ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Enviado por Denys Bautista • 18 de Julio de 2020 • Apuntes • 1.062 Palabras (5 Páginas) • 333 Visitas
A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS | |||
A.14.1. Requisitos de seguridad de los sistemas de información | A.14.1.1. Análisis y especificación de requisitos de seguridad de la información | No se cuenta con una relación de los requisitos con la seguridad de la información, en la cual se incluya nuevos sistemas o mejoras en la existente. | Se realiza cuestionario al Jefe de Seguridad Informática del Departamento de Sistemas con el fin de identificar los procedimientos con los cuales cuenta dicha dependencia. Se adjunta audio de entrevista y documento firmado por el entrevistado [pic 1] [pic 2] |
A.14.1.2. Seguridad de servicios de las aplicaciones en redes públicas | La entidad no cuenta con controles adicionales en redes públicas, con el fin de salvaguardar la información (criptografía) | Los profesionales en seguridad informática no aplican cifrado de comunicaciones, uso de certificados digitales, sistema de protección en el envío involuntario de archivos. | |
A.14.1.3. Protección de transacciones de los servicios de las aplicaciones | Falta reforzar los controles que garanticen la protección de las transacciones entre aplicaciones | Se han efectuado transacciones incompletas, errores de enrutamiento, | |
A.14.2. Seguridad en los procesos de desarrollo y soporte | A.14.2.1. Política de desarrollo seguro | No se cuenta con reglas de seguridad de la información, puesto que la entidad no cuenta con sistema de información propio | El área de sistemas no realiza pruebas y control de calidad sobre los cambios aplicados al aplicativo, como evidencia a lo |
A.14.2.2. Procedimientos de control de cambios en sistemas | No se lleva un control de las versiones de las aplicaciones desarrolladas por ser un open source | Cumple parcialmente, se notifica a través de comunicación interna todas las mejoras a los módulos y cuando estas son publicadas y puestas en producción | |
A.14.2.3. Revisión técnica de las aplicaciones después de cambios en la plataforma de operación | No se efectúa revisión y pruebas de los sistemas cuando se desarrollan cambios. | NA | |
A.14.2.4. Restricciones en los cambios a los paquetes software | No se cuenta con un procedimiento para la puesta en producción de un desarrollo en SI |
| |
A.14.2.5. Principios de construcción de sistemas seguros | No se tiene en cuenta principios de seguridad en un entorno de desarrollo |
| |
A.14.2.6. Ambiente de desarrollo seguro | No se cuenta con un entorno seguro de desarrollo que cura todo el ciclo de vida del S.I | El servidor desarrollo también se encuentra protegido por esquema de seguridad tipo Firewall | |
A.14.2.7. Desarrollo contratado externamente | La entidad no tiene desarrollo contratado puesto que trabaja con un servicio open sourc | NA | |
A.14.2.8. Pruebas de seguridad de sistemas | La entidad no realiza pruebas de funcionalidad a los Sistemas de Información existentes. | NA | |
A.14.2.9. Pruebas de aceptación de sistemas | La entidad no cuenta con programas de pruebas de aceptación de sistemas y criterios afines para nuevos sistemas de información y/o actualizaciones | NA | |
A.14.3. Datos de prueba | A.14.3.1. Protección de datos de prueba | Inexistencia de programas de pruebas y criterios encaminados para la implementación de nuevos sistemas de información | Se han efectuado transacciones incompletas, errores de enrutamiento [pic 3] |
A.15. RELACIÓN CON LOS PROVEEDORES | |||
A.15.1. Seguridad de la información en las relaciones con los proveedores | A.15.1.1. Política de seguridad de la información para las relaciones con proveedores | No existe una política de seguridad de la información coligada a terceros | La entidad no cuenta con una Política o procedimiento de seguridad, pero el Departamento de sistemas Documenta los requisitos de seguridad de los proveedores. [pic 4] [pic 5] |
A.15.1.2. Tratamiento de la seguridad dentro de los acuerdos con proveedores | La entidad no tiene establecido los requisitos y procedimientos de acceso a las instalaciones por parte de terceros | En el contrato adjudicado con el proveedor no se estableció los requisitos | |
A.15.1.3. Cadena de suministro de tecnología de información y comunicación | La entidad no establece acuerdos con los proveedores que incluyan los requisitos para tratar los riesgos de seguridad de la información inscritos a la cadena de suministro | NA | |
A.15.2. Gestión de la prestación de servicios con los proveedores | A.15.2.1. Seguimiento y revisión de los servicios de los proveedores | Se evidencia la ausencia de un seguimiento adecuado a la prestación del servicio de terceros | Los informes presentados por los proveedores son deficientes y poco claros. |
A.15.2.2. Gestión de cambios en los servicios de proveedores | La entidad no tiene establecido gestión de cambios en la provisión de servicios por parte de intermediarios (proveedores) |
| |
A.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN | |||
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información | A.16.1.1. Responsabilidad y procedimientos | Se denota la ausencia de un procedimiento para la identificación de incidentes de seguridad de la información | Se realiza cuestionario al Jefe de Seguridad Informática del Departamento de Sistemas con el fin de identificar los procedimientos con los cuales cuenta dicha dependencia. Se adjunta audio de entrevista y documento firmado por el entrevistado [pic 6] [pic 7] |
A.16.1.2. Reporte de eventos de seguridad de la información | No se cuenta con un procedimiento para respectivo reporte de incidente de seguridad de la información | Se adjunta entrevista efectuada al Jefe de Seguridad Informática, quien afirma no contar con un procedimiento reporte de Incidentes de Seguridad de la Información. [pic 8] | |
A.16.1.3. Reporte de debilidades de seguridad de la información | No existe un procedimiento definido para el trámite correspondiente a un incidente de seguridad de la información | Se adjunta entrevista efectuada al Jefe de Seguridad Informática, quien afirma no contar con un procedimiento para el trámite de incidente de Seguridad de la información evidencia. PD16. | |
A.16.1.4. Evaluación de eventos de seguridad de la información y decisiones de la información | No se cuenta con un garante para la gestión de los incidentes de seguridad de la información | NA | |
A.16.1.5. Respuesta a incidentes de seguridad de la información | La entidad no cuenta con una normativa e respuestas ante incidentes para su clasificación y análisis. | Se adjunta entrevista efectuada al Jefe de Seguridad Informática, quien afirma no contar con un procedimiento para el trámite de incidente de Seguridad de la información evidencia. [pic 9] | |
A.16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la información | La entidad no cuenta con proceso de Instalación de mecanismos para monitorizar y cuantificar los tipos, volúmenes y costes de los incidentes de seguridad y fallos de funcionamiento | Se adjunta entrevista efectuada al Jefe de Seguridad Informática, quien afirma no contar con un procedimiento para el trámite de incidente de Seguridad de la información evidencia. [pic 10] | |
A.16.1.7. Recolección de evidencia | Se evidencia la ausencia de un procedimiento en donde se detalle cómo debe efectuarse la identificación, recolección, adquisición y preservación de información que es identificada como evidencia. | Se adjunta entrevista efectuada al Jefe de Seguridad Informática, quien afirma no contar con un procedimiento de recolección de evidencia. [pic 11] |
...