Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Copias firmadas de acuerdos de confidencialidad, registros en sistemas de gestión de contratos, tickets de alta o actas de firma que evidencien que los proveedores firman acuerdos de no divulgación antes del inicio de la relación comercial. 

Contratos de ingreso, extractos del estatuto o normativa interna, formularios de acuse de recibo o registros de inducción que evidencien que todo nuevo personal queda formalmente alcanzado por compromisos de confidencialidad.  

Contratos de trabajo, acuerdos marco, anexos legales, normativa interna o registros de firma que demuestren que la obligación de confidencialidad se extiende a todo el personal, sin excepción de rol ni tipo de contratación. 

Acuerdos de confidencialidad firmados, planillas de control de documentos legales, cláusulas contractuales o actas de revisión que evidencien que los proveedores con acceso a información sensible tienen firmados los NDAs correspondientes.  

Textos de acuerdos de no divulgación firmados, plantillas legales o cláusulas contractuales donde se detallen las consecuencias en caso de incumplimiento, así como las responsabilidades asumidas por el proveedor o el personal. 

Cronogramas de revisión, informes de actualización, versiones comparadas o registros legales que evidencien que los acuerdos de confidencialidad son revisados de forma periódica para verificar su vigencia y aplicabilidad. 

Informes de incidentes, tickets de reclamos, registros de sanciones o actas de evaluación que permitan verificar que se revisan los casos en que se detectan incumplimientos o desvíos respecto a lo establecido en los acuerdos de confidencialidad. 

Correos institucionales, informes de seguimiento, minutas de reunión o presentaciones internas que evidencien que los resultados de las revisiones fueron comunicados al RSI y a otras partes interesadas relevantes. 

Capturas del navegador, reportes de escaneo de puertos o configuraciones del servidor que evidencien que el Webmail institucional solo es accesible mediante HTTPS y no permite conexiones HTTP. 

Listas de control de acceso, reglas de firewall, configuraciones del servidor de correo, políticas institucionales o registros de monitoreo que permitan verificar que no se permite el acceso a cuentas institucionales desde servicios de Webmail externos. 

Capturas de los certificados digitales del Webmail, reportes de validez (emitidos por CA confiables), configuraciones del servidor o documentación técnica que evidencien su vigencia y validez. 

Configuraciones del servidor, escaneos de seguridad (por ejemplo, SSL Labs), archivos de configuración de TLS o reportes de revisión que evidencien que se han deshabilitado versiones inseguras de TLS/SSL. 

Logs del servidor, reportes de monitoreo, actas de revisión o tickets que evidencien la verificación periódica de accesos indebidos desde Webmail externos no autorizados. 

Política institucional o procedimiento de cifrado, capturas de configuración de S/MIME o PGP (entre otros), correos cifrados de ejemplo, instructivos o evidencia técnica que demuestren el uso de cifrado a nivel de mensaje para correos de alto riesgo. 

Materiales de capacitación, manuales de uso seguro del Webmail, actas de talleres, correos de difusión o formularios de aceptación que evidencien la capacitación sobre uso seguro y restricciones de acceso externo. 

Informes de auditoría, cronogramas de verificación, hallazgos documentados o registros de revisión de certificados y accesos que evidencien auditorías periódicas sobre el servicio de Webmail. 

Resultados de pruebas técnicas (penetration testing, SSL Labs, escaneos de configuración, etc.), registros de validación o informes de seguridad que demuestren la efectividad del cifrado y de la configuración segura del Webmail. 

Diagramas de red, configuraciones de firewall, reglas de ruteo o informes técnicos que evidencien que la red se encuentra segmentada al menos entre zonas expuestas (como Internet) y redes privadas de la organización.  

Planillas técnicas, diagramas de red, listados de servicios o configuraciones exportadas que evidencien que la organización ha identificado y documentado los principales servicios de red que utiliza. 

Listados de interconexiones, diagramas de red, registros de enlaces, contratos de conectividad o actas técnicas que permitan verificar que se mantiene un inventario actualizado de las interconexiones con otras entidades. 

Informes de diseño de red, justificaciones técnicas, configuraciones de VLANs, segmentación por servicios o criticidad que evidencien que la red está organizada en función de criterios específicos de la organización. 

Reglas de firewall, listas de control de acceso (ACL), configuraciones de seguridad o documentación de red que permitan comprobar que se ha definido y aplicado una postura por defecto (por ejemplo, denegar por defecto y permitir explícitamente) en la comunicación entre segmentos. 

Acuerdos de seguridad de interconexión, contratos con anexos técnicos, formularios de evaluación de riesgo, fichas de interconexión aprobadas o actas de aprobación que evidencien que cada conexión con terceros está formalmente autorizada, describe interfaz, datos intercambiados y requisitos de seguridad. 

Contratos vigentes, acuerdos de nivel de servicio (SLA), anexos de seguridad o cláusulas contractuales que evidencien que los proveedores de servicios de red están sujetos a condiciones formales que incluyen compromisos de seguridad. 

Documento de política aprobado por la Dirección y/o el CSI, versiones controladas, actas de difusión interna o registros de capacitación que permitan verificar que existe una política de seguridad de las comunicaciones. 

Diagramas técnicos, planos de arquitectura de red, capturas de plataformas de monitoreo o documentos validados que permitan verificar que la organización mantiene un diagrama de red actualizado. 

Reportes de monitoreo, capturas de herramientas de análisis, logs de tráfico o estudios de uso que evidencien que se conoce, analiza y revisa periódicamente el comportamiento del tráfico entre los distintos segmentos. 

Configuraciones de firewall, registros de inspección profunda de paquetes, túneles cifrados, reglas de acceso o registros técnicos que evidencien que las comunicaciones entrantes y salientes entre segmentos están protegidas adecuadamente. 

Informes de auditoría interna, listas de verificación aplicadas, hallazgos documentados o cronogramas de revisión que evidencien que se realiza control interno periódico sobre el cumplimiento de la segregación definida y la vigencia de los acuerdos de interconexión autorizados. 

Configuraciones de cifrado en protocolos de red, certificados digitales instalados, configuraciones de VPN o reportes técnicos que evidencien que se implementan controles criptográficos para proteger los datos que circulan entre sistemas.  

Capturas de uso de HTTPS, SFTP, TLS, VPN o herramientas seguras de transferencia, junto con procedimientos técnicos o instructivos que evidencien que la transmisión de información sensible o confidencial se realiza mediante canales seguros. 

Políticas técnicas, procedimientos de desarrollo, documentación de arquitectura o listas de tecnologías permitidas que evidencien que se aplica un conjunto reducido y consistente de tecnologías criptográficas en todos los sistemas y aplicaciones. 

Procedimientos documentados, instructivos operativos o diagramas de flujo que establezcan cómo debe realizarse la transferencia segura de información tanto física como electrónica . 

Contratos, convenios, NDA o cláusulas específicas en acuerdos que establezcan responsabilidades, controles criptográficos y medidas de seguridad en la transferencia de información con terceros. 

Procedimientos de clasificación, matrices de tratamiento, configuraciones de sistemas o anexos en políticas que evidencien que las medidas aplicadas en la transferencia varían en función del nivel de sensibilidad de los datos. 

Informes de revisión, análisis de configuraciones, pruebas de cumplimiento técnico o planes de mejora que permitan comprobar que se evalúan periódicamente los controles criptográficos aplicados a la protección de datos en tránsito. 

Planillas de control, registros internos, documentación de arquitectura, catálogos de sistemas o reportes generados por herramientas de descubrimiento que evidencien que la organización mantiene un inventario actualizado de todos sus sitios web institucionales. 

Capturas de configuración del WAF, reportes de actividad, registros de eventos o documentación técnica que permitan verificar que todas las aplicaciones web expuestas en Internet cuentan con un WAF configurado al menos en modo detección.  

Configuraciones del WAF, registros de bloqueos, reportes de eventos o políticas aplicadas que evidencien que el WAF en producción ha evolucionado desde el modo detección hacia el modo bloqueo efectivo. 

Capturas del entorno de pruebas, diagramas de arquitectura, registros de instalación o informes de validación que permitan constatar que se cuenta con un WAF activo en el ambiente de testing para realizar pruebas funcionales antes del despliegue. 

Tickets de implementación, planillas de cambios, reportes de pruebas y versiones aprobadas que evidencien que las reglas del WAF se impactan en producción únicamente después de ser validadas en el entorno de pruebas. 

Diagramas de integración, capturas de la consola de monitoreo, reportes centralizados o configuraciones de reenvío de logs que permitan verificar que los registros del WAF se consolidan en una plataforma de monitoreo central. 

Configuraciones de alertas automáticas, paneles de análisis, scripts de revisión o reportes generados automáticamente que demuestren que el análisis de los registros del WAF incorpora mecanismos automatizados que facilitan la revisión de eventos.