Seccin

Objetivo

A.5

Polticas de seguridad de la informacin

A.5.1

Directrices de gestin de la seguridad de la

informacin

A.6

Organizacin de la seguridad de la informacin

A.6.1

Organizacin interna

A.6.2 Los dispositivos mviles y el teletrabajo

A.7

Seguridad relativa a los recursos humanos

A.7.1 Antes del empleo

A.7.2 Durante el empleo

A.7.3

Finalizacin del empleo o cambio en el puesto de

trabajo

A.8

Gestin de activos

A.8.1

Responsabilidad sobre los activos

A.8.2 Clasificacin de la informacin

A.8.2 Clasificacin de la informacin

A.8.3 Manipulacin de los soportes

A.9

Control de acceso

A.9.1 Requisitos de negocio para el control de acceso

A.9.2

Gestin de acceso de usuario

A.9.3 Responsabilidades del usuario

A.9.4 Control de acceso a sistemas y aplicaciones

A.10 Criptografa

A.10.1

Controles criptogrficos

A.11 Seguridad fsica y del entorno

A.11.1

A.11.2

reas seguras

Seguridad de los equipos

A.12 Seguridad de las operaciones

A.12.1

Procedimientos y responsabilidades operacionales

A.12.2

Proteccin contra el software malicioso (malware)

A.12.3

Copias de seguridad

A.12.4

Registros (logs) y supervisin

A.12.5

Control del software en explotacin

A.12.6

Gestin de la vulnerabilidad tcnica

A.12.7

Consideraciones sobre la auditora de sistemas de

informacin

A.13 Seguridad de las comunicaciones

A.13.1

Gestin de la seguridad de redes

A.13.2

Intercambio de informacin

A.14 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

A.14.1

A.14.2

A.14.3

Requisitos de seguridad en sistemas de informacin

Seguridad en el desarrollo y en los procesos de

soporte

Datos de prueba

A.15 Relacin con proveedores

A.15.1

Seguridad en las relaciones con proveedores

A.15.1

Seguridad en las relaciones con proveedores

A.15.2

Gestin de la provisin de servicios del proveedor

A.16

Gestin de incidentes de seguridad de la informacin

A.16.1

Gestin de incidentes de seguridad de la informacin

y mejoras

A.17 Aspectos de seguridad de la informacin para la gestin de la continuidad del negocio

A.17.1

Continuidad de la seguridad de la informacin

A.17.2

Redundancias

A.18 Cumplimiento

A.18.1

A.18.2

Cumplimiento de los requisitos legales y contractuales

Revisiones de la seguridad de la informacin

Control

5.1.1 Polticas para la seguridad de la informacin

Aplicabilidad

Aplicar

5.1.2 Revisin de las polticas para la seguridad de la

Aplicar
informacin

macin
6.1.1 Roles y responsabilidades en seguridad de la
informacin

Aplicar

6.1.2 Segregacin de tareas

Aplicado

6.1.3 Contacto con las autoridades

No aplicar

6.1.4 Contacto con grupos de inters especial

Aplicado

6.1.5 Seguridad de la informacin en la gestin de

proyectos

Aplicar

6.2.1 Poltica de dispositivos mviles

Aplicar

6.2.2 Teletrabajo

No aplicar

nos
7.1.1 Investigacin de antecedentes

Aplicado

7.1.2 Trminos y condiciones del empleo

Aplicado

7.2.1 Responsabilidades de la Gerencia

Aplicar

7.2.2 Concienciacin, educacin y capacitacin en

seguridad de la informacin

Aplicar

7.2.3 Proceso disciplinario

Aplicar

7.3.1 Responsabilidades ante la finalizacin o cambio Aplicar

8.1.1 Inventario de activos

Aplicar

8.1.2 Propiedad de los activos

Aplicar

8.1.3 Uso aceptable de los activos

Aplicar

8.1.4 Devolucin de activos

Aplicado

8.2.1 Clasificacin de la informacin

Aplicar

8.2.2 Etiquetado de la informacin

Aplicar

8.2.2 Etiquetado de la informacin

Aplicar

8.2.3 Manipulado de la informacin

Aplicar

8.3.1 Gestin de los medios removibles

8.3.2 Eliminacin de soportes
8.3.3 Soportes fsicos en trnsito

Aplicar
Aplicado
Aplicar

9.1.1 Poltica de control de acceso

Aplicado

9.1.2 Acceso a las redes y a los servicios de red

Aplicado

9.2.1 Registro y baja de usuario

Aplicar

9.2.2 Provisin de acceso de usuario

Aplicado

9.2.3 Gestin de privilegios de acceso

Aplicado

9.2.4 Gestin de la informacin secreta de

autenticacin de los usuarios

Aplicar

9.2.5 Revisin de los derechos de acceso de usuario

Aplicado

9.2.6 Retirada o reasignacin de los derechos de

acceso

Aplicado

9.3.1 Uso de la informacin secreta de autenticacin Aplicar

9.4.1 Restriccin del acceso a la informacin

Aplicado

9.4.2 Procedimientos seguros de inicio de sesin

Aplicado

9.4.3 Sistema de gestin de contraseas

Aplicar

9.4.4 Uso de utilidades con privilegios del sistema

Aplicado

9.4.5 Control de acceso al cdigo fuente de los

programas

Aplicado

10.1.1 Poltica de uso de los controles criptogrficos

Aplica

10.1.2 Gestin de claves

Aplica

11.1.1 Permetro de seguridad fsica

Aplicar

11.1.2 Controles fsicos de los ingresos

Aplicar

11.1.3 Seguridad de oficinas, despachos y recursos

Aplicado

11.1.4 Proteccin contra las amenazas externas y

ambientales

Aplicar

11.1.5 El trabajo en reas seguras

Aplicado

11.1.6 reas de carga y descarga

No Aplicado

11.2.1 Ubicacin y proteccin de equipos

Aplicado

11.2.2 Instalaciones de suministro

Aplicado

11.2.3 Seguridad del cableado

Aplicado

11.2.4 Mantenimiento de los equipos

Aplicado

11.2.5 Retiro de activos

Aplicado

11.2.6 Seguridad de los equipos fuera de las

instalaciones

Aplicado

11.2.7 Reutilizacin o eliminacin segura de equipos Aplicado

11.2.8 Equipo de usuario desatendido

Aplicar

11.2.9 Poltica de puesto de trabajo despejado y

pantalla limpia

Aplicar

12.1.1 Documentacin de procedimientos de la

operacin

Aplicar

12.1.2 Gestin de cambios

Aplicar

12.1.3 Gestin de capacidades

No Aplicar

12.1.4 Separacin de los recursos de desarrollo,

prueba y operacin

Aplicar

11.2.1 Controles contra el cdigo malicioso

Aplicado

12.3.1 Copias de seguridad de la informacin

Aplicado

12.4.1 Registro (logs) de eventos

Aplicado

12.4.2 Proteccin de la informacin de registro (logs) Aplicado

12.4.3 Registros (logs) de administracin y operacin Aplicado

12.4.4 Sincronizacin del reloj

Aplicado

12.4.4 Sincronizacin del reloj

Aplicado

12.5.1 Instalacin del software en los sistemas

operacionales.

Aplicado

12.6.1 Gestin de las vulnerabilidades tcnicas

Aplicado

12.6.2 Restriccin en la instalacin de software

Aplicado

12.7.1 Controles de auditora de sistemas de

informacin

No aplicar

13.1.1 Controles de red

Aplicado

13.1.2 Seguridad de los servicios de red

Aplicado

13.1.3 Segregacin en redes

Aplicado

13.2.1 Polticas y procedimientos de intercambio de

informacin

Aplicado

13.2.2 Acuerdos de intercambio de informacin

No Aplicado

13.2.3 Mensajera electrnica

Aplicado

13.2.4 Acuerdos de confidencialidad o no revelacin

Aplicado

o de los sistemas de informacin

14.1.1 Anlisis de requisitos y especificaciones de
seguridad de la informacin

Aplicar

14.1.2 Asegurar los servicios de aplicaciones en redes

pblicas

Aplicar

14.1.3 Proteccin de las transacciones de servicios de

aplicaciones

Aplicar

14.2.1 Poltica de desarrollo seguro

Aplicar

14.2.2 Procedimiento de control de cambios en

sistemas

Aplicado

14.2.3 Revisin tcnica de las aplicaciones tras

efectuar cambios en el sistema operativo

Aplicado

14.2.4 Restricciones a los cambios en los paquetes de

Aplicado
software

14.2.5 Principios de ingeniera de sistemas seguros

Aplicar

14.2.6 Entorno de desarrollo seguro

Aplicado

14.2.7 Externalizacin del desarrollo de software

Aplicado

14.2.8 Pruebas funcionales de seguridad de sistemas

No aplicar

14.2.9 Pruebas de aceptacin de sistemas

Aplicado

14.3.1 Proteccin de los datos de prueba

Aplicado

15.1.1 Poltica de seguridad de la informacin en

relaciones con los proveedores

No Aplicar

15.1.2 Requisitos de seguridad en contratos con

terceros

Aplicado

15.1.3 Cadena de suministro de tecnologa de la

informacin y de las comunicaciones

No aplicar

15.2.1 Control y revisin de la provisin de servicios

No aplicar
del proveedor

15.2.2 Gestin de cambios en la provisin del servicio

Aplicado
del proveedor

la informacin
16.1.1 Responsabilidades y procedimientos

Aplicar

16.1.2 Notificacin de los eventos de seguridad de la

informacin

Aplicado

16.1.3 Notificacin de puntos dbiles de la seguridad Aplicado

16.1.4 Evaluacin y decisin sobre los eventos de
seguridad de la informacin

Aplicado

16.1.5 Respuesta a incidentes de seguridad de la

informacin

Aplicado

16.1.6 Aprendizaje de los incidentes de seguridad de

la informacin

Aplicado

16.1.7 Recopilacin de evidencias

Aplicado

n para la gestin de la continuidad del negocio

17.1.1 Planificacin de la continuidad de la seguridad
Aplicar
de la informacin
17.1.2 Implementar la continuidad de la seguridad de
Aplicar
la informacin
17.1.3 Verificacin, revisin y evaluacin de la
continuidad de la seguridad de la informacin

Aplicar

17.2.1 Disponibilidad de los recursos de tratamiento

de la informacin

No aplicar

18.1.1 Identificacin de la legislacin aplicable y de

los requisitos contractuales

Aplicado

18.1.2 Derechos de propiedad intelectual (DPI)

Aplicado

18.1.3 Proteccin de los registros de la organizacin

Aplicado

18.1.4 Proteccin y privacidad de la informacin de

carcter personal

Aplicado

18.1.5 Regulacin de los controles criptogrficos

Aplicado

18.2.1 Revisin independiente de la seguridad de la

informacin

Aplicar

18.2.2 Cumplimiento de las polticas y normas de

seguridad

Aplicar

18.2.3 Comprobacin del cumplimiento tcnico

Aplicado

Lo que normalmente ocurre, es que producto de una investigacin o hallazgo se deduce que un usuario
tena privilegios que impactaban en el criterio de segregacin de funciones, pero no se pasa a investigar si
haba ms usuarios en la misma situacin, con las mismas transacciones o con otras.

La segregacin de funciones es una caracterstica de control interno que busca no permitir que un usuario
pueda iniciar, procesar, finalizar y hasta eliminar sus acciones, sin la necesidad de que un segundo o
tercero intervengan a manera de control. Por ejemplo, el proceso de adquisicin de bienes debera de
segregar las funciones siguientes: la requisicin o solicitud, la recepcin de bienes yla autorizacin del
pago del bien. Si permitimos que estas actividades sean desarrolladas por una misma persona, esta podra
autorizar pagos, para bienes que no se han recibido o ni siquiera solicitado, montando un esquema de
fraude para la empresa. Este tipo de casos, por la misma naturaleza humana, pasan en todas las
organizaciones, grandes o pequeas, llevando a vacos de control. Por supuesto, el problema se aborda de
manera diferente de acuerdo al tamao de la organizacin. Estas funciones podran no estar separadas en
una empresa pequea, pero precisamente por la caracterstica de ser pequea, es fcil para los
propietarios, realizar una revisin total de todas las operaciones e identificar si se ha cometido algn tipo
de error. En organizaciones grandes, la segregacin de funciones es un poco ms difcil de implementar,
pero ms necesaria. No solo problemas de fraude se pueden dar por falta de una adecuada segregacin de
funciones. Por ejemplo, producto de la gran cantidad de transacciones realizadas por la misma persona se
puede dar el cruce de pagos, procesando el pago de una factura similar, tal vez del mismo proveedor y con
productos similares, en lugar de otra. Con esto concluimos, que tambin hay situaciones de control interno
que requieren de la Segregacin de Funciones como mecanismo de control.

Es importante, al momento de auditar la Segregacin de Funciones, identificar el nivel de segregacin de

funciones que se ha diseado, para conocer si la administracin esta conscientemente organizando este
control. La mejor evidencia, es la matriz de segregacin de funciones, que establece a priori las
operaciones que no se permite sean realizadas por la misma persona. Establecida esta fuente de
informacin, se procede a verificar que efectivamente se est cumpliendo con el diseo de segregacin de
funciones objetivo. Si la organizacin es grande, se tendr que pasar toda la informacin a una base de
datos, en la cual se buscarn personas que cumplan con el criterio de tener privilegios para las operaciones
excluyentes. En estos casos, la principal labor del auditor es la identificacin de las fuentes de informacin
para crear la base de datos. Este tipo de labores hace de la tarea de auditar sistemas una actividad
retadora, debido a que no siempre la informacin est disponible de la mejor manera para ser procesada.
Si el sistema utilizado no asigna privilegios a nivel de transacciones, probablemente habr que crear la
base de datos a partir de los histricos que indiquen quin hizo cada transaccin, es decir, el usuario que
hizo las solicitudes de bienes, el usuario que hizo las recepciones y el usuario que autoriz los pagos. Al
menos este mnimo de pistas de auditora debe de existir en el sistema de una organizacin grande, para
tener recursos para realizar el anlisis. Definitivamente, esto exige gran creatividad de parte de quin
audita los sistemas.

http://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$FILE/Enfoq
http://upcommons.upc.edu/bitstream/handle/2099.1/11731/PFC.JesusCollado.F1.pdf

_TI/$FILE/Enfoque_basado_en_riesgos_para_la_segregacion_de_funciones.pdf

https://iso27002.wiki.zoho.com/6-1-7-Contacto-con-Grupos-de-Inter%C3%A9s-Especial.
https://iso27002.wiki.zoho.com/13-2-1-Identificaci%C3%B3n-de-responsabilidades-y-pro

nter%C3%A9s-Especial.html
-responsabilidades-y-procedimientos.html