Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

GA.1-1: Se confecciona y mantiene un inventario de activos físicos del centro de datos, incluyendo servidores, dispositivos de red, racks, UPS y otros componentes relevantes. 

OR.5-1: Se mantiene un inventario actualizado de los dispositivos móviles de la organización. 

GA.1-4: El inventario de activos físicos debe incluir todos los dispositivos utilizados dentro y fuera del centro de datos, tales como estaciones de trabajo (PCs), dispositivos de almacenamiento extraíble, impresoras, dispositivos de red, entre otros.  

GA.4-2: Están identificados y documentados los tipos de medios de almacenamiento externos permitidos para su uso dentro de la organización.  

GA.4-4: Los medios de almacenamiento externo se encuentran inventariados y clasificados según la clasificación de su información y sus características. 

OR.5-6: Los equipos móviles cuentan con un sistema de borrado del dispositivo en caso de extravío o robo. 

OR.5-7: Los dispositivos personales que se conectan a los servicios de la organización deben estar autorizados, registrados y sujetos a requisitos de seguridad. 

CN.4-1: Se lleva control del licenciamiento de software de equipos servidores. 

GA.1-2: Se elabora y mantiene un inventario detallado del software base (ej.: sistemas operativos, servidores de aplicación, servidores de base de datos, hipervisores) y del software de aplicación instalado en los activos del centro de datos.  

GA.1-3: Cada activo registrado en el inventario debe tener un responsable asignado, cuya información debe estar documentada en el sistema de gestión de activos o inventario utilizado. 

SC.15-1: Existe un inventario de sitios Web institucionales. 

CN.4-3: Se lleva control del licenciamiento de software de equipos personales.  

GA.1-5: El inventario debe incluir las plataformas de software y aplicaciones implementadas, independientemente de su ubicación física o modalidad (on premise o en la nube). 

GA.1-7: El inventario debe estar debidamente documentado y accesible para las personas autorizadas por la organización. 

CN.4-4: El inventario centralizado de software instalado en la organización debe permitir asociar licencias activas con las instalaciones detectadas. 

GA.1-8: Las políticas, procesos y procedimientos para la actualización del inventario de activos deben estar formalmente documentados.  

GA.1-9: La organización debe utilizar una herramienta de software especializada para registrar, seguir y controlar sus activos de información y tecnológicos.  

GA.1-10: Los procesos y procedimientos de actualización del inventario deben incorporar, total o parcialmente, mecanismos de automatización.  

GA.1-11: Se debe establecer y mantener un proceso de control y monitoreo continuo del licenciamiento del software, con alertas ante vencimientos o irregularidades. 

SC.13-2: Están identificados y documentados los principales servicios de red utilizados por la organización. 

SC.13-6: Las conexiones con otras entidades están formalmente autorizadas mediante acuerdos de seguridad de interconexión que describen interfaz, requisitos de seguridad y datos intercambiados. SC.13-7: Los proveedores de servicios de red cuentan con acuerdos de nivel de servicio (SLA) y cláusulas de seguridad. 

SC.13-8: Esta definida una política formal de seguridad de las comunicaciones. 

SC.13-9: Se cuenta con un diagrama de red actualizado que refleja la segregación vigente y las interconexiones externas. 

RP.1-1: Se identifican todos los participantes de la cadena de suministro relacionados con los activos y servicios críticos, incluyendo un punto de contacto operativo designado por cada proveedor. 

RP.1-2: Se cuenta con acuerdos de nivel de servicio (SLA) firmados con proveedores que prestan servicios críticos.  

RP.1-3: Se implementan mecanismos para identificar y gestionar los riesgos asociados a los participantes de la cadena de suministro que intervienen en los activos y servicios críticos de la organización.  

RP.1-6: Se cuenta con una política formal de relacionamiento con proveedores. 

GA.2-1: Están identificados los activos que contienen información crítica para la organización, en base a criterio institucionalmente definido que establezca qué se considera información crítica o sensible.  

GA.2-2: Cada activo registrado en el inventario debe contar con una etiqueta o atributo que refleje su clasificación según los criterios previamente definidos. 

GA.2-3: Los activos que almacenan o procesan información deben estar clasificados de acuerdo con los criterios establecidos en el procedimiento de clasificación.  

GA.2-4: La herramienta de inventario de activos debe permitir registrar, consultar y mantener la clasificación de la información asociada a cada activo. 

GA.2-5: Se cuenta con una política y/o procedimiento de clasificación de la información, alineado a la normativa nacional vigente.  

GA.2-6: Se ha definido un procedimiento para el etiquetado de activos clasificados, que contemple tanto los activos digitales como los físicos.  

GA.2-7: La clasificación de la información debe estar integrada en todas las etapas del ciclo de vida del activo: alta, modificación, uso y baja.  

GA.2-8: Las restricciones de acceso deben definirse y aplicarse en función de la clasificación de los activos y el perfil de los usuarios autorizados. 

GA.3-7: Se realiza un control periódico de los activos que contienen o procesan información sensible. 

GA.2-1: Están identificados los activos que contienen información crítica para la organización, en base a criterio institucionalmente definido que establezca qué se considera información crítica o sensible.  

GA.2-2: Cada activo registrado en el inventario debe contar con una etiqueta o atributo que refleje su clasificación según los criterios previamente definidos. 

GA.2-3: Los activos que almacenan o procesan información deben estar clasificados de acuerdo con los criterios establecidos en el procedimiento de clasificación.  

GA.2-5: Se cuenta con una política y/o procedimiento de clasificación de la información, alineado a la normativa nacional vigente.  

GA.2-7: La clasificación de la información debe estar integrada en todas las etapas del ciclo de vida del activo: alta, modificación, uso y baja.  

SO.1-1: El software de base y aplicaciones críticas se encuentran actualizados a versiones sin vulnerabilidades críticas. 

SO.1-2: Se tienen identificados aquellos activos que por su tecnología no pueden ser actualizados, detallando los controles compensatorios implementados. 

CN.3-2: Se realizan pruebas de intrusión (ethical hacking) de los sistemas críticos de la organización en forma periódica o como parte de un cambio significativo en ellos, con recursos propios o con apoyo externo. 

CN.3-3: El resultado de las pruebas se comunica a las partes interesadas.   

SO.1-3: Está definido un plan documentado para la gestión de las vulnerabilidades y parches.  

SO.1-5: Las vulnerabilidades son evaluadas, clasificadas, y priorizadas según la criticidad identificada. 

CN.3-4: Está establecido un procedimiento documentado para la revisión periódica interna de vulnerabilidades con alcance a los sistemas base y de aplicación. 

CN.3-5: En los sistemas críticos se realizan los escaneos de vulnerabilidades con un periodo entre ellos de máximo 6 meses y pruebas de intrusión con un periodo entre ellas de máximo un año.  

SO.1-6: Existe un procedimiento documentado de gestión de vulnerabilidades y parches.  

SO.1-7: Están establecidas las responsabilidades de gestión de vulnerabilidades. 

SO.1-8: Los escaneos de vulnerabilidades se realizan como mínimo semestralmente. 

GR.4-1: La organización ha identificado y documentado sus fuentes confiables de inteligencia de amenazas, incluyendo al menos CERTuy y fuentes oficiales, comunitarias o sectoriales. 

GR.4-6: La inteligencia de amenazas se utiliza como insumo para el análisis de riesgos de seguridad de la información. 

GR.4-8: La información de inteligencia de amenazas se utiliza para ajustar o redefinir los controles existentes y apoyar el diseño de nuevos controles para los planes de tratamiento de riesgos. 

GR.4-1: La organización ha identificado y documentado sus fuentes confiables de inteligencia de amenazas, incluyendo al menos CERTuy y fuentes oficiales, comunitarias o sectoriales.  

GR.4-2: El personal de seguridad recibe capacitación sobre el uso de inteligencia de amenazas.  

GR.4-3: La organización recibe periódicamente información de amenazas a través de sus fuentes confiables, la misma se registra para su posterior análisis. 

GR.4-4: Están asignados los responsables de recibir, filtrar y analizar la inteligencia de amenazas.  

GR.4-7: Se cuenta con un procedimiento documentado sobre el uso de inteligencia de amenazas, abarcando como se recibe, filtra, analiza, clasifica y utiliza la información.  

GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia. 

GR.2-2: Las amenazas, vulnerabilidades y controles existentes en la organización están documentados.   

GR.2-3: Se cuenta con un inventario de riesgos de seguridad de la información que incluye riesgos asociados a todos los activos de información (se incluyen riesgos positivos).   

GR.4-5: Se realiza un análisis del impacto potencial de las amenazas emergentes sobre la organización. 

GR.2-6: Los incidentes de seguridad de la información y ciberseguridad son tenidos en cuenta para la evaluación de riesgos.  

GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia. 

GR.2-2: Las amenazas, vulnerabilidades y controles existentes en la organización están documentados.   

GR.4-5: Se realiza un análisis del impacto potencial de las amenazas emergentes sobre la organización. 

GR.3-7: La efectividad de los controles implementados es evaluada, y el riesgo residual resultante es documentado y validado por las partes interesadas. 

GR.3-1: Se toman acciones ad-hoc con el objetivo de llevar los principales riesgos de seguridad de la información a niveles aceptables para la organización. 

GR.3-2: Se elaboran planes de tratamiento para los riesgos de seguridad de la información que excedan los niveles de tolerancia definidos por la organización.  

GR.3-3: Cada plan de tratamiento identifica las acciones necesarias, el responsable de su ejecución y el plazo previsto. 

GR.3-4: Los planes de tratamiento son revisados y validados por los responsables de ejecutarlos antes de su ejecución.  

GR.3-5: Los planes de tratamiento de riesgos incluyen métricas e indicadores que permiten evaluar su avance.  

GR.3-6: La implementación de los controles debe realizarse conforme a la prioridad explícita y formalmente establecida por la Dirección.  

GR.3-7: La efectividad de los controles implementados es evaluada, y el riesgo residual resultante es documentado y validado por las partes interesadas. 

GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia.  
SO.2-1: Se han establecido mecanismos para comunicar los cambios en el ámbito tecnológico a las partes interesadas.  
SO.2-2: Los cambios tecnológicos son previamente autorizados por los responsables de los activos. 

GR.2-2: Las amenazas, vulnerabilidades y controles existentes en la organización están documentados.   
GR.2-3: Se cuenta con un inventario de riesgos de seguridad de la información que incluye riesgos asociados a todos los activos de información (se incluyen riesgos positivos).   
SO.2-4: Los cambios de configuración sobre infraestructura crítica requieren validación previa mediante pruebas en ambientes controlados. 

SO.2-5: Está definida una política de gestión de cambios, la misma contempla los cambios de emergencia en el ámbito tecnológico.  
SO.2-6: Está establecido y documentado un procedimiento para la gestión de los cambios.  
SO.2-7: Los cambios se registran y se les asocia una justificación y responsable. 

SO.1-1: El software de base y aplicaciones críticas se encuentran actualizados a versiones sin vulnerabilidades críticas. 
SO.1-2: Se tienen identificados aquellos activos que por su tecnología no pueden ser actualizados, detallando los controles compensatorios implementados. 

SO.1-3: Está definido un plan documentado para la gestión de las vulnerabilidades y parches.  
SO.1-4: Se reciben notificaciones de vulnerabilidades por parte del CERTuy u otras organizaciones y se analizan.  
SO.1-5: Las vulnerabilidades son evaluadas, clasificadas, y priorizadas según la criticidad identificada. 

SO.1-6: Existe un procedimiento documentado de gestión de vulnerabilidades y parches.  
SO.1-7: Están establecidas las responsabilidades de gestión de vulnerabilidades. 
SO.1-8: Los escaneos de vulnerabilidades se realizan como mínimo semestralmente. 

SF.4-2: Al recibir equipos nuevos se inspeccionan, y documenta el estado de los sellos o empaques de fábrica, registrando cualquier indicio de apertura o daño.  

SF.4-4: Se instalan sellos o cintas de seguridad con código único en los puntos de acceso al interior de los chasis, de manera que cualquier manipulación quede registrada.  

SF.4-7: Esta formalmente definida una política de seguridad del equipamiento que establece lineamientos para la protección física, manejo cuando esté los equipos estén sin supervisión, entre otros puntos.  

SF.4-8: Existe un procedimiento documentado de respuesta a eventos de manipulación detectada, que incluye la investigación inicial y evaluación de posibles compromisos de integridad. 

CN.2-1: Se han realizado análisis de brechas para detectar el nivel de cumplimiento del presente marco.  

CN.2-2: En función de las brechas detectadas se elabora un portafolio de proyectos a incluir en el plan de seguridad de la información.  

PD.7-1: La organización ha definido criterios para incorporar medidas de privacidad por diseño y por defecto en la construcción o mejora de procesos, servicios o sistemas. 

CN.2-3: Se realiza anualmente una auditoría interna sobre el cumplimiento del presente marco.  

PD.7-2: El delegado de protección de datos personales asesora en el diseño e implementación de medidas técnicas y organizativas destinadas a incorporar los principios de privacidad por diseño y por defecto en la organización. 

CN.2-4: Se realiza con una periodicidad predefinida una auditoría externa sobre el cumplimiento del presente marco.  

CN.2-5: Los hallazgos de auditorías generan planes de acción documentados y se realiza su seguimiento.  

PD.7-3: Ante cambios en procesos, sistemas o incidentes de seguridad, se revisa de forma reactiva la efectividad de las medidas implementadas para garantizar la incorporación de los principios de privacidad por diseño y por defecto en la organización. 

CN.3-1: Se realizan revisiones puntuales de los sistemas de información con recursos propios o con apoyo externo.  

GI.6-1: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en el centro de procesamiento de datos. 

GI.6-2: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en toda la organización. 

CN.3-6: Se cuenta con el apoyo de revisiones externas de vulnerabilidades y hackeo ético.   

GI.6-5: Las lecciones aprendidas se contemplan para mejorar los planes de respuesta a incidentes. 

GI.6-6: Las lecciones aprendidas son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento. 

CN.3-1: Se realizan revisiones puntuales de los sistemas de información con recursos propios o con apoyo externo. 

GI.6-1: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en el centro de procesamiento de datos. 

GI.6-2: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en toda la organización. 

CN.3-6: Se cuenta con el apoyo de revisiones externas de vulnerabilidades y hackeo ético.   

GI.6-5: Las lecciones aprendidas se contemplan para mejorar los planes de respuesta a incidentes. 

GI.6-6: Las lecciones aprendidas son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento.