# Criteria

3 Cybersecurity : IT Disaster Plan (182) - Foreign

Manufacturer 
If a data breach occurs or an event results in the loss of
data and/or equipment, do procedures include the
recovery (or replacement) of IT systems and/or data?
This is a requirement.

4 Cybersecurity : Information Sharing Policies (183) -

Foreign Manufacturer 
Do cybersecurity policies address how information is
shared on cybersecurity threats with the government and
other business partners?

5 Cybersecurity : Social Engineering (184) - Foreign

Manufacturer 
Are policies and procedures in place to prevent attacks
via social engineering? This is a requirement.

7 Cybersecurity : Identifying IT Abuse (186) - Foreign

Manufacturer 
7

Is a system in place to identify unauthorized access of IT

systems/data or abuse of policies and procedures
including improper access of internal systems or external
websites and tampering or altering of business data by
employees or contractors? This is a requirement.

9 Cybersecurity : Security Software (188) - Foreign

Manufacturer 
9

To defend Information Technology (IT) systems against

common cybersecurity threats, has sufficient
software/hardware been installed for the protection from
malware (viruses, spyware, worms, Trojans, etc.) and has
an internal/external intrusion detection system been
installed (firewalls)? These are requirements.

10 Cybersecurity : Updating Security Software (189) -

Foreign Manufacturer 
Is security software current and does it receive regular
security updates? This is a requirement.

11 Cybersecurity : Test IT Systems (190) - Foreign

Manufacturer 
When utilizing network systems, is the security of the IT
infrastructure regularly tested? If vulnerabilities are found,
are corrective actions implemented as soon as feasible?
These are requirements.

13 Cybersecurity : Regular IT Inventories (192) - Foreign

Manufacturer 
13

Are all media, hardware, or other IT equipment that

contains sensitive information regarding the import/export
process accounted for through regular inventories? This
is a requirement.

14 Cybersecurity : Disposal of IT Equipment (193) -

Foreign Manufacturer 
When disposed, are they properly sanitized and/or
destroyed in accordance with the National Institute of
Standards and Technology (NIST) Guidelines for Media
Sanitization or other appropriate industry guidelines? This
is a requirement.
15 Cybersecurity : Personal Devices (194) - Foreign
Manufacturer 
If employees are allowed to use personal devices to
conduct company work, do all such devices adhere to the
company’s cybersecurity policies and procedures to
include regular security updates and a method to
securely access the company’s network? This is a
requirement.

16 Cybersecurity : Individual Accounts (195) - Foreign

Manufacturer 
16

Do individuals with access to IT systems use individually

assigned accounts? This is a requirement.

18 Cybersecurity : Restrict IT Access (197) - Foreign

Manufacturer 
Is user access restricted based on job description or
assigned duties? This is a requirement.

19 Cybersecurity : Review IT Access (198) - Foreign

Manufacturer 
Is authorized access reviewed on a regular basis to
ensure access to sensitive systems is based on job
requirements? This is a requirement.
20 Cybersecurity : Removing IT Access (199) - Foreign
Manufacturer 
Is computer and network access removed upon employee
separation? This is a requirement.

21 Cybersecurity : Remote Access (200) - Foreign

Manufacturer 
21

When users are allowed to remotely connect to a

network, are secure technologies employed, such as
virtual private networks (VPNs), to allow employees to
access the company’s intranet securely when located
outside of the office? Are procedures in place that are
designed to prevent remote access from unauthorized
users? These are requirements.
Help

Describe your procedure in case of a data breach MUST

resulting in loss of data and/or equipment to include your
process to recover data and/or replace equipment—if
needed. This is a must to be part of the CTPAT program.

Do you have a policy regarding information sharing? If SHOULD

yes, does that policy include sharing information with
business partners and/or the Government? 

Describe the company’s policy/procedure for preventing MUST

cyber attacks via social engineering. This is a must to be
part of the CTPAT program.
Briefly describe the procedures in place to identify MUST
unauthorized access of IT systems/data, abuse of IT
policies/procedures and tampering, or the altering of
business data. This is a must to be part of the CTPAT
program.
Describe your plan/policy to protect your IT system from MUST
malware and other cyber threats. What types of protective
software are installed? Describe how hardware and
network systems are protected. This is a must to be part
of the CTPAT program.

Describe your procedures for ensuring security software MUST

is up to date. This is a must to be part of the CTPAT
program.

Briefly describe how the security of your IT infrastructure MUST

is tested. This is a must to be part of the CTPAT program.
Describe your inventory policy and procedures for all MUST
media, hardware, and IT equipment. This is a must to be
part of the CTPAT program.

Describe your procedures for the disposal of all media, MUST

hardware, and IT equipment. This is a must to be part of
the CTPAT program. 

Do you allow employees to use personal devices to MUST

conduct company business? If yes, are the employees
required to adhere to the company’s cybersecurity
policies/procedures? This is a must to be part of the
CTPAT program.
Describe your IT policies for individual account MUST
assignment. This is a must to be part of the CTPAT
program.

Describe your procedures to restrict user access to MUST

information technology systems. This is a must to be part
of the CTPAT program. 

Describe the procedure for review of current employee MUST

system accesses against job requirements. This is a must
to be part of the CTPAT program.

Describe your procedures for removal of system access MUST

upon an employee’s exit/separation from the company.
This is a must to be part of the CTPAT program.
Do you allow employees to remotely connect to the MUST
company’s network? If yes, describe your
policy/procedures for remote connectivity via virtual
private networks (VPNs) or multi-factor authentication etc.
This is a must to be part of the CTPAT program.
Describa su procedimiento en caso de una violación de
datos que resulte en la pérdida de datos y/o equipos
para incluir su proceso para recuperar datos y/o
reemplazar equipos, si es necesario. Esto es
imprescindible para ser parte del programa CTPAT.

¿Tiene una política sobre el intercambio de información

cuando hay brechas de seguridad? En caso afirmativo,
¿esa política incluye compartir información con socios
comerciales y/o el gobierno?

Describa la política/procedimiento de la empresa para

prevenir ciberataques mediante ingeniería social. Esto es
imprescindible para ser parte del programa CTPAT.
16.8 La Subgerencia de Informática aislará cualquier
servidor de red, notificando a las gerencias y áreas de la
entidad, en las condiciones siguientes:
a) Si los servicios proporcionados por el servidor
implican un tráfico adicional que impida un buen
desempeño de la Red.
b) Si se detecta la utilización de vulnerabilidades que
puedan comprometer la seguridad en la Red.
c) Si se detecta la utilización de programas que alteren
la legalidad y/o consistencia de los servidores.
d) Si se detectan accesos no autorizados que
comprometan la integridad de la información.
e) Si se viola las políticas de uso de los servidores.
f) Si se reporta un tráfico adicional que comprometa a
la red de la Entidad.
Artículo 13º Área de Seguridad en Cómputo
13.1 La Subgerencia de Informática es la encargada de
suministrar medidas de seguridad adecuadas contra la
intrusión o daños a la información almacenada en los
sistemas así como la instalación de cualquier
herramienta, dispositivo o software que refuerce la
seguridad en cómputo. Sin embargo, debido a la
cantidad de usuarios y a la amplitud y constante
innovación de los mecanismos de ataque no es posible
garantizar una seguridad completa.
13.2 La Subgerencia de Informática debe mantener
informados a los usuarios y poner a disposición de los
mismos el software que refuerce la seguridad de los
sistemas de cómputo.
13.3 La Subgerencia de Informática es el único
autorizado para monitorear constantemente el tráfico de
paquetes sobre la red, con el fin de detectar y solucionar
anomalías, registrar usos indebidos o cualquier falla que
provoque problemas en los servicios de la Red.
En el "Manual" se indica en el punto 5.1 "A partir de los
procedimientos definidos por HTP, el Departamento de
Recursos Materiales el definirá procedimientos para
inventario físico, firmas de resguardo para préstamos y
usos dedicados de equipos de tecnología de
información." 14.6 El
ATI debe registrar cada máquina en el inventario de
control de equipo de cómputo y red de la entidad

Artículo 11 del Reglamento

Equipo ajeno a la institución:
El usuario que requiera conectar equipos personales a la
red o periféricos a las computadoras, deberán contar con
la autorización correspondiente de la Subgerencia de
Informática, y no será responsabilidad de esta, si el
equipo sufre un daño o contaminación por virus. En caso
de que un usuario, sin autorización, conecte un equipo o
periférico personal al sistema de red de la entidad y este
ocasione un daño o contaminación de virus, será total
responsabilidad del usuario y se aplicaran las sanciones
correspondientes.
12.3 El Administrador de la Base de Datos es el
encargado de asignar las cuentas a los usuarios para el
uso. Para tal efecto será necesario seguir el
procedimiento determinado para tal efecto.

16.5 Las Gerencias deberán notificar a la Subgerencia

de Informática cuando un usuario deje de prestar sus
servicios a la empresa.
hasta el momento no hemos tenido por sistema
violacion de datos, pero cada usuario los datos se
de manera automatica recibe un restablecen
backup automatico en el servidor cada de manera
vez que crear un archivo o lo modifica. automatica
Todo esto es via GPO de Windows. En
el momento que el usuario toma una
maquina nueva u otro equipo y hace
login jala todos sus documentos hasta
la fecha actual

Que yo sepa la empresa no comparte gilberto se

informacion comparte
informacion
con
clientes?

todo correo recibido solicitando alguna

informacion de sistemas, se nos
notifica a nosotros, nosotros pedimos
que no reenvien el email y que bloquen
al remitente
Cómo lo evidencian? Hay algún registro evidencia no existe ya que en este
o bitacora? caso el servidor que se tiene por el
momento es unico y en caso de los
equipos que se utilizan en la empresa
son instalado con antivirus y los
usuarios son limitados como usuarios
de nivel basico, donde si desean
instalar o quitar alguna aplicacion
necesitan solicitarlo con nosotros.
Describa su plan/política para proteger
su sistema del malware y otras
amenazas cibernéticas. ¿Qué tipos de
software de protección se instalan?
Describa cómo se protegen el hardware
y los sistemas de red. Esto es
imprescindible para ser parte del
programa CTPAT.
Describa sus procedimientos para
garantizar que el software de seguridad automaticamente ya que este se
esté actualizado. Esto es imprescindible encuentra dentro el OS Windows
para ser parte del programa CTPAT.
Describa brevemente cómo se prueba
la seguridad de su infraestructura de TI.
Esto es imprescindible para ser parte
del programa CTPAT.
Malware todo los equipos desde el
servidor hasta las pc cuentan con el
antivirus con actualizaciones
automaticas, dentro los mantos
preventivos se revisa la actualizacion y
se hace una analisis de cada uno de
los equipos. A su vez contamos con un
firewall que esta debajo de router de
nuestro proveedor de internet donde se
bloquean todas las solicitudes de
ataques o solicitudes externas ya que
no tenemos puertos abiertos. el
Hardware tienen regulador de voltare
cada uno de los equipos, y tambien el
servidor. en Software cada unos de los
equipos cuenta con antivirus y todos
los equipos estan bajo la politica GPO
de Windows Server de no instalar o
quitar software, solo el usuario
administrador puede instalar y quitar
archivos.
El software se actualiza
Windows Security, anteriormente
llamad Windows Defender. Cada que
hay un updates en su base de datos el
software recibe la actualizacion de
inmediato.
se hace una analisis externo de
puertos abiertos para verificar que el
servidor o alguno de los equipos no
tenga puertos que abiertos no
solicitados, manejamos un reporte que
se llama ANALISIS DE SEGURIDAD
RED. El cual agrgare en el correo
Quien tiene el inventario fisico del
equipo?
Describa sus procedimientos para
desechar los medios, hardware y
equipos de TI. Esto es imprescindible
para ser parte del programa CTPAT.
Cómo se otorga la autorización? Hay
algún formato? Tienen evidencia de
ello?
el inventario fisico de los equipos lo
manejamos nosotros SITMX y el
departamento de mantenimiento que a
su vez el cual se le asigna una nombre
interno, cabe mencionar que el nombre
o numero interno lo se acaba de
implementar.
en este caso han sido 4 los equipos
pero adjunto formato de procedimiento
de baja
NO TENEMOS FORMATO, SOLO gil tenemos
ACEPTAMOS SOLUCITUD VIA EMAIL que trabajar
O WHATSAPP DEL GERENTE DEL en un
DEPARTAMENTO formato
Describa el procedimiento para la recibimos un correo del gerente del gil tenemos
asignación de cuentas individuales. departamento solicitando una cuenta, que trabajar
Esto es imprescindible para ser parte no proporciona el nombre completo y en un
del programa CTPAT. nosotros generamos la cuenta formato

Cuál es el procedimiento? Cómo se contamos con un ambiente cliente

asigna y segrega? servidor Active Directory de Windows
server, entramos al AD y creamos la
cuenta en el sistema el cual todos se
dan de alta como usuario.. Que es
nivel restringido si necesitan un
permiso especial los tienen que poner
el correo los permisos si solo es lectura
o escritura

Cómo se revisá que las cuentas y las cuenta no tiene fecha de

accesos sigan vigentes para los expiracion. Solo cuando nos solicitan
empleados? via email dar de baja la cuenta se da.

Para qué la notificacón? Cómo se recibimos la notifiacio de por email de baja, en el visor de evento
registran las eliminaciones de cuentas?
Se hacen conexiones remotas al o los
sistemas y redes de la emrpesa? Qué
politcas o procedimientso existen al
respecto?
entre los equipo no se hace
conexiones remota de manera local,
contamos con un router firewall vpn
que hace la negociacion hacia el
coporativo. Todos lo usuarios tienen
una cuenta remota pero nosotros no
manejamos eso.
yo ya estoy
trabajando
en ello
necesito
que me
proporcione
s que
informacion
requieren
ustedes
para
adicionales.
Lo vemos
en el
transcurso
de la
proxima
semana
 yo ya estoy
trabajando
en ello
necesito
que me
proporcione
s que
informacion
requieren
ustedes
para
adicionales.
Lo vemos
en el
transcurso
de la
proxima
semana

, en el visor de eventos de windows se genera un log esa baja