Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

CA.5-1: Están implementados controles que impiden que un mismo usuario solicite, apruebe y asigne accesos en los sistemas críticos.  

CA.5-2: La asignación de privilegios es ejecutada por un responsable distinto al que la aprueba.  

CA.6-1: Los derechos de acceso son autorizados. 

CA.5-3: Se aplican mecanismos preventivos para evitar su asignación conjunta, salvo justificación formal y aprobación excepcional de roles en conflicto.  

CA.5-4: Está limitada la cantidad de usuarios con privilegios administrativos, siguiendo criterios establecidos.  

CA.5-5: La segregación de funciones abarca también los diferentes entornos de la organización, evitando que una persona realice actividades en más de un entorno al menos de que esté debidamente justificado y documentado.  

CA.5-6: El personal de administración de accesos no es el mismo que el que realiza la auditoría sobre dichos accesos.  

CA.6-2: El uso de dispositivos externos requiere identificación (inventariado y responsable) y autentificación (permiso de acceso por el rol del usuario o algún otro método) 

CA.6-3: Se aplica el principio de menor privilegio para la asignación de permisos. 

CA.5-7: Están identificados, documentados y gestionados los posibles conflictos entre roles o combinaciones de privilegios.  

CA.5-8: Están definidos y documentados los criterios para autorizar privilegios administrativos.  

CA.5-9: Están definidos y documentados los criterios para determinar cuántos usuarios con privilegios de administrador deben existir por sistema o entorno.  

CA.5-10: La segregación de funciones está incluida en el procedimiento formal de control de acceso lógico.  

CA.6-5: Se define un procedimiento de acceso lógico a redes, recursos y sistemas de información. 

CA.6-6: Se define una política de acceso lógico a redes, recursos y sistemas de información. 

CA.1-2: El acceso a la red y los sistemas debe realizarse con usuarios nominados.  

CA.1-3: El uso de usuarios privilegiados se encuentra controlado. 

CA.1-5: El uso de usuarios genéricos debe estar fundamentado y autorizado por excepción.   

CA.1-6: Existen pautas definidas para la realización de altas, bajas y modificaciones de acceso lógico que además incluyen aprobaciones.  

CA.1-10: Se cuenta con un procedimiento para el ABM de usuarios.  

CA.1-11: La gestión de identidades y credenciales se realiza en forma centralizada, al menos en forma administrativa. 

CA.1-1: Todos los sistemas requieren autenticación.   

CA.1-4: Los accesos remotos a aplicaciones se realizan utilizando mecanismos de autenticación seguros. 

CA.1-7: Se identifican los casos que requieren autenticación fuerte y se determinan los controles requeridos.  

CA.1-8: Las credenciales de autenticación (contraseñas, certificados, tokens) están protegidas en reposo y en tránsito mediante mecanismos criptográficos robustos. 

OR.6-4: Se implementa el múltiple factor de autenticación para el acceso remoto. 

CA.1-9: Se define una política de gestión de usuarios y contraseñas, y se instruye al personal para su uso correcto.  

CA.1-12: Los tokens o credenciales utilizadas para el acceso (por ejemplo, SAML assertions, JWTs) se validan en cada acceso y su integridad es verificada. 

CA.1-4: Los accesos a aplicaciones se realizan utilizando mecanismos de autenticación seguros. 

CA.1-7: Se identifican los casos que requieren autenticación fuerte y se determinan los controles requeridos. 

CA.1-8: Las credenciales de autenticación (contraseñas, certificados, tokens) están protegidas en reposo y en tránsito mediante mecanismos criptográficos robustos. 

CA.1-12: Los tokens o credenciales utilizadas para el acceso (por ejemplo, SAML assertions, JWTs) se validan en cada acceso y su integridad es verificada. 

CA.2-1: La revisión de privilegios se realiza en forma reactiva frente a un cambio o baja, al menos para los sistemas críticos.  

CA.6-1: Los derechos de acceso son autorizados. 

PD.5-1: Se han restringido los accesos a los datos personales mediante usuarios nominados y aplicando el principio de mínimo privilegio. 

CA.2-2: Está establecida la periodicidad con la que se realizan las revisiones de los privilegios y la validez de las cuentas asociadas.  

CA.2-3: Están definidos los responsables de la revisión de privilegios y de la validez de las cuentas en cada sistema.  

CA.2-4: Se mantiene un inventario de usuarios con permisos y privilegios elevados, validando también la vigencia de las cuentas.  

CA.6-3: Se aplica el principio de menor privilegio para la asignación de permisos.  

CA.6-4: Las autorizaciones de derechos de acceso son registradas. 

SC.12-5: Se revisan periódicamente los registros de acceso para verificar que no existan conexiones desde servicios de Webmail externos no autorizados. 

CA.2-5: Existe una política de control de acceso lógico donde se estipula la revisión de privilegios periódicamente a todos los usuarios y en todos los sistemas.  

CA.2-6: Existen y se aplican procedimientos formales de revisión de permisos que abarcan todo el ciclo de vida (alta, baja y modificación) de los usuarios, incluyendo los privilegiados.  

CA.2-7: Se realizan revisiones de los derechos de acceso de los usuarios y se cuenta con registro de tales acciones.  

CA.2-8: Se documentan los resultados de cada revisión y se comunican al RSI, a las gerencias y demás partes interesadas. 

CA.6-8: La política de acceso lógico incluye el uso de usuarios privilegiados.  

CA.6-9: El acceso a los activos de información identificados como críticos debe requerir autenticación con múltiple factor (MFA).  

OR.6-9: Los proveedores tienen permisos de acceso remoto que caducan luego de realizada la actividad (o de una fecha establecida) para la cual se les otorgó el acceso. 

GH.2-1: Se realizan actividades propias de difusión de información relacionada con seguridad de la información, como la difusión de las políticas y mecanismos de protección. 

GH.2-2: Se elaboran campañas de concientización y/o formación para el personal. 

GH.2-3: Las campañas de concientización son aprobadas y se les definen los indicadores de cumplimiento.  
GH.2-4: Se planifica un cronograma para la realización de las campañas.  
GH.2-5: Se define un plan de capacitación y entrenamiento en seguridad de la información para todo el personal.  
GH.2-6: Se elabora y/o obtiene el material educativo necesario para la realización de las campañas de concientización. 

CA.3-1: Se identifican los datos históricos y respaldos que deben ser protegidos mediante mecanismos seguros. 

CA.4-1: La organización identifica los sistemas y procesos que requieren firma electrónica avanzada. 

CA.4-2: Los sistemas con firma electrónica utilizados por la organización soportan el uso de certificados electrónicos X.509v3 emitidos por prestadores acreditados ante la UCE.  

CA.4-3: Se utilizan protocolos seguros y actualizados, evitando tecnologías criptográficas obsoletas o vulnerables.  

GA.4-1: Se realiza difusión sobre la importancia de la protección y uso seguro de los medios extraíbles. 

PD.5-2: Se han implementado medidas para restringir el acceso no autorizado a documentos físicos que contienen datos personales. 

PD.6-1: El acceso a datos personales está limitado únicamente a las personas que realizan tareas directamente asociadas con la finalidad específica para la cual dichos datos fueron recabados. 

CA.3-2: Los respaldos y/o datos históricos fuera de línea se almacenan en forma cifrada. 

CA.4-6: La solución incorpora medidas de detección de firmas alteradas o invalidadas, incluyendo trazabilidad del error. 

GA.4-3: Se encuentran elaboradas y difundidas las pautas para el uso seguro de los medios de almacenamiento externos. 

PD.5-3: Se implementan medidas técnicas y organizativas necesarias para preservar la integridad, confidencialidad y disponibilidad de la información, garantizando así la seguridad de los datos personales.  

CA.3-3: Se documentan los mecanismos criptográficos implementados.  

CA.3-4: Está definida una política de uso de controles criptográficos.  

CA.3-5: Se determinan los responsables de la generación de las claves que abarca todo su ciclo de vida.  

CA.4-7: La organización documenta un procedimiento técnico y funcional para la implementación de firma electrónica avanzada. 

GA.4-5: Están definidas acciones específicas en caso de hurto, pérdida o daño del medio, y se difunde el procedimiento a todos los interesados. 

GA.4-6: Se encuentra establecida formalmente la política y el procedimiento de gestión de medios de almacenamiento externos. 

PD.5-5: Se mantienen registros que permiten auditar el acceso a datos personales sensibles. Dichos registros permiten identificar quién accedió, en qué momento y a qué tipo de información.  

CA.4-1: La organización identifica los sistemas y procesos que requieren firma electrónica avanzada. 

CA.4-2: Los sistemas con firma electrónica utilizados por la organización soportan el uso de certificados electrónicos X.509v3 emitidos por prestadores acreditados ante la UCE.  

CA.4-4: Deben utilizarse los estándares de codificación de firmas propios de los tipos de documentos firmados (XADES, PDFSignature, etc.).  

CA.4-5: Se debe hacer la validación de certificados a través de OCSP (Online Certificate Status Protocol), CRL (Certificate Revocation List) o equivalente. 

PD.6-1: El acceso a datos personales está limitado únicamente a las personas que realizan tareas directamente asociadas con la finalidad específica para la cual dichos datos fueron recabados.  

SC.12-1: El servicio de Webmail de la organización se implementa exclusivamente sobre el protocolo HTTPS. 

SC.12-3: Los certificados digitales utilizados para el servicio de Webmail son válidos, vigentes y emitidos por una Autoridad Certificadora de confianza. 

SC.14-1: Se implementan controles criptográficos para proteger los datos en tránsito. 

CA.4-6: La solución incorpora medidas de detección de firmas alteradas o invalidadas, incluyendo trazabilidad del error. 

OR.6-4: Se implementa el múltiple factor de autenticación para el acceso remoto.  

PD.5-3: Se implementan medidas técnicas y organizativas necesarias para preservar la integridad, confidencialidad y disponibilidad de la información, garantizando así la seguridad de los datos personales.  

SC.6-4: Todos los proveedores que deban acceder a información confidencial de la organización deben tener firmado un acuerdo de no divulgación.  

SC.12-4: Las configuraciones del servicio de Webmail bloquean el uso de protocolos inseguros o versiones obsoletas de TLS/SSL. 

SC.14-2: Los datos en tránsito de todas las aplicaciones y sistemas se encuentran protegidos mediante un mismo conjunto reducido de tecnologías y prácticas criptográficas. 

CA.3-3: Se documentan los mecanismos criptográficos implementados. 

CA.3-4: Está definida una política de uso de controles criptográficos.  

CA.3-5: Se determinan los responsables de la generación de las claves que abarca todo su ciclo de vida.  

CA.4-7: La organización documenta un procedimiento técnico y funcional para la implementación de firma electrónica avanzada.  

CA.4-8: Los sistemas deben soportar el uso de dispositivos criptográficos dedicados en todos los casos de uso de todos los prestadores de Firma Electrónica Avanzada acreditados por la UCE.  

CA.4-9: La firma digital está embebida en todos los procesos de la organización que la requieren, de modo que los usuarios pueden firmar o validar firmas en el contexto de cada sistema.  

OR.6-7: Existe un responsable para la asignación de permisos de acceso remoto.  

OR.6-8: Esta definida una política de control de acceso remoto. 

SC.12-7: Cuando corresponda según la clasificación de la información transmitida vía email, se utiliza cifrado a nivel de mensaje (por ejemplo, S/MIME o PGP, etc). 

SC.14-3: La organización cuenta con procedimientos documentados para la transferencia segura de información física y electrónica.  

SC.14-4: Los procedimientos para la transferencia de información establecen medidas de seguridad diferenciadas según el nivel de sensibilidad de los datos involucrados. 

SC.14-5: Se realizan acuerdos formales con terceras partes que establecen responsabilidades y medidas de seguridad para la transferencia de información. 

GA.3-1: Existen pautas del uso aceptable de los activos de la información. 

GA.3-2: Toda persona que acceda a activos de información debe aceptar formalmente, previo al acceso, las condiciones de uso establecidas por la organización. 

SC.12-2: El acceso al Webmail institucional está restringido únicamente al servicio provisto por la organización, prohibiendo el acceso a cuentas institucionales desde Webmail externos. 

GA.3-3: Se debe restringir el almacenamiento de información sensible en activos que no cuenten con controles adecuados; en caso de ser necesario, se deben aplicar mecanismos de protección como cifrado o control de acceso con MFA. 

OR.5-5: Los dispositivos de la organización cumplen con requisitos de seguridad como: antivirus, cifrado de disco, bloqueo, versión mínima de sistema operativo. 

SF.4-5: Los dispositivos de usuario final están configurados para bloquear automáticamente la sesión tras un máximo de 15 minutos, o menos, de inactividad.  

SF.4-6: Se implementa el cierre automático de sesión después de 30 minutos sin actividad, o menos, en los dispositivos de usuario final. 

GA.3-5: Está definida formalmente la política sobre el uso adecuado de los activos de la información de la organización. 

GA.3-7: Se realiza un control periódico de los activos que contienen o procesan información sensible. 

OR.5-2: Estos activos cuentan con al menos un factor de autenticación para acceder a la información. 

OR.5-3: Existen pautas que regulan el uso de los dispositivos móviles. 

SO.2-1: Se han establecido mecanismos para comunicar los cambios en el ámbito tecnológico a las partes interesadas. 

SO.2-2: Los cambios tecnológicos son previamente autorizados por los responsables de los activos. 

GA.3-4: Se aplican restricciones técnicas o administrativas que limitan acciones no autorizadas sobre los activos, como la instalación de software no autorizado o el cambio de configuraciones críticas. 

OR.5-4: Las pautas de uso son comunicadas al personal y partes interesadas.  

SO.2-3: Se definen el versionado, las líneas base de configuración y los lineamientos de hardenizado de los productos de software.  

SO.2-4: Los cambios de configuración sobre infraestructura crítica requieren validación previa mediante pruebas en ambientes controlados. 

OR.5-8: Existe una política formalmente aprobada de uso aceptable de dispositivos móviles.  

SO.2-5: Está definida una política de gestión de cambios, la misma contempla los cambios de emergencia en el ámbito tecnológico. 

SO.2-6: Está establecido y documentado un procedimiento para la gestión de los cambios. 

SO.2-7: Los cambios se registran y se les asocia una justificación y responsable. 

GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia. 

CN.4-2: Se han definido responsables para la gestión del ciclo de vida del licenciamiento, incluyendo adquisición, asignación, renovación y baja. GA.1-6: Se debe llevar un control actualizado del licenciamiento del software instalado, incluyendo información sobre tipo de licencia, vigencia y uso asignado. 

GR.2-6: Los incidentes de seguridad de la información y ciberseguridad son tenidos en cuenta para la evaluación de riesgos. 

GA.5-1: Están definidas las pautas para la disposición final y borrado seguro de medios de almacenamiento. 

GA.5-2: Está difundida la importancia de la eliminación de medios de almacenamientos que ya no serán utilizados. 

GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia.  

SF.5-1: Se gestiona y/o realiza el mantenimiento sobre los activos del centro de procesamiento de datos. 

SF.5-2: Se aprueba el alta y baja de los usuarios que realizan mantenimiento de forma remota a los activos informáticos del centro de procesamiento de datos. 

GA.5-3: Están definidos responsables o ubicaciones específicas para la eliminación segura de medios de almacenamiento. 

GA.5-4: Están establecidos los criterios para determinar cuándo corresponde la destrucción lógica y/o física de la información. 

SF.5-3: Se establecen planes de mantenimiento para las dependencias de los componentes críticos. 

SF.5-4: Se establecen los planes anuales de mantenimiento. 

SF.5-5: Se gestiona el acceso a los usuarios autorizados para realizar las tareas de mantenimiento programado. 

GA.5-5: Está definida formalmente una política de destrucción de la información. 

GA.5-6: Está definido formalmente un procedimiento de destrucción de la información. 

GA.5-7: Se registran las actividades de destrucción de la información, incluyendo fecha, tipo de medio, método aplicado y personal. 

GA.5-8: Se verifica la efectividad de los métodos de destrucción utilizados. 

SF.5-6: El RSI realiza la gestión de aprobación de los usuarios para conexión remota a los sistemas y activos de la organización, cumpliendo con el plan anual de mantenimiento.  

SF.5-7: Existe una política y/o procedimiento documentado de mantenimiento (criterios de prioridad, coordinación con operación, pruebas de validación y comunicación de resultados). 

SO.7-1: Están configurados los registros de auditoría y eventos para todos los sistemas definidos como críticos. 

SO.7-4: Se cuenta con herramientas para la centralización de logs. 

SO.7-5: Los registros están protegidos contra accesos no autorizados y posibles alteraciones. 

SO.7-10: Se establecen los requisitos de retención de los registros de auditoría. 

SO.7-11: Los relojes de todos los sistemas deben estar sincronizados (servidores, aplicaciones, etc.) 

SO.7-12: Se tiene en cuenta los requisitos de confidencialidad de la información y protección de la privacidad de los datos contenidos en los registros. 

SO.7-13: Se define una política de auditoría y registro de eventos, como por ej. de los sistemas y redes y de configuración y uso de WAF. 

SO.7-14: Están establecidos procedimientos de auditoría y registro de eventos. 

SO.8-1: Están definidas las pautas para la instalación de software. 

SO.8-2: Las pautas de instalación de software fueron difundidas al personal. 

SO.8-3: La posibilidad de instalar software en los equipos queda restringida a los usuarios que se encuentran autorizados para ese fin. 

SO.8-4: Se asegura una estricta segregación entre las utilidades del sistema y el software de aplicaciones, limitando el acceso a las utilidades del sistema. 

SO.8-5: Existen listas de software autorizados, las que son revisadas y aprobadas por el RSI. 

CA.6-1: Los derechos de acceso son autorizados. 

OR.6-1: Están definidos requisitos de seguridad mínimos para los dispositivos que se utilicen para acceder remotamente a los activos de la organización.   

SC.13-1: La red se encuentra segmentada al menos en redes con contacto directo con redes externas (por ejemplo, Internet) y redes privadas de la organización.  

SC.13-2: Están identificados y documentados los principales servicios de red utilizados por la organización. 

SC.13-3: Se mantiene un inventario actualizado de las interconexiones con otras entidades. 

SO.4-1: El entorno de producción se encuentra separado del resto de los entornos. 

OR.6-2: Se registra cada conexión remota como mínimo: hora, fecha, usuario, activo, etc.  

OR.6-3: Se otorga el acceso remoto con base en una lista blanca de todos los recursos disponibles.  

OR.6-5: Se requiere la aprobación explícita del responsable del activo antes de habilitar el acceso remoto.  

SC.13-4: Se segmenta la red en función de las necesidades de la organización.  

SC.13-5: Se genera una postura de manejo de tráfico por defecto entre segmentos.  

SO.4-2: Se cuenta con plataformas adecuadas e independientes que soportan el ciclo de vida de desarrollo de los sistemas.  

SO.4-3: Se implementan controles para el pasaje entre los ambientes. 

CA.6-5: Se define un procedimiento de acceso lógico a redes, recursos y sistemas de información.  

CA.6-6: Se define una política de acceso lógico a redes, recursos y sistemas de información.  

CA.6-7: Las medidas implementadas para el acceso están directamente asociadas al análisis de riesgos sobre el acceso a la información.   

OR.6-6: Existe un procedimiento documentado de solicitud de acceso remoto.  

OR.6-10: Al menos en forma administrativa se centraliza el acceso remoto.  

SC.13-10: Se conoce y se analiza el tráfico en los diferentes segmentos de la red. 

SC.13-11: Las comunicaciones entrantes y salientes entre los diferentes segmentos son protegidas. 

SO.4-5: Se encuentra definida una política de separación de entornos.  

SO.4-6: Está establecido y documentado un procedimiento de gestión de ambientes.  

SO.4-7: Están definidos los responsables para la gestión de los ambientes existentes y de los pasajes a producción. 

SF.2-1: Están identificados los riesgos ambientales que pueden afectar al centro de datos.  

SF.2-2: Existen medidas de control del medio ambiente físico en los centros de datos. 

SF.2-3: Están instalados sistemas de detección y extinción de incendios con mantenimiento periódico.  

SF.2-4: Se implementan herramientas automatizadas que apoyan el monitoreo de los controles relacionados al medio ambiente físico.  

SF.2-5: Está implementado un sistema de climatización que regula la temperatura y humedad. 

SF.2-6: Existe una política de seguridad del equipamiento que incluye medidas ambientales.  

SF.2-7: Se cuenta con un procedimiento documentado de monitoreo de los controles ambientales. Incluye el uso de herramientas automatizadas. 

CO.1-1: El centro de datos cuenta con UPS y componentes redundantes en lo que refiere a conexión eléctrica.   
CO.1-2: El centro de datos cuenta con componentes redundantes de acondicionamiento térmico. 
CO.2-1: El centro de datos cuenta con componentes redundantes en lo que refiere a infraestructura de comunicaciones. 

CO.1-3: El centro de datos cuenta con generador eléctrico capaz de alimentar a todos los componentes críticos.  
CO.1-4: Los sistemas de climatización del centro de datos están alimentados por líneas de energía respaldadas por el generador eléctrico.  
CO.2-2: La organización dispone de conectividad a internet a través de múltiples enlaces o proveedores.  
CO.2-3: Los equipos de red críticos del centro de datos están configurados con mecanismos de detección automática de fallos. 

CO.1-5: El sistema de climatización está configurado para operar de forma continua 24/7 y contempla mecanismos automáticos de failover ante fallas.   
CO.1-6: Se realizan pruebas periódicas de funcionamiento de los mecanismos automáticos de failover en los sistemas de climatización. 
CO.2-4: La arquitectura de red del centro de datos, incluyendo su esquema de redundancia, está documentada y actualizada. 
CO.2-5: Se realizan pruebas periódicas de conmutación automática de enlaces o equipos de red redundantes, y se registran sus resultados.