos, así como de las proyecciones de los requisitos de las capacidades adecuadas para el futuro con objeto de asegurar el funcionamiento requerido del sistema.

Los recursos de información se monitorean informalmente

En el "Documento de políticas de seguridad de la información" numeral 6.5 "Planificación y Aprobación de Sistemas" se establecerlas responsabilidades en la monitorización del uso de los recursos.

x

10.3.2

Se deberían establecer criterios de aceptación para nuevos sistemas de información, actualizaciones y versiones nuevas. Se deberían desarrollar las pruebas adecuadas del sistema durante el

desarrollo y antes de su aceptación.

existe un proceso informal de aceptación de cambios en el departamento de sistemas

En el "Documento de políticas de seguridad de la información" numeral 6.5 "Planificación y Aprobación de Sistemas" se establecen los criterios de aprobación de nuevos sistemas de información.

x x

10.4 Protección contra software malicioso y código móvil

10.4.1

Se deberían implantar controles de detección, prevención y recuperación contra el software malicioso, junto a procedimientos adecuados para la concienciación de los usuarios.

Los equipos de la compañía se encuentran protegidos por software de detección y reparación de virus y

mensualmente se publican las estadísticas de virus como forma de concienciación.

La empresa cuenta con un programa de bloqueo de código móvil y de ejecutables en las estaciones de trabajo

Políticas establecidas en el documento: “Política de Seguridad de la Información” numeral 6.6 se establecen las medidas de protección frente a código malicioso

(12)

10.4.2

Cuando se autoriza la utilización de código móvil, la configuración debería asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y se debería evitar la ejecución de los códigos móviles no autorizados.

La empresa no autoriza la utilización de código móvil bajo ningún concepto

La empresa cuenta con un programa de bloqueo de código móvil y de ejecutables en las estaciones de trabajo

La empresa no autoriza la utili zación de código móvil bajo ningún concepto

10.5 Gestión interna de soportes y recuperación

10.5.1

Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, de acuerdo con la política acordada de recuperación

Se realizan copias de seguridad en soportes

En el documento: “Política de Seguridad de la Información” numeral 6.7.1 "Resguardo de la Información" se establecen las políticas de backup de la compañía.

En el instructivo IU-SOP-04-03 Backup de servidores, se establecen los procedimientos para el backup diario de servidores

x x x x

10.6 Gestión de redes

10.6.1

Se deberían mantener y controlar adecuadamente las redes para protegerlas de amenazas y mantener la seguridad en los sistemas y aplicaciones que utilizan las redes, incluyendo la información en tránsito.

La red de la compañía se encuentra protegida por los siguientes componentes: Firewall (prevención frente a intrusos)

Netclarity (Detección y

prevención de vulnerabilidades)

En el procedimiento MP-SOP-04-02-03 Detección y remediación de vulnerabilidades, se documentan los pasos de diagnostico de la red con el sistema Netclarity

x x x

10.6.2

Se deberían identificar e incluir, en cualquier acuerdo sobre servicios de red, las características de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red,

independientemente de que estos se rvicios sean provistos desde la propia organización o se contratan desde el exterior.

Los nodos de acceso a la red se autentican

Se define una norma de acceso a la red, y se incluye en los acuerdos de servicio lo enumerado en el Documento de Política de Seguridad de la Información numeral 2.4. Seguridad Frente al Acceso por Parte de Terceros

x

10.7 Utilización y seguridad de los soportes de información

10.7.1

Se deberían establecer procedimientos para la gestión de los medios informáticos removibles.

La compañía cuenta un software que permite bloquear el uso de los puertos en las estaciones de trabajo. Lo que permite

administrar las políticas.

Las políticas de gestión de medios extraíbles están estipuladas en el documento: “Política de Seguridad de la Información”. Cuando por motivos de trabajo los empleados requieran retirar información de la compañía se debe cumplir con lo estipulado en el

procedimiento: MP-SOP-04-01-10

(13)

Autorización de retiro de información de la compañía

10.7.2

Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.

Existe un procedimiento informal de retirada de soportes

En el documento: “Política de Seguridad de la Información” en el numeral 6.9.2 Eliminación de Medios de Información se establece el procedimiento de eliminación de medios de información.

x x

10.7.3

Se deberían establecer procedimientos para la manipulación y almacenamiento de la información con el objeto de proteger esta información contra divulgaciones o usos no autorizados o inadecuados.

las carpetas cuentan con listas de distribución a personas autorizadas

En el proceso: MP-SOP-04-01-08

Habilitación de usuarios en los sistemas de información, se define el procedimiento de autorización de acceso a las funciones del sistema SIGLEASE.

-El encargado del área de archivo cuenta con una lista de personas autorizadas para el préstamo de carpetas.

El uso de esta lista se encuentra registrado en los procesos “MP-SOP-03-01-04 Solicitud de carpetas en el archivo” y “MP -SOP-03-01-03 creación de carpetas en el archivo” -En el proceso “Creación e ingreso de garantías al sistema” se estipula del proceso para el correcto archivo de garantías y en el “MP-SOP-03-03-04 Préstamo de garantías” se establece el procedimiento de préstamo. El único departamento autorizado para solicitar garantías es el departamento jurídico.

x x x x

10.7.4 Se debería proteger la documentación de los sistemas contra accesos no autorizados.

La documentación del sistema es de acceso limitado solo para el personal autorizado

x

10.8 Intercambio de información y software

10.8.1

Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.

En el documento: “Política de Seguridad de la Información” numeral "6.10.1 Acuerdos de Intercambio de Información y Software" se establecen las políticas de intercambio de información

x

10.8.2

Se deberían establecer acuerdos para el intercambio de información y software entre la organización y las partes externas.

La organización incluye clausulas de confidencialidad en

(14)

10.8.3

Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.

Se estipularon los siguientes parámetros de trasporte :

MP-SOP-04-03-06 transporte de los equipos de computo

IU-SOP-03-06 Guía de entrega y recolección de correspondencia DOMESA

x x

10.8.4

Se debería proteger adecuadamente la información contenida en la mensajería electrónica.

Las políticas de uso del correo electrónico, se encuentran publicadas en el documento: “Política de Seguridad de la Información” numeral 6.10.3.

x x

10.8.5

Se deberían desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información del negocio.

Las políticas de protección de i nformación asociada con la interconexión, se encuentran publicadas en el documento: “Política de Seguridad de la Información” numeral 6.10.4.

x

10.9 Servicios de comercio electrónico

10.9.1

Se debería proteger la información involucrada en el comercio electrónico que pasa por redes públicas contra a ctividades fraudulentas, disputas por contratos y divulgación o modificación no autorizadas.

La compañía no cuenta con aplicaciones de comercio electrónico

NO APLICA La compañía no cuenta con aplicaciones de_{comercio electrónico}

10.9.2

Se debería proteger la información implicada en las transacciones en línea para prevenir la transmisión incompleta, enrutamiento equivocado, alteración, divulgación, duplicación o repetición no autorizada del mensaje.

La compañía no cuenta con aplicaciones de comercio electrónico

NO APLICA La compañía no cuenta con aplicaciones de_{comercio electrónico}

10.9.3

Se debería proteger la integridad de la información que pone a disposición en un sistema de acceso público para prevenir modificaciones no autorizadas.

Cumplimiento de la normativa vigente de publicación de datos

En el numeral "6.10.5 Sistemas de Acceso Público" del documento de política de seguridad de la información se establecen las políticas de publicación de i nformación en sistemas de acceso público.

x

10.10. Monitorización

10.10.1

Se deberían producir y mantener durante un periodo establecido los registros de auditoría con la grabación de

las actividades de los usuarios, excepciones y eventos de la seguridad de

información, con el fin de facilitar las investigaciones futuras y el monitoreo de

En el sistema Siglease se efectuó un desarrollo que lleva un registro de los ingresos al sistema y las actualizaciones al mismo

En el procedimiento “MP-SOP-04-03-05 Grabación de Llamadas” se establecen las condiciones para la grabación y recuperación de llamadas de la compañía.

En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se establecen los parámetros de

(15)

los controles de acceso. monitoreo de los sistemas de la

compañía.

10.10.2

Se deberían establecer procedimientos para el uso del monitoreo de las instalación de procesamiento de información y revisar regularmente los resultados de las actividades de monitoreo.

Se llevan estadísticas del uso de la plataforma de información

En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se establecen los parámetros de monitoreo de los sistemas de la compañía.

x x

10.10.3

Se deberían proteger los servicios y la información de registro de la actividad contra acciones forzosas o accesos no autorizados.

Leasing Bolívar cuenta con un detector de vulnerabilidades (Netclarity) que previene frente acciones forzosas o no autorizadas.

Anualmente se realiza una prueba de penetración sobre los sistemas de la compañía

x x

10.10.4

Se deberían registrar las actividades del administrador y de los operadores del sistema.

Diariamente se registran logs de las acciones sobre el sistema, servidores Windows y Linux que quedan almacenados en un disco duro

En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se establecen los parámetros de monitoreo de los sistemas de la compañía.

x x

10.10.5 Se deberían registrar, analizar y tomar acciones apropiadas de las averías.

Dependiendo de la severidad de los log se entra a revisar caso por caso para tomar las medidas pertinentes

x

10.10.6

Se deberían sincronizar los relojes de todos los sistemas de procesamiento de

información dentro de la organización o en el dominio de seguridad, con una fuente acordada y exacta de tiempo.

En Leasing Bolívar de sincronizaran los

relojes con el reloj de industria y comercio. x x

11 Control de acceso

11.1 Requisitos de negocio para control de accesos

11.1.1

Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.

Las tareas de la compañía se encuentran segregadas en roles

En el documento: “Política de Segur idad de la Información” numeral 7 se encuentran establecidas las políticas de control de acceso de la compañía.

x x

(16)

11.2.1

Debería existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de información.

Se realiza una identificación individualizada de todos los usuarios

Existen procedimientos de alta y baja de usuarios:

MP-SOP-04-01-08 Habilitación de usuarios en los sistemas de inf ormación

MP-SOP-04-01-01 Deshabilitación de usuarios

x x x

11.2.2 Se debería restringir y controlar la asignación y uso de los privilegios.

El sistema mantiene las autorizaciones de los usuarios se cuenta con la opción de suspender temporalmente los privilegios

En el documento: “Política de Seguridad de la Información” numeral 7.5.2 Administración de Privilegios, se establece el control de la asignación de privilegios

x x

11.2.3

Se debería controlar la asignación de contraseñas mediante un proceso de gestión formal.

las contraseñas iniciales son únicas

En el documento: “Política de Seguridad de la Información” numeral 7.5.3 Administración de Contraseñas de Usuario y 7.5.4

Administración de Contraseñas Críticas, se establece el proceso formal de gestión de contraseñas. Así mismo en el documento IU-SOP-04-02 Administración de contraseñas de la plataforma de información, están registrados los procedimientos de gestión de contraseñas de la compañía.

x x x

11.2.4

El órgano de Dirección debería revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal.

Según lo establecido en el documento: “Política de Seguridad de la Información” numeral 7.8.2 Revisión de Derechos de Acceso de Usuarios: Los derechos de

acceso son revisados por el área de Control Interno de la compañía

x

11.3 Responsabilidades del usuario

11.3.1

Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad en la selección y uso de las contraseñas.

Cuando se entregan las

contraseñas se da la información sobre el manejo de estas

En el documento: “Política de Seguridad de la Información” numeral 7.6.1 Uso de Contraseñas, se establecen las buenas prácticas que los usuarios de Leasing Bolívar deben tener con sus contraseñas.

x x

11.3.2

Los usuarios deberían garantizar que los equipos desatendidos disponen de la protección apropiada.

Los de la compañía están programados para que su acceso sea bloqueado después de un periodo de inactividad determinado

La protección de los equipos desatendidos se encuentra publicada en el documento: “Política de Seguridad de la Información” numeral 7.6.2 Equipos Desatendidos en Áreas de Usuarios.

x

11.3.3 Políticas para escritorios y monitores limpios de información

Se cuenta con bloqueo de

(17)

numeral 5.15 “Políticas de Escritorios y Pantallas Limpias”.

11.4 Control de acceso en red

11.4.1

Se debería proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar.

La plataforma de red de la compañía cuenta con un software de seguridad que bloquea los accesos no autorizados en la red

Existen procedimientos de alta y baja de usuarios en la red:

MP-SOP-04-01-08 Habilitación de usuarios en los sistemas de información

MP-SOP-04-01-01 Deshabilitación de usuarios

x x

11.4.2

Se deberían utilizar métodos de

autenticación adecuados para el control del acceso remoto de los usuarios.

En la compañía no se usa el acceso remoto por parte de los usuarios

NO APLICA En la compañía no se usa el acceso remoto_{por parte de los usuarios}

11.4.3

Se debería considerar la identificación automática de los equipos como un medio de autenticación de conexiones

procedentes de lugares y equipos específicos.

El software PC secure identifica automáticamente los equipos de la red en los cuales está instalado

x

11.4.4

Se debería controlar la configuración y el acceso físico y lógico a los puertos de diagnóstico.

La configuración y el acceso son controlados por el departamento de sistemas

x

11.4.5

Se deberían segregar los grupos de usuarios, servicios y sistemas de información en las redes.

se segregan los grupos de usuarios en la red

La segregación de usuarios en las redes se encuentra en la PSI numeral 7.7.6 Control de Conexión a la Red

x

11.4.6

En el caso de las redes compartidas, especialmente aquellas que se extienden más allá de los límites de la propia Organización, se deberían restringir las competencias de los usuarios para conectarse en red según la política de control de accesos y necesidad de uso de las aplicaciones de negocio.

La compañía no cuenta con redes compartidas fuera de los límites de la compañía

se segregan los grupos de usuarios en la red

La segregación de usuarios en las redes se encuentra en la PSI numeral 7.7.6 Control de Conexión a la Red

11.4.7

Se deberían establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de información no incumplen la política de control de accesos a las aplicaciones de negocio.

limitación de opciones del menú para usuarios

Líneas de teléfono dedicadas

La política de enrutamiento de la compañía se encuentra documentada en el documento

PSI numeral 7.7.4 Subdivisión de Redes x

(18)

11.5.1

Debería controlarse el acceso al sistema operativo mediante procedimientos seguros de conexión.

En Leasing Bolívar se usa como procedimiento seguro de conexión los

descritos en PSI "7.7.2 Camino Forzado" x

11.5.2

Todos los usuarios deberían disponer de un único identificador propio para su uso personal y exclusivo. Se debería elegir una técnica de autenticación adecuada que verifique la identidad reclamada por un usuario.

En PSI numeral 7.5.1 Registro de Usuarios, es establece que los usuarios tendrán un

único identificador de acceso x x

11.5.3

Los sistemas de gestión de contraseñas deberían ser interactivos y garantizar la calidad de las contraseñas.

Leasing Bolívar cuenta con un sistema de gestión de contraseñas interactivo que promueve el cumplimiento de las políticas de c ontraseñas establecidas

x

11.5.4

Se debería restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones.

Leasing Bolívar cuenta con software de gestión de seguridad que bloquea el acceso a programas utilitarios a usuarios no autorizados

En PSI numeral 7.5.2 se establece que: Los usuarios finales y los operadores por ningún motivo tendrán acceso a programas fuente, ni a utilitarios de uso de desarrollo, ni a líneas de comando

x x

11.5.5 Se deberían desconectar las sesiones tras un determinado periodo de inactividad.

El sistema SIGLEASE desconecta la sesión

automáticamente después de un determinado tiempo de

inactividad

7.6.2 Equipos Desatendidos en Áreas de Usuarios se establece la desconexión automática de sesiones por periodos de inactividad de 15 minutos

x x

11.5.6

Se deberían utilizar limitaciones en el tiempo de conexión que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo.

se aplican las mismas consideraciones del numeral anterior

NO APLICA se aplican las mismas consideraciones del_{numeral anterior}

11.6 Control de acceso a las Aplicaciones

11.6.1

Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida.

La restricción de accesos al aplicativo SIGLEASE, se encuentra controlada por el módulo de seguridad del mismo.

La política de accesos se encuentra documentada en PSI numeral 7.5.1 Registro

de Usuarios x x

11.6.2

Los sistemas sensibles deberían disponer de un entorno informático dedicado (propio).

En Leasing Bolívar el Sistema SIGLEASE cuenta con un ambiente informático propio.

En PSI se establece la disposición de un entorno dedicado para las aplicaciones sensibles: 7.7.9 Aislamiento de los Sistemas Sensibles

x x

(19)

11.7.1

Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones. Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo, para USB y portátiles se usa la política de medios extraíbles NO APLICA

Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo, para USB y portátiles se usa la política de medios extraíbles

11.7.2

Se debería desarrollar e implantar una política, planes operacionales y procedimientos para las actividades de teletrabajo. Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo

NO APLICA Leasing Bolívar no cuenta con aplicaciones_{de informática móvil o de teletrabajo}

12 Adquisición, desarrollo y mantenimiento de sistemas de información

12.1 Requisitos de seguridad de los sistemas

12.1.1

Las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes deberían especificar los requisitos de los controles de seguridad.

Se conocen las leyes y contratos de seguridad de la i nformación aplicables

En PSI numeral : 8.4 Seguridad en los Sistemas de Aplicación, se especifican los requisitos de seguridad para los sistemas de seguridad

En el procedimiento “MP-SOP-04-03-01 Elaboración del requerimiento” se encuentran contemplados los aspectos de seguridad como parte del proceso de desarrollo.

x x

12.2 Seguridad de las aplicaciones del sistema

12.2.1

Se deberían validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados.

PSI numeral: 8.4.1 Validación de Datos de

Entrada x x

12.2.2

Se deberían incluir chequeos de validación en las aplicaciones para la detección de una posible corrupción en la información debida a errores de procesamiento o de acciones deliberadas.

Se cuenta con dos plantillas para el manejo de los mensajes de error y de advertencia

PSI numeral: 8.4.2 Controles de

Procesamiento Interno x x

12.2.3

Se deberían identificar los requisitos para asegurar la autenticidad y protección de la integridad del contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados.

PSI numeral: 8.4.3 Autenticación de

(20)

12.2.4

Se deberían validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la información almacenada es correcto y apropiado a las circunstancias.

PSI numeral: 8.4.4 Validación de Datos de Salidas

Antes de pasar a producción cualquier aplicación se debe efectuar el procedimiento de Pruebas: MP-SOP-04-03-02 Desarrollo del requerimiento

x

12.3 Controles criptográficos

12.3.1

Se debería desarrollar e implantar una política de uso de controles criptográficos para la protección de la información.

se conoce la norma de uso de

controles criptográficos PSI numeral: 8.5.1 Política de Utilización deControles Criptográficos. x x

12.3.2

Se debería establecer una gestión de las claves que respalde el uso de las técnicas criptográficas en la Organización.

la generación de claves se hace a través de un dispositivo informático

PSI numeral: 8.5.2 Administración de claves

criptográficas x x

12.4 Seguridad de los ficheros del sistema

12.4.1

Se deberían establecer procedimientos con objeto de controlar la instalación de software en sistemas que estén operativos.

El software Pcsecure controla la instalación de software en las estaciones de trabajo.

En el documento PSI numeral: 8.7.1 Procedimiento de Control de Cambios, se definen los siguientes controles a realizar durante la implementación del software en producción

x x

12.4.2

Se deberían seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas.

las pruebas se realizan en un

habiente de pruebas separado PSI numeral: 8.6.1 Protección de los Datosde Prueba del Sistema x x 12.4.3 Se debería restringir el acceso al código

fuente de los programas.

el acceso al código f uente de los

programas está restringido PSI numeral: 8.6.3 Control de Acceso a lasBibliotecas de Programas Fuentes x x 12.5 Seguridad en los procesos de desarrollo y

soporte

12.5.1

Se debería controlar la implantación de cambios mediante la a plicación de procedimientos formales de control de cambios.

Todo requerimiento de usuario entra a un comité técnico para ver la viabilidad y la DB de la compañía valida su paso a producción, de esto se lleva un registro en la bitácora de paso a producción

En los procesos: MP-SOP-04-03-01 Elaboración del requerimiento y MP-SOP-04-03-02 Desarrollo del requerimiento. Se control la implantación de cambios a los sistemas de información.

x x

12.5.2

Se deberían revisar y probar las

aplicaciones críticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la Organización

Se realiza una reunión de comité de TI con los proveedores involucrados para estimar la viabilidad de los cambios propuestos

PSI numeral: 8.7.2 Revisión Técnica de los

(21)

12.5.3

Se debería desaconsejar la modificación de los paquetes de software, restringiéndose a lo imprescindible y todos los cambios deberían ser estrictamente controlados.

PSI numeral: 8.7.3 Restricción del Cambio de

Paquetes de Software x

12.5.4 Se debería prevenir las posibilidades de fuga de información.

El software PC secure cuenta con herramientas para la prevención de fuga de información.

En el procedimiento "MP-SOP-04-01-10 autorización de retiro de información de la compañía" se especifica la autorización de retiro de información de la compañía.

x x

12.5.5

Se debería supervisar y monitorizar el desarrollo del software subcontratado por la Organización.

existen procedimientos

informales de monitorización del software

PSI numeral: 2.5.1 Requerimientos de

Seguridad en Contratos de Tercerización x 12.6 Gestión de las vulnerabilidades técnicas

12.6.1

Se debería obtener información oportuna sobre la vulnerabilidad técnica de los sistemas de información que se están utilizando, evaluar la exposición de la organización ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados.

La compañía cuenta con hardware de propósito específico para la detección y remediación de vulnerabilidades.

El diagnostico de vulnerabilidades se realiza de acuerdo a lo especificado en MP-SOP- 04-02-03 Detección y remediación de

vulnerabilidades

x x x

13 Gestión de incidentes de seguridad de la información

13.1 Comunicación de eventos y debilidades en la seguridad de la información

13.1.1

Se deberían comunicar los eventos en la seguridad de información lo más rápido posible mediante canales de gestión apropiados.

La comunicación de eventos de riesgo operativo se comunican en el contexto establecido por el sistema de administración del riesgo operativo (SARO)

PSI numeral: 9.4.1 Comunicación de

Incidentes Relativos a la Seguridad X x

13.1.2

Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información deberían anotar y comunicar cualquier debilidad observada o sospechada en la seguridad de los mismos.

PSI numeral: 9.4.2 Comunicación de

Debilidades en Materia de Seguridad x x

13.2 Gestión de incidentes y mejoras en la seguridad de la información

13.2.1

Se deberían establecer las

responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información.

Existe un procedimiento informal de registro de fallos

En el documento PSI numeral 9.5

Procedimientos de Manejo de Incidentes es estipula que se establecerán funciones y procedimientos de manejo de incidentes, estos se encuentran descritos en el IU-SOP-01-01 Gestión de incidentes de seguridad de

(22)

la información

13.2.2

Debería existir un mecanismo que permitan cuantificar y monitorear los tipos,

volúmenes y costes de los incidentes en la seguridad de información.

En el contexto de SARO se cuantifican y categorizan los riesgos presentados en la organización

En el documento de Política de Seguridad de la Información numeral 9.4.3 Aprendiendo de los Incidentes, se estipula el establecimiento de proceso que permita documentar, cuantificar y monitorear los ti pos, volúmenes y costos de los incidentes y anomalías, esta documentación de incidentes se realizará a través de lo estipulado en IU-SOP-01-01 Gestión de incidentes de seguridad de la información

x x

13.2.3

Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante.

El área de control interno es la encargada de efectuar las gestiones al interior de la organización para el tratamiento de evidencia frente a incidentes de seguridad de la i nformación.

En el Documento de Política de Seguridad de la Información numeral: 11. Cumplimiento, se describe los procesos de protección de registros de acuerdo a la jurisdicción relevante.

x x

14 Gestión de continuidad del negocio 14.1 Aspectos de la gestión de continuidad del

negocio

14.1.1

Se debería desarrollar y mantener un proceso de gestión de la continuidad del negocio en la organización que trate los requerimientos de seguridad de la información necesarios para la continuidad del negocio.

Existe un plan de continuidad del negocio debidamente

documentado

PSI numeral: 10.4 Proceso de la Administración de la Continuidad de la

Organización x x

14.1.2

Se deberían identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas

interrupciones y sus consecuencias para la seguridad de información.

En SARO se encuentran identificados una serie de riesgos que pueden interrumpir las operaciones del negocio, estos están valorados frente a su impacto y probabilidad de ocurrencia

En el análisis de riesgos de seguridad de la información se identificaron específicamente las amenazas sobre los activos de

información y el impacto de dichas amenazas para la seguridad de la información.

PSI numeral: 10.5 Continuidad de las Actividades y Análisis de los Impactos

(23)

14.1.3

Se deberían desarrollar e implantar planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el gra do y en las escalas de tiempo requerido, tras la interrupción o fallo de los procesos críticos de negocio.

Existe un plan de recuperación de la base de datos

PSI numeral: 10.6 El aboración e Implementación de los Planes de Continuidad de las Actividades de la empresa

x x

14.1.4

Se debería mantener un esquema único de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento.

El Plan de Continuidad de Leasing Bolívar se encuentra consolidado en formatos estándar, publicados en la intranet

PSI numeral : 10.7 Marco para la Planificación de la Continuidad de l as

Actividades de la empresa x x

14.1.5

Se deberían probar regularmente los planes de continuidad del negocio para garantizar su actualización y eficacia.

En el manual de continuidad del negocio se encuentra

establecido que las pruebas al plan de continuidad del negocio se realizaran anualmente de acuerdo al procedimiento establecido en este.

PSI numeral : 10.8 Ensayo, Mantenimiento y Reevaluación de los Planes de Continuidad del la organización

x

15 Conformidad

15.1 Conformidad con los requisitos legales

15.1.1

Todos los requisitos estatutarios, de regulación u obligaciones contractuales relevantes, así como las acciones de la Organización para cumplir con estos requisitos, deberían ser explícitamente definidos, documentados y a ctualizados para cada uno de los sistemas de información y la Organización.

Las leyes y normatividad aplicables a la seguridad de la información que rigen sobre Leasing Bolívar se encuentran documentadas en PSI 11.4.1. Identificación de la Legislación Aplicable

x x

15.1.2

Se deberían implantar procedimientos adecuados que garanticen el cumplimento de la legislación, regulaciones y r equisitos contractuales para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario.

los derechos de propiedad intelectual son contemplados en los acuerdos de servicios

PSI numeral: 11.4.2 Derechos de Propiedad Intelectual, la empresa cuenta con un software que permite detectar el uso de software no autorizado en la empresa.

(24)

15.1.3

Los registros importantes se deberían proteger de la pérdida, destrucción y falsificación, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio.

Existe un área de archivo en donde se custodian los registros importantes de la compañía, por otra parte las garantías de contratos se encuentran debidamente custodiadas en caja fuerte.

PSI numeral: 11.4.3 Protección de los Registros de la organización

En el proceso “Creación e ingreso de garantías al sistema” se estipula del proceso para el correcto archivo de garantías y en el “MP-SOP-03-03-04 Préstamo de garantías” se establece el procedimiento de préstamo. El único departamento autorizado para solicitar garantías es el departamento jurídico.

-El encargado del área de archivo cuenta con una lista de personas autorizadas para el préstamo de carpetas.

El uso de esta lista se encuentra registrado en los procesos “MP-SOP-03-01-04 Solicitud de carpetas en el archivo” y “MP -SOP-03-01-03 creación de carpetas en el archivo”

x x x

15.1.4

Se debería garantizar la protección y privacidad de los datos y según requiera la legislación, regulaciones y, si fueran aplicables, las cláusulas relevantes contractuales.

existe una definición de la responsabilidad del manejo de los datos de carácter personal

PSI numeral: 11.4.4 Protección de Datos y

Privacidad de la Información Personal x x

15.1.5

Se debería disuadir a los usuarios del uso de los recursos dedicados al t ratamiento de la información para propósitos no

autorizados.

Leasing Bolívar cuenta con una herramienta de auditoría para su plataforma tecnológica (PC Secure)

PSI numeral: 11.4.5 Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información

x

15.1.6

Se deberían utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes.

se conocen y cumplen los requisitos emitidos por la Superintendencia Financiera sobre los controles cifrados

PSI numeral: 11.4.6 Regulación de Controles

para el Uso de Criptografía x x

15.2 Revisiones de la política de seguridad y de la conformidad técnica

15.2.1

Los directivos se deberían asegurar que todos los procedimientos de seguridad dentro de su área de responsabilidad se realizan correctamente y cumplen con los estándares y políticas de seguridad.

Existen procedimientos informales del revisión del cumplimiento de normas por parte del personal

PSI numeral: 11.5.1 Cumplimiento de la

Política de Seguridad x

15.2.2

Se debería comprobar regularmente la conformidad de los sistemas de información con los estándares de implantación de la seguridad.

La empresa cuenta con servicios a de auditoría en TI interna (Auditoría del Grupo Bolívar) externa (KPMG)

PSI numeral: 11.5.2 Verificación de la

(25)

15.3 Consideraciones sobre la auditoría de sistemas

15.3.1

Se deberían planificar y acordar cuidadosamente los requisitos y actividades de auditoría que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio.

Los procedimientos de la auditoría de sistemas llevados a cabo en Leasing Bolívar son previamente definidos y comunicados por auditoría Bolívar

PSI numeral: 11.6 Consideraciones de Auditorías de Sistemas, se establece

adicionalmente el documento: IU-SOP-06-03 Auditorías Internas de seguridad de la

información

x

15.3.2

Se deberían proteger los accesos a las herramientas de auditoría de los sistemas de información con objeto de prevenir cualquier posible mal uso o compromiso.

las herramientas de auditoría están separadas de los sistemas de producción y operación

En PSI numeral: 7.8.2 Revisión de Derechos de Acceso de Usuarios, Se establece la creación de un perfil especial para la función de auditoría