Puntos De Implementación

1. Actualizaciones que se han realizado al sistema operativo que soporta al aplicativo (Windows Server 2003)

2. Documento de software antivirus

3. Documento de administración del firewall

4. Documento de gestión para las cuentas de administrador

5. Documento de administración de los protocolos de red

6. Documento de planeación de la capacidad anual (Actualizaciones semestrales)

7. Reportes de capacidad técnica de los servicios e infraestructura

8. Minutas de reunión donde se discutan los reportes de capacidad técnica del punto numero 7

9. Informes de aceptación, autorizados, luego de haber evaluado las minutas del punto numero 8

10. Inventario del equipo que se encuentra en el centro de datos. Que información contiene o gestiona cada uno de ellos

11. Documento de Destrucción de Medios

12. Actas de Destrucción de Medios

13. Logs del protocolo NTP

14. Escaneo de puertos de la arquitectura de red en las instalaciones de RedIT. EO punto 18.

15. Incluir en el archivo DEC-BCAL-001, las altas de usuarios que ingresaron a la compañía desde su existencia

16. Escanear las cartas responsivas de usuario y colocar los archivos digitalizados dentro de la carpeta de “evidencia”. Para aquellos empleados que hayan sido baja, completar el apartado de salida con la firma de cada uno de ellos

17. Replantear, dividir o agregar, según corresponda, el documento de control de acceso lógico, para que este contemple las altas de usuario del servicio y las altas de usuario de los empleados de DECONTI

18. Validar si es más viable separar las altas de las bajas de usuario y las políticas de acceso a los sistemas.

19. 19.6 realizar minutas u oficios en los que se demuestre la revisión de las políticas y documentos relacionados con el control de acceso.

20. Incluir en el documento de control de acceso lógico, la periodicidad de las revisiones que se efectuaran a dicho documento.

21. Conforme al punto 19.7, desarrollar o estandarizar un formato para minutas que indiquen que se revisaron las claves de acceso de los usuarios.

22. 19.8 Evidencia de las restricciones en el código del sistema donde se ha limitado el empleo como mínimo de 8 caracteres para la creación de cuentas de usuario.

23. 19.9 Incluir un bullet en el documento de control de acceso lógico que indique que, la construcción de las claves de acceso de los usuarios, no permite que sea la misma que el nombre del usuario o que contenga un espacio en blanco.

24. Dividir los documentos de creación de cuentas para los usuarios del servicio y la creación de cuentas para los usuarios de DECONTI

25. 20.4 Printscreen de la configuración donde se muestra la regla que obliga a los usuarios a cambiar la contraseña tras el primer inicio de sesión en el sistema.

26. 20.7 Printscreen de la configuración donde se muestra la regla que demuestra que no se permite usar las tres últimas contraseñas del histórico del usuario.

a. Cambiar o adecuar la redacción, en general, del texto que explica el manejo de contraseñas, para hacerlo entendible y coherente con el mensaje que se desea transmitir.

27. 21.1 y 21.2 Completar de acuerdo al formato del SAT, el “Reporte de Análisis y Controles de TI”

a. Imprimir el reporte completo y darlo a firmar. Escanearlo y anexarlo a la documentación.

28. 21.1 Adecuar el “Procedimiento de Administración de Riesgos”

29. 22.1 Incluir el seguimiento a súper usuarios en el “Procedimiento de las Pistas de Auditoría”

30. 22.1 EO. Conseguir o generar las pistas de auditoria para cada movimiento registrado desde 2011 a la fecha

31. 22.5 Printscreen de la configuración que limita solo al o los súper usuarios el uso de las pistas de auditoría

32. 22.6 EO Crear un espacio que respalde las pistas de auditoria por más de 6 meses

33. 22.8 Completar la evidencia para este punto. Ser más claros con el D&I y con la EO

34. Documento de encriptación de contraseñas y de la información sensible así como de los medio en los que se almacenan.

35. 23.3 Configurar para todos los medios removibles y equipos portátiles, las contraseñas o métodos de encriptación necesarios que cumplan con este punto (BIOS, contraseña inicio de sesión, protección disco duro, etc.). Considerar incluir a los respaldos.

36. 23.3 Implementar el procedimiento de Microsoft para encriptado de carpetas (El manual se encuentra en Firefox agregado en el marcador que corresponde a este punto)

37. 23.1 EO. Conseguir la evidencia que soporte como las contraseñas se han encriptado, mediante que herramienta

38. 23.2 EO. Conseguir evidencia que soporte que la información clasificada como altamente sensible, ha sido encriptada. En un documento, para el D&I, explicar o definir como se ha realizado la clasificación de la información

39. 23.3 EO Conseguir evidencia que soporte que se han encriptado los medios removibles y los equipos portátiles que contengan información clasificada o reservada.

40. 24.1 Incluir en el “Documento de Acceso Lógico” (Punto 19.1) los requerimientos de este punto para su D&I. Administración de llaves de encriptación y passphrases, solo personal autorizado tiene acceso a las mismas

41. 24.2 Incluir en el “Documento de Acceso Lógico” los requerimientos de este punto para su D&I. Registro de los hashes de control de llaves, certificados y elementos de criptografía.

42. 24.2 EO. Bitácora de accesos lógicos. Todos los que se hayan generado.

43. 24.3 D&I. Incluir en el “Documento de Acceso Lógico” un lineamiento acerca de que por cada error que se produzca, se levanta un ticket para su seguimiento.

44. 24.3 EO. Generar los tickets descritos en el punto numero 43

45. 24.4 Investigar si este punto se gestiona en RedIT o no. Si no, desarrollar la documentación necesaria para cubrir el D&I y la EO de esta sección.

46. Completar el punto 24.3 con los requerimientos del punto 24.5 (Evaluar si no es más conveniente tener un procedimiento por separado para el punto 24)

47. 24.8Investigar si este punto se gestiona en RedIT. Si no, desarrollar la documentación necesaria para cubrir el D&I y la EO de esta sección.

48. 24.9 – 24.11. Investigar si la gestión de estos controles le compete a RedIT

49. 24.1 EO. Demostrar como los accesos a los elementos criptográficos están segregados y, como en el sistema, se ha implementado esta segregación.

50. 24.2 EO. Desarrollar una bitácora donde se especifiquen los parámetros que se revisaron. Posterior a ello, elaborar minutas en donde se aclare el periodo de revisión,

...