Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Documentación metodológica, plantillas de planificación, cronogramas, manuales de gestión o documentos de alcance que evidencien que se utilizan lineamientos generales de desarrollo de sistemas incluyendo principios básicos de gestión de proyectos. 

Instructivos de codificación segura, políticas técnicas, documentación de arquitectura o revisión de requisitos funcionales que demuestren que los proyectos de desarrollo integran principios de seguridad desde etapas tempranas. 

Repositorios de código con historial de versiones, evidencias de revisiones (pull requests, merge requests), logs de control de cambios o capturas de herramientas que evidencien que se aplica control de versiones y revisión de código sistemática.  

Planes de prueba, resultados de pruebas, casos de prueba con enfoque en seguridad o herramientas utilizadas que evidencien que las actividades de testing están sistematizadas e incluyen validaciones de seguridad.  

Procedimiento técnico aprobado, instructivos operativos, flujos documentados o manuales internos que describan cómo se realizan las pruebas de seguridad en los desarrollos, incluyendo herramientas y responsabilidades.  

Listas de verificación, criterios documentados, actas de validación o plantillas de cierre de proyecto que evidencien que la aceptación de los productos incluye criterios específicos de seguridad de la información. 

Contratos con cláusulas de seguridad, anexos técnicos, requisitos mínimos documentados o plantillas de adquisición que evidencien que los proveedores deben cumplir con lineamientos de desarrollo seguro definidos por la organización. 

Informes de revisión, listas de verificación internas, hallazgos documentados o auditorías que demuestren que se realiza control interno sobre el cumplimiento de los métodos y procedimientos de seguridad establecidos para el desarrollo. 

Informes de control, actas de comité, correos institucionales o presentaciones que permitan verificar que los resultados de las actividades de control fueron comunicados formalmente al RSI y demás partes interesadas. 

Planes de acción, registros de incidentes, tickets de remediación o evidencias de aplicación de medidas que evidencien que se toman acciones correctivas ante desviaciones detectadas en proyectos de desarrollo o adquisición. 

Políticas institucionales, resoluciones aprobadas, instructivos de compra o documentos normativos que evidencien que existen criterios definidos para la adquisición de sistemas y servicios tecnológicos, incluyendo consideraciones de seguridad. 

Solicitudes de cotización, pliegos de licitación, formularios de evaluación de ofertas o plantillas de requerimientos técnicos que permitan verificar que se incorporan requisitos específicos de seguridad en los procesos de compra. 

Cuadros comparativos, informes de análisis de proveedores, actas de evaluación técnica o listas de verificación de cumplimiento que evidencien que antes de la contratación se analizó la capacidad del proveedor para cumplir con los requisitos de seguridad definidos. 

Actas de aceptación, reportes de validación técnica, resultados de pruebas, revisiones documentales o planillas de conformidad que evidencien que los entregables fueron revisados y aprobados en función de los criterios de seguridad establecidos. 

Contratos firmados, anexos técnicos, cláusulas contractuales o acuerdos de nivel de servicio que permitan verificar que el proveedor se compromete a mantener actualizaciones, aplicar parches de seguridad y gestionar incidentes, entre otras medidas, durante la vigencia del producto o servicio. 

Actas de cierre de proyectos, informes posteriores al cierre del proyecto, recomendaciones de auditoría, planillas de mejora continua o registros de retroalimentación que evidencien que se incorporan aprendizajes de experiencias anteriores y auditorías en la definición de futuros requisitos de seguridad en adquisiciones.