No est� definido o existe un proceso o mecanismo que garantice la emisión

No está definido o existe un proceso o mecanismo que garantice la emisión, suspensión, modificación y cierre de cuentas de usuario escalando los privilegios al sistema SCO y no existe un método de autenticación segura para los accesos remotos. CONTROL PREVENTIVO Generación de usuarios y contraseñas para validación que permitan acceso limitado por perfiles y tener una gestión y administración de usuarios y contraseñas seguras, según los perfiles de privilegios. 1/05/201 9 1/07/201 9 No está definido o existe un proceso o mecanismo que indique, divulgue o comunique cualquier incidente de seguridad y qué hacer cuando se presentan. CONTROL PREVENTIVO Formalización y documentación del procedimiento y tratamiento de incidente de seguridad en las políticas de seguridad bajo formatos establecidos para el registro de dichos incidentes y el escalamiento al personal capacitado para ello. 1/05/201 9 1/07/201 9 No está definido o existe un proceso o mecanismo para la detección, corrección y prevención de software malicioso que proteja el sistema SCO y no se cuenta con la CONTROL PREVENTIVO Formalización y documentación del procedimiento y tratamiento de un Antivirus licenciado, que brinde la seguridad de actualizaciones 1/05/201 9 1/08/201 9

información sobre las vulnerabilidades de los sistemas de información en uso periódicas y garantice la protección adecuada de los incidentes de software malicioso en las políticas de seguridad. No Existe o no está definido un plan de seguridad de TI donde se conocen las políticas y procedimientos de seguridad para todos los usuarios de la organización y terceros. CONTROL CORRECTIVO Aplicar herramientas que permitan monitorear y administrar los dispositivos de red y usar protocolos como seguros SSH para la administración de los dispositivos de comunicaciones. 1/05/201 9 1/07/201 9 NIVEL DE MADUREZ NORMA COBIT PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS 0 No Existente 1 inicial / Ad Hoc 2 Repetible pero Intuitivo 3 Definido 4 Administrado y Medible 5 Optimizado MODELO DE MADUREZ 0 Cuando la organización no reconoce la necesidad de la seguridad para TI. Las responsabilidades y la rendición de cuentas no están asignadas para garantizar la seguridad. 1 Cuando la organización reconoce la necesidad de seguridad para TI. Brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. 2 Cuando las responsabilidades y la rendición de cuentas sobre la seguridad están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial del Coordinador es limitada. Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. 3 Cuando existe conciencia sobre la seguridad y ésta es promovida por la gerencia.