analisis gap iso27k

7/21/2019 Analisis GAP ISO27k

1/49

Sobre el CuestionarioJefe de Infraestructura

Jefe de Comunicaciones

DBA

Jefe de Unidad de Gestin Informtica

Gestor de Proyecto

AlcancesMisin Institucin

Visin Institucin

Objetios !strate"icos Institucin

Objetios de #a Unidad

Misin

Visin

Objetio !strate"ico $ue Persi"ue

Objetio !strate"ico $ue a%oya e# &oft'are

Va#ores de #a UnidadEmpresa

Limitaciones

Comentarios


2/49


3/49

Historial de CambiosVersion No. Fecha Descripcin de Cambios

()** *+)*()+*(, Creacin de P#anti##as base

()*( +-)(+)+*(+

Version Fecha Tope Plan de Trabajo

()* (.)*()+*(, Inicio de !ntreista con P#anti##a Ane/o A


4/49

Persona - mpresa

Ju#io 0amas 1 Deca#in2

Autor


5/49

Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mero + porcentaje

Proceso Cum%#e c on #a norma y esta docum entado

Proceso se # #ea a c abo y se debe docum entar

Proceso no c um%#e con #a norma y debe ser redise3ado

Proceso no est en su #u"ar 4 no esta im%#ementado

Proceso no es a%#icab# e

*5(*5

+*5

6*5

,*5

7*5

8*5

.*5

9*5

-*5

(**5

Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + docum

!n

Percent

#, &$.

$ (.

!S" #$%%&'#%%( Controles Ap1ndice-A !mplementacin stado por la Clasi)icacin en n*mero + p


6/49

( /.

/0 ,$.

/0 ,$.

Contro#es documentados e im%#e mentados

Contro#es im%#em entados deben ser documentados

Contro#es im%#emen tados no cum%# en c on #as normas: tiene $u e redise3ar

Contro# no im%#ementado y documentado

Contro#es no a%#ic ados


7/49

ProcesoCum%#e con #anorma y estadocumentado

Proceso s e##ea a cabo yse debedocumentar

Proceso nocum%#e con #anorma y debeser redise3ado

Proceso noest en su#u"ar 4 no estaim%#ementado

*

+*

* * * *

Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mer

ntado

orcentaje

*5

(*5

+*5

6*5

,*5

7*5

8*5

.*5

9*5

-*5

(**5

Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + do

Com%#iance%ercenta"e

#ii

a

de

&

e"uridad

i

i

#

uridad

de

#a

inform

acin

in

de

A

ctios

i

#

s

recursos

"r4ani=acin de la se4uridad de la in)ormacin

A.>.& "r4ani=acin !nterna

A)8)()(

A)8)()+

A)8)()6

A)8)(),

A)8)()7 0os acuerdos de confidencia#idad

A)8)()8 Contacto con #as autoridades &e mantendrn #os contactos a%ro%iados con #as autoridades %ertinentes)

A)8)().

A)8)()9

A>.# Partes 3ternas

A)8)+)(

A)8)+)+

A)8)+)6

A.$


29/49

ero/ Interna# Use On#y +.-.-(,.+)/#s

ne3o A de re)erencia T?tulo de control Descripcin del control Funcin

A).)()+ Pro%iedad de Actios

A).)()6 Uso ace%tab#es de #os actios

A.$.# clasi)icacin de la in)ormacin

A).)+)( directrices de c#asificacin

A).)+)+

A.@a se4uridad de los recursos humanos

A.@.& Antes del mpleo

A)9)()( =o#es y =es%onsabi#idades

A)9)()+ Proyeccin

A)9)()6

A.@.# Durante el empleo

A)9)+)( Gestion de res%onsabi#idades

A)9)+)+

A)9)+)6 Proceso Dici%#inario

A.@., l termino o cambio de empleo

A)9)6)( ermino de res%onsabi#idades

A)9)6)+ =etorno de #os actios

A)9)6)6

A.0a se4uridad )isica + ambiental

oda #a informacin y #os actios asociados a #as insta#aciones detratamiento de #a informacin sern %ro%iedad de una %arte desi"nada de

#a or"ani;acin)ormas %ara e# uso ace%tab#e de #a informacin y de #os actios asociados

a #as insta#aciones de %rocesamiento de informacin debern seridentificados: documentados e im%#ementados)

Para ase4urar 9ue la in)ormacin reciba un ni5el adecuado deproteccin.0a informacin se c#asificar en funcin de su a#or: #os re$uisitos #e"a#es:

#a sensibi#idad y criticidad %ara #a or"ani;acin)

!ti$uetado de #a informacin y #amani%u#acin

Un conjunto a%ro%iado de %rocedimientos %ara e# eti$uetado deinformacin y de tramitacin se desarro##ar y ejecutar de conformidad

con e# sistema de c#asificacin ado%tado %or #a or"ani;acin)

Para ase4urarse de 9ue los empleados8 contratistas + usuarios deterceras partes entiendan sus responsabilidades8 + son adecuadospara las )unciones 9ue se consideran para8 + para reducir el ries4o derobo8 )raude o mal uso de las instalaciones.

@unciones y res%onsabi#idades de #os em%#eados: contratistas y usuariosde terceras %artes de %roteccin se definen y documentan de conformidad

con #a %o#Ftica de se"uridad de #a informacin de #a or"ani;acin)Contro#es de erificacin de antecedentes de todos #os candidatos a

em%#eo: contratistas y usuarios de terceras %artes se ##earn a cabo deconformidad con #as #eyes: re"u#aciones y Htica: y %ro%orciona# a #osre$uerimientos de# ne"ocio: #a c#asificacin de #a informacin $ue se

acceda: y #os ries"os %ercibidos)

erminos y condiciones de#em%#eo

Como %arte de su ob#i"acin contractua#: #os em%#eados: contratistas yusuarios de terceras %artes se %ondrn de acuerdo y firmar #os tHrminos y

condiciones de su contrato de trabajo: en e# $ue e/%ondr yres%onsabi#idades de sus de #a or"ani;acin %ara #a se"uridad de #a

informacin)Para ase4urar 9ue todos los empleados8 contratistas + usuarios deterceras partes son conscientes de la in)ormacin amena=as +preocupaciones8 sus responsabilidades + obli4aciones de se4uridad8+ est2n e9uipados para apo+ar la pol?tica de se4uridad de laor4ani=acin en el curso de su trabajo normal8 + para reducir el ries4ode error humano.Administracin e/i"ir a #os em%#eados: contratistas y usuarios de terceras

%artes %ara a%#icar #a se"uridad de conformidad con #as %o#Fticas y%rocedimientos de #a or"ani;acin estab#ecidas

Concienciacin sobre #ase"uridad de #a informacin: #a

educacin y #a formacin

odos #os em%#eados de #a or"ani;acin y: en su caso: #os contratistas yusuarios de terceras %artes: debern recibir una ca%acitacin adecuada

sensibi#i;acin y actua#i;aciones re"u#ares en #as %o#Fticas y %rocedimientosde #a or"ani;acin: $ue sea re#eante %ara su funcin de trabajo)

abr un %roceso disci%#inario forma# %ara #os em%#eados $ue


30/49



A0.& Areas Se4uras

A-)()( PerFmetro de se"uridad fFsica

A-)()+ Contro#es de entradas fisicas

A-)()6

A-)(),

A-)()7 rabajar en ;onas se"uras

A-)()8

A0.# Se4uridad de los e9uipos

A-)+)(

A-)+)+ A%oyo a #os sericios %b#icos

A-)+)6 se"uridad de# cab#eado

A-)+), !# mantenimiento de# e$ui%o

A-)+)7

A-)+)8

A-)+). !#iminacin de #os e$ui%os

A&%


31/49



A(*)+)+

A(*)+)6

A&%., Para minimi=ar el ries4o de )allo de los sistemas.

A(*)6)( "estin de #a ca%acidad

A(*)6)+ #a ace%tacin de# sistema

A&%./ Para prote4er la inte4ridad del so)tGare + la in)ormacin.

A(*),)( Contro#es contra cdi"o ma#icioso

A(*),)+ Contro#es contra cdi"os mi#es

A&%.( ac-up

A(*)7)(

A&%.>

A(*)8)( contro#es de red

A(*)8)+ &e"uridad de #os sericios de red

A&%.$ manejo del soporte

A(*).)( Gestin de so%ortes e/traFb#es

A(*).)+

A(*).)6

A(*).),

A&%.@ !ntercambio de in)ormacin

A(*)9)(

A(*)9)+ 0os acuerdos de intercambio

A(*)9)6 Medios fFsicos en trnsito

!# se"uimiento y #a reisin de #ossericios de terceros

0os sericios: #os informes y #os re"istros %ro%orcionados %or e# tercerodebern ser contro#ados re"u#armente y reisados: y #as auditorFas se

##earn a cabo con re"u#aridad)

Gestin de cambios en #ossericios de terceros

os cambios en #a %restacin de sericios: inc#uido e# mantenimiento y #amejora de #as actua#es %o#Fticas de se"uridad de informacin:

%rocedimientos y contro#es: se "estionarn: teniendo en cuenta #a criticidadde #os sistemas y %rocesos $ue interienen em%resas y re1ea#uacin de

#os ries"os)Plani)icacin + aceptacin del

sistema

!# uso de #os recursos deber ser monitoreada: afinado: y %royecciones de

#as futuras necesidades de ca%acidad %ara ase"urar e# rendimiento de#sistema re$uerido)

0os criterios de ace%tacin %ara #os nueos sistemas de informacin:actua#i;aciones y nueas ersiones sern estab#ecidos y #as %ruebas

adecuadas de# sistemaE ##earon a cabo durante e# desarro##o y antes de #aace%tacin)

Proteccin contra cdi4omalicioso + m5il

&e ##earn a cabo #a deteccin: %reencin y recu%eracin contro#es de%roteccin contra cdi"o ma#icioso y #os %rocedimientos a%ro%iados de

sensibi#i;acin usuario)

Cuando se autorice e# uso de cdi"o mi#: #a confi"uracin deber"aranti;ar $ue e# cdi"o mi# autori;ado o%era de acuerdo con una %o#Ftica

de se"uridad c#aramente definido: y e# cdi"o mi# no autori;ado %uedeser im%edido de ejecutar)

Para mantener la inte4ridad + la disponibilidad de instalaciones deprocesamiento de la in)ormacin + de la in)ormacin.

Informacinbac21u%

Co%ias de res%a#do de #a informacin y soft'are sern tomadas yana#i;adas con re"u#aridad de acuerdo con #a %o#Ftica de co%ia de

se"uridad acordado)


32/49



A(*)9), Mensajeria !#ectronica

A(*)9)7

A&%.0

A(*)-)( Comercio !#ectronico

A(*)-)+ ransacciones On1#ine

A(*)-)6 Informacin %b#ica

A&%.&% 6onitoreo

A(*)(*)( =e"istro de Auditoria

A(*)(*)+ Uso de# sistema de monitoreo

A(*)(*)6

A(*)(*), Actiidades de# administrador de# sistema y "estor de #a red se re"istrarn)

A(*)(*)7 @a##o de =e"istros @a##os se re"istrarn: ana#i;arn y tomarn #as medidas corres%ondientes)

A(*)(*)8 &incroni;acin de =e#ojes

A&& Control de Acceso

A&&.& Para controlar el acceso a la in)ormacin.

A(()()( Po#Ftica de contro# de acceso

A&&.#

A(()+)( =e"istro de Usuarios

A(()+)+ Administracin de Prii#e"ios 0a asi"nacin y e# uso de #os %rii#e"ios se #imitarn y contro#ados)

A(()+)6

A(()+),

A&&.,

A(()6)( Uti#i;acin de Contrase3a

A(()6)+ !$ui%o de usuarios desatendido

Informacin ino#ucrado en #a mensajerFa e#ectrnica ser debidamente%reserado)

&istemas de informacin dene"ocios

0as %o#Fticas y %rocedimientos debern ser desarro##ados e im%#ementados%ara %rote"er #a informacin asociada a #a intercone/in de #os sistemas de

informacin de ne"ocios)

Ser5icios de comercioelectrnico

Para 4aranti=ar la se4uridad de los ser5icios de comercio electrnico8+ su uso se4uro.

Informacin ino#ucrado en e# comercio e#ectrnico $ue %asa a traHs deredes %b#icas: sern %rote"idos de #a actiidad fraudu#enta: dis%uta de

contrato: y #a diu#"acin y modificacin no autori;ada)

Informacin ino#ucrada en #as transacciones en #Fnea debern estar%rote"idos %ara %reenir #a transmisin incom%#eta: ma# enrutamiento:

a#teracin mensaje no autori;ado: #a diu#"acin no autori;ada: #adu%#icacin de mensajes no autori;ada o #a re%roduccin)

0a inte"ridad de #a informacin %uesta a dis%osicin de un sistema deacceso %b#ico debe ser %rote"ido %ara eitar #a modificacin no

autori;ada)Para detectar las acti5idades de procesamiento de in)ormacin noautori=ados.

0os re"istros de auditorFa de "rabacin de #as actiidades de# usuario:e/ce%ciones y eentos de se"uridad de informacin se %roducen y se

conserarn durante un %erFodo acordado %ara ayudar en futurasinesti"aciones y #a i"i#ancia de# contro# de acceso)

Procedimientos %ara e# uso de i"i#ancia de #as insta#aciones de%rocesamiento de informacin se estab#ecern y #os resu#tados de #as

actiidades de se"uimiento de reisiones re"u#ares)

Proteccin de #os re"istros deinformacin

Insta#aciones de re"istro y #a informacin de re"istro se %rote"ern contra#a mani%u#acin y acceso no autori;ado)

Administracin y o%eracin de #osre"istros de informacin

0os re#ojes de todos #os sistemas de %rocesamiento de informacin%ertinentes dentro de una or"ani;acin o dominio de se"uridad se %ueden

sincroni;ar con una fuente


33/49



A(()6)6

A&&./ Control de acceso de red Para pre5enir el acceso no autori=ado a los ser5icios en red.

A((),)(

A((),)+

A((),)6

A((),),

A((),)7 &e"re"acin en redes

A((),)8 Contro# de #a cone/in de red

A((),). Contro# de =uta de red

A&&.( Para pre5enir el acceso no autori=ado a los sistemas operati5os.

A(()7)( Procedimientos de Inicio &e"uro

A(()7)+

A(()7)6

A(()7), Uso de #as uti#idades de# sistema

A(()7)7 &esin de tiem%o de es%era

A(()7)8 0imitacin de tiem%o de cone/in

A&&.>

A(()8)(

A(()8)+ Ais#amiento de# sistema &ensib#e &istemas sensib#es deben tener un ais#adoE entorno informtico dedicado)

A&&.$

A(().)(

A(().)+ e#etrabajo

AAd9uisicin de sistemas de in)ormacin8 desarrollo + mantenimiento

Po#Ftica de escritorio y %anta##a enb#anco o des%ejado

&e ado%tarn una %o#Ftica de escritorio #im%io de %a%e#es y so%ortes dea#macenamiento e/traFb#es y una %o#Ftica de #a %anta##a c#ara %ara #as

insta#aciones de %rocesamiento de informacin)

Po#Ftica sobre e# uso de #ossericios de red

0os usuarios s#o debern dis%oner de acceso a #os sericios $ue


34/49



A.&

A(+)()(

A.#

A(+)+)( Va#idacin de Datos de !ntrada

(+)+)+ Contro# de# %rocesamiento interno

(+)+)6 Inte"ridad de #os mensajes

(+)+), Va#idacin de datos de sa#ida

A., Controles cripto4r2)icos

A(+)6)(

(+)6)+ Gestin de c#aes

A./ Para 4aranti=ar la se4uridad de los archi5os del sistema

A(+),)( Contro# de# &oft'are O%eraciona#

A(+),)+

A(+),)6 !# acceso a# cdi"o fuente de# %ro"rama se #imitar)

A.(

A(+)7)(

A(+)7)+

A(+)7)6

A(+)7), fi#tracin de informacin &e im%edir O%ortunidades %ara #a fu"a de informacin)

A(+)7)7

A.>

A(+)8)(

A&,


35/49



A(6)()(

A(6)()+

A&,.#

A(6)+)(

A(6)+)+

A(6)+)6 Aco%io de !idencias

A&/


36/49



A(7)()7

A(7)()8

A&(.#

A(7)+)(

A(7)+)+

A&(.,

A(7)6)(

A(7)6)+

e+enda

Cantidad Codi4os Status Si4ni)icado

Preencin de# uso indebido de#as insta#aciones de

%rocesamiento de informacin

0os usuarios se decidan a uti#i;ar #as insta#aciones de %rocesamiento deinformacin %ara fines no autori;ados)

=e"u#acin de #os contro#escri%to"rficos

Contro#es cri%to"rficos sern uti#i;ados en cum%#imiento de todos #osacuerdos: #eyes y re"#amentos)

l cumplimiento de laspol?ticas de se4uridad + lasnormas + el cumplimiento

t1cnico

Para 4aranti=ar el cumplimiento de los sistemas con las pol?ticas +est2ndares de se4uridad de la or4ani=acin

!# cum%#imiento de #as %o#Fticas ynormas de se"uridad

Administradores se ase"urarn de $ue todos #os %rocedimientos dese"uridad dentro de su rea de res%onsabi#idad se ##ean a cabo

correctamente %ara #o"rar e# cum%#imiento con #as %o#Fticas y estndares dese"uridad)

Com%robacin de# cum%#imientotHcnico

0os sistemas de informacin deben ser reisados re"u#armente %or e#cum%#imiento de #as normas de a%#icacin de #a se"uridad)

Consideraciones de auditor?adel sistema de in)ormacin

Para ma3imi=ar la e)icacia + minimi=ar la inter)erencia a : desde elproceso de auditor?a de sistemas de in)ormacin.

Contro#es de auditorFa desistemas de informacin

=e$uisitos de auditorFa y #as actiidades re#acionadas con #os contro#es de#os sistemas o%eratios debern ser %#aneadas cuidadosamente y

acordaron reducir a# mFnimo e# ries"o de interru%ciones en #os %rocesos dene"ocio)

Proteccin de #as


37/49


ne3o A de re)erencia T?tulo de control Descripcin del control Funcin* D !# contro# se document e im%#ement

* 6D

* ;D

* PNP

* NA BNot Applicable !# contro# no es a%#icab#e %ara #a em%resa ni %ara e# ne"ocio

%

!# Contro# se ##ea a cabo y e# %roceso debe ser documentado %araase"urar #a re%etibi#idad de# %roceso y miti"ar #os ries"os)

!# contro# no cum%#e #as normas y debe ser redise3ado %ara cum%#ir con#as normas

!# %roceso no est en su #u"ar 4 no im%#ementado)Contro# re$ueridos ni documentado ni im%#ementadoE


38/49


;ecomendaciones


39/49


;ecomendaciones


40/49


;ecomendaciones


41/49


;ecomendaciones


42/49


;ecomendaciones


43/49


;ecomendaciones


44/49


;ecomendaciones


45/49


;ecomendaciones


46/49


;ecomendaciones


47/49


;ecomendaciones


48/49

Nota ' os n*meros en esta hoja deben ser llenados en marcha manualment

Cantidad de &tatus &tatus

Funciones D PP =D A MD Gran ota#

Administracion 8 ( 9 ( (8

CI&O ( (- (6 ( 6,

@inan;as 6 6

=ecursos umanos , ( , -

I 9 +7 (8 8 6 79

&4 , 6 ( 9

A#ta Direccin 6 ( ,

!m%#eados ( (

Gran ota# +6 ,- ,- . 7 (66

Funciones D PNP ;D 6D


49/49

para re)lejar en el resumen de la hoja : dashboard

NA Net Total

8

(

. (66

analisis gap iso27k

Documents