FASE DE EJECUCIÓN – DISEÑO DE LISTAS DE CHEQUEO P ARA DETERMINACIÓN NIVEL DE MADUREZ, PTR Y SOA
DORIAN ALONSO GÓMEZ BARRIENTOS
Docente Esp. FRANCISCO NICOLAS SOLARTE
UNVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MEDELLIN 2017
1
TABLA DE CONTENIDO
RESUMEN ............................................................................................................................................ 4 ABSTRACT ............................................................................................................................................ 4 INTRODUCCIÓN ................................................................................................................................... 5 OBJETIVOS ........................................................................................................................................... 6 Objetivo General ............................................................................................................................. 6 Objetivos Específicos ....................................................................................................................... 6 DESARROLLO DE LA ACTIVIDAD .......................................................................................................... 7 Contextualización alcance de un Sistema de gestión de seguridad informática ............................ 7 Alcance ............................................................................................................................................ 9 Contextualización declaración de Aplicabilidad –SOA- ................................................................. 10 Declaración de Aceptabilidad........................................................................................................ 10 Resultados del análisis aplicado .................................................................................................... 35 LISTA DE CHEQUEO ....................................................................................................................... 40 BIBLIOGRAFIA .................................................................................................................................... 74
2
LISTA DE FIGURAS
Figura 1. Dominios de norma ISO27001...................................................................................... 7
Figura 2 Estado de clasificación en número y porcentaje ................................................................ 35 Figura 3 Estado de Clasificacion en números .................................................................................... 35 Figura 4 Implementación de procesos .............................................................................................. 36 Figura 5 Implementacion de procesos por áreas .............................................................................. 37 Figura 6 Estado por clasificación ....................................................................................................... 38 Figura 7 Estado por Dominio ............................................................................................................. 39
3
RESUMEN
Este trabajo tiene como objetivo desarrollar destrezas en el diseño, diagnóstico y puesta en marcha de los sistemas de gestión de seguridad informática SGSI alineado a la norma ISO7IE 27000. Parte de la puesta en marcha que es componente fundamental del proceso Verificar es la auditoría y el diagnóstico del sistema a implementar o sistema implementado mediante el diseño de listas de chequeo (PTR) y la declaración de aplicabilidad (SOA). Los resultados obtenidos ayudarán con la estabilización y la mejora continua del SGSI.
ABSTRACT This work has as aim develop skills in the design, diagnosis and putting in playing of the systems of management of IT security SGSI aligned to the norm ISO7IE 27000. Part of the putting in playing that is a fundamental component of the process to check is the audit and the diagnosis of the system to helping or system implemented by means of the design of lists of checkup (PTR) and the declaration of applicability (SOA). The obtained results will help with the stabilization and the improvement continues of the SGSI.
4
INTRODUCCIÓN
La información es uno de los activos que puede adquirir un valor invaluable, es por esto que se requiere de medidas deprotección para proteger elacceso a la misma. Parte de esta protección consiste en la implementación de sistemas de gestión en seguridad informática –SGSI-. La puesta en marcha de contramedidas son efectivas con un correcto diagnóstico y auditoría en el sistema, el cual contempla el análisis de riesgos informáticos, la implantación de controles, las pruebas de campo y el monitoreo permanente de los procesos enmarcados en unos indicadores de gestión los cuales determinarán la efectividad y/o cumplimiento del estándares de gestión. El proceso de auditoria ISO/IEC 27001 requiere de evidencias y registros para determinar el estado de madurez y acciones de mejoramiento que fortalecen el sistema, para esto se hace uso de las listas de chequeo y la declaración de aplicabilidad –SOA-. Es por esto que unode los mecanismos más utilizados y más efectivos son laslistas de chequeo –PTR- y la aceptación de la aplicabilidad de los requisitos- SOA- pues gracias a estas herramientas en un procesode auditoría permiten generar una radiografía parala toma de decisiones y correcciones rápidas y eficientes al sistema de gestión de seguridad de la información
5
OBJETIVOS Objetivo General -
Dar solución a cada uno de los puntos planteados en la guía de aprendizaje de la lista de chequeo y declaración de aplicabilidad.
Objetivos Específicos -
Elaborar un documento definiendo los alcances del SGSI para la empresa.
- Seleccionar los dominios y controles aplicables de acuerdo a los activos informáticos existentes.
- El diseña las listas de chequeo para verificación del cumplimiento de los controles de acuerdo a la norma ISO/IEC 27002 para determinar el nivel de madurez o grado de cumplimiento en porcentaje (%).
6
DESARROLLO DE LA ACTIVIDAD Contextualización alcance de un Sistema de gestión de seguridad informática La delimitación del alcance permite enmarcar la implementación de un sistema de gestión de calidad, pues este determina la viabilidad y aplicabilidad de mismo, pues un alcance excesivo y ambicioso puede hacer el proyecto inabordable y en contra posición un alcance reducido puede dejar brechas en los procesos y procedimientos y aportaría poco para la organización. Un buen alcance abarca a correcta delimitación de cada uno de los criterios del negocio: criterios administrativos, misionales ytécnicos. Para esto la norma ISO tiene definido de manera clara una lista de dominios:
Figura 1. Dominios de norma ISO27001
Fuente: http://4.bp.blogspot.com/
7
Al determinar el alcance de SGSI se debe tener en cuenta todo el entorno, pues existen riesgos controlables y no controlables al interior y al exterior de la organización En conclusión, el alcance es la identificación y la interrelación de manera clara y medible de los procesos articulados, relaciones y límites, con sus respectivas exclusiones, por lo que se debe indicar desde donde inicia el alcance al SGSI y en donde finaliza y a que partes de la organización y terceros involucra.
8
Alcance El alcance de este proyecto abarca el diseño del sistema de gestión de seguridad de la información cubriendo la fase de implementación que corresponde a la etapa de planeación y aplica para los procesos de gestión tecnológica para la única sede, se incluye la clasificación de activos de información, la valoración de riesgos y el proceso de verificación mediante la declaración de aplicabilidad y la lista de chequeo. Las políticas, registros y procedimientos deberán ser cumplidos por los directivos, funcionarios, contratistas y terceros que brinden sus servicios o tengan algún tipo de relación comercial, técnica o administrativa con la empresa.
9
Contextualización declaración de Aplicabilidad –SOALa declaración de aplicabilidad o SOA (por sus siglas en inglés) es la definición de cómo se implementará el SGSI. Esta declaración es el enlace directo entre el análisis de riesgos y la implementación del sistema y se definen cuáles de los controles son los que se implementará y en los controles que apliquen el cómo se implementará. El portal Web de Advisera (Advisera, s.f.) Explica los motivos por los cuales se debe realizar el SOA:
Es importante porque con esta declaración se identificó los riesgos que
se
necesitan
disminuir
indicando
los
motivos:
legales,
contractuales, procesos, entre otros.
La declaración de aplicabilidad es un resumen del resultado del análisis de riesgos, de manera que hace que sea más fácil de interpretarse.
Mediante el SOA se puede identificar cada control agrupado por dominios, el tipo de control y si aplica o no.
Sirve como insumo básico para el auditor y su respectivo plan de auditoría.
Declaración de Aceptabilidad Para la declaración de aceptabilidad se estableció los siguientes estados: Esta d o D MD RD
De scr i p c i ó n El control se documentó e implementó El Control se lleva a cabo y el proceso debe ser documentado para asegurar la repetibilidad del proceso y mitigar los riesgos. El control no cumple las normas y debe ser rediseñado para cumplir con las normas
PNP
El proceso no está en su lugar / no implementado. (Control requeridos ni documentado ni implementado)
NA
El control no es aplicable para la empresa ni para el negocio
10
Dominio:
A.5 Política de Seguridad
Objetivo:
Para proporcionar a la dirección de gestión y apoyo a la seguridad de la información de acuerdo con los requerimientos del negocio y las leyes y reglamentos pertinentes.
Descripción del control 5.1.1
5.1.2
Status
Hallazgos
Un documento de política de seguridad de la información deberá ser aprobado por la administración, y publicado y comunicado a todos los empleados y colaboradores externos.
D
Se evidencia en la Intranet la política de seguridad de la información
La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios significativos para asegurar su conveniencia, adecuación y eficacia.
D
Se evidencia en la Intranet la política de seguridad de la información
Recomendaciones
11
Dominio:
A.6 Organización de la información
Objetivo:
Para gestionar la seguridad de la información dentro de la organización De scri pci ón de l con trol
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6 A.6.1.7
A.6.1.8
A.6.2.1
A.6.2.2
A.6.2.3
Gestión apoyará activamente a la seguridad dentro de la organización a través de una dirección clara, demuestra el compromiso, la asignación explícita, y el reconocimiento de las responsabilidades de seguridad de la información. Actividades de seguridad de información estarán coordinadas por representantes de diferentes sectores de la organización con un papel relevante y función de trabajo. Todas las responsabilidades de seguridad de la información deben estar claramente definidas. Un proceso de autorización de la administración para las nuevas instalaciones de procesamiento de información se define y se aplica. Requisitos para los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la información deben ser identificados y revisados con regularidad. Se mantendrán los contactos apropiados con las autoridades pertinentes. Se mantendrán los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales. El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es decir, los objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) se revisará de forma independiente a intervalos planificados, o cuando se producen cambios significativos en la implementación de seguridad se producen. Los riesgos para la información y las instalaciones de procesamiento de información de la organización de los procesos de negocio relacionados con las partes externas deben ser identificados y los controles apropiados implementados antes de conceder el acceso. Todos los requisitos de seguridad identificados deberán dirigirse antes de dar a los clientes el acceso a la información o de los activos de la organización. Acuerdos con terceros relacionados con el acceso, tratamiento, la comunicación o la gestión de la información o de las instalaciones de procesamiento de información de la organización, o la adición de productos o servicios a las instalaciones de procesamiento de información se referirán a todos los requisitos de seguridad pertinentes.
Est a do
D
MD
RD
PNP
D
PNP
Evi de n ci a Existe la política dentro del manual de SI No Existe evidencia No Existe evidencia
No Existe evidencia
Ha l l a z gos
Re com e n da ci on e s
Existe la política dentro del manual de Se debe realizar la campaña de despiegue SI No se tiene el cronograma
Se debe identficar en el cronograma la jerarquia
Los perfiles no tienen responsabilidades Se debe incluir en el perfil de cargo el nivel de relacionadas con el responsabilidad en relación con SGSI SGSI No se tiene el proceso definido
Se tienen NDA
Se revisan NDA de
Firmados
terceros
No se tiene No se evidencia listado listado N/A N/A
Se debe crear el proceso para la administación de nuevas instalaciones
Se debe crear listado de contactos y se debe actualizar regularmente N/A
NA
RD
Cotización de proveedores para Etical Hacking
Se tienen cotizaciones pero no se ha realizado Se debe ejecutar auditorias de seguridad auditorías ni internas ni externas
No se tiene evidencia PNP
No Existe control
PNP
No se tiene evidencia No Existe control
RD
Contratos de
Se debe realizar analisis de riesgos a teceros y consignar evidencia
Se debe crear procedimiento de ingreso a terceros enfocadoen 6.2.2
Se tiene una clausula de confidencialidad en los contratos
12
Dominio: Objetivo:
A.7 Gestión de Activos Para lograr y mantener la protección adecuada de los activos de la organización.
D e sc r i p ci ó n d e l co n t r o l
Est a d o
A.7.1.1
Todos los activos deben estar claramente identificados y un inventario de todos los activos importantes establecimiento y el mantenimiento.
D
A.7.1.2
Toda la información y los activos asociados a las instalaciones de tratamiento de la información serán propiedad de una parte designada de la organización.
MD
A.7.1.3
Normas para el uso aceptable de la información y de los activos asociados a las instalaciones de procesamiento de información deberán ser identificados, documentados e implementados.
PNP
A.7.2.1
A.7.2.2
La información se clasificará en función de su valor, los requisitos legales, la sensibilidad y criticidad para la organización. Un conjunto apropiado de procedimientos para el etiquetado de información y de tramitación se desarrollará y ejecutará de conformidad con el sistema de clasificación adoptado por la organización.
PNP
PNP
Ev i d e n c i a Ha l l a z g o s Re co m e n d a ci o n e s Software GLPI con Se identifica que se Se recomienda sincronizar los equipos con plugin de tiene correctamente mayor frecuencia OCS un inventario Inventory En tiene un En los acuerdos de NDA confidencialidad se tiene una clausula indicando la propiedad intelectual No se encuentra No se encuentra evidencia evidencia
No se encuentra evidencia No se encuentra evidencia
No se encuentra evidencia
Se debe determinar una matriz para controlar este punto
No se encuentra evidencia
Se debe generar etiquetado de la informarción son su respectivo control
13
Dominio:
A.8 Seguridad de recursos humanos.
Objetivo:
Para asegurarse de que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y son adecuados para las funciones que se consideran para, y para reducir el riesgo de robo, fraude o mal uso de las instalaciones. De scri p ci ón de l con trol
Esta do
A.8.1.1
Funciones y responsabilidades de l os empleados, contratistas y usuarios de terceras partes de protección se definen y documentan de conformidad con la política de seguridad de la información de la organización.
RD
A.8.1.2
Controles de verificación de antecedentes de todos los candidatos a empleo, contratistas y usuarios de terceras partes se llevarán a cabo de conformidad con las leyes, regulaciones y ética, y proporcional a los requerimientos del negocio, la clasificación de la información que se acceda, y los riesgos percibidos.
D
A.8.1.3
Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes se pondrán de acuerdo y firmar los t érminos y condiciones de su contrato de
D
trabajo, en el que expondrá y responsabilidades de sus de la organización para la seguridad de la información.
A.8.2.1
Administración exigir a los empleados, contratistas y usuarios de terceras partes para aplicar la seguridad de conformidad con las políticas y procedimientos de la organización establecidas
PNP
A.8.2.2
Todos los empleados de la organización y, en su caso, los contratistas y usuarios de terceras partes, deberán recibir una capacitación adecuada sensibilización y act ualizaciones regulares en las políticas y procedimientos de l a organización, que sea relevante para su función de trabajo.
MD
A.8.2.3
Habrá un proceso disciplinario formal para los empleados que han cometido una infracción de seguridad.
D
A.8.3.1
Las responsabilidades para la realización de la terminación del empleo o cambio de empleo, deberán estar claramente definidas y asignadas.
PNP
A.8.3.2
Todos los empleados, c ontratistas y usuarios de terceras partes deberán devolver todos los activos de la organización en su poder a la terminación de su empleo, contrato o acuerdo..
MD
A.8.3.3
Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras partes a las instalaciones de procesamiento de la información y de la información del reglamento será eliminado después de la terminación de su empleo, contrato o acuerdo, o se ajustan al cambio.
MD
Evi d e n ci a Contrato LaboralContrato de Tercero
Ha l l a z g os Se evidencia una clausula de confidenciaidad global, pero no está especificado la política de SGSI Hoja de VidaSe validan las Formato de referencias en la validación de procuraduría y se referecias llama a empeos anteriores
Re come n d a ci on e s
Se debe modificar los contratos para terceros aplicando SGSI
Contrato Se tiene unas Laboralclausulas Contrato de compromisorias que Tercero hacen relación a la confidencialidad de la informacion. No se tiene evidencia Se debe realizar campaña de despliegue y No se tiene evidencia documentación del proceso Registro de Se tiene evidencia de capacitación capacitación de una Se debe impartir la capacitación al 100% de la muestra poco población significativa Manual interno de trabajo
Se tiene especificado una escala de sanciones cuando se comete alguna acción que ponga en riesgo e SGSI
No se tiene Se debe crear el proceso documentado para el evidencia No se tiene Evidencia cese o c ambio con sus respectivos registros Acta de Entrega
Directorio Activo de Windows
Se tiene un acta de Se recomienda depurar el proceso de manera entrega pero no todas que se pueda generar un paz y salvo a la en su totalidad están persona que se retira firmadas Se identifica que no todos los usuarios Se debe garantizar el retiro de todos los retirados son dados aplicativos de alta en los diferentes SI
14
Dominio:
A.9 Seguridad Física y del Entorno.
Objetivo:
Para prevenir el acceso no autorizado físico, daños e interferencia a las instalaciones y la información de la organización.
A9.1.1
Perímetro de seguridad física
A9.1.2
Controles de entradas físicas
A9.1.3
Asegurar oficinas, salas e instalaciones
A9.1.4
La protección contra amenazas externas y ambientales
A9.1.5
Trabajar en zonas seguras
A9.1.6
Zonas de acceso público, de entrega y de carga
Perímetros de protección se utilizarán (barreras tales como paredes, puertas de entrada de la tarjeta controlada o mostradores de recepción tripulados) para proteger áreas que contienen las instalaciones de procesamiento de la información y de la información. Las áreas seguras quedará protegido por entrada apropiada controles para asegurarse de que se les permite el acceso sólo el personal autorizado ... La seguridad física de las oficinas, habitaciones e instalaciones, se diseñó y aplicó La protección física contra daños por incendio, inundación, terremoto, explosión, disturbios civiles, y otros tipos de catástrofes naturales o de srcen humano debe ser diseñada y aplicada. Protección física y pautas para el trabajo en las áreas de seguridad deben ser diseñadas y aplicadas. Los puntos de acceso, tales como las zonas de entrega y de carga y otros puntos en los que las personas no autorizadas puedan entrar los locales se deberán controlar y, si es posible, aislada
Registro de control de Acceso RBH Se evidencia que se tiene control de ingresos
D
Registro de control de Acceso RBH
D
D
MD
Sistema de intrusión, inundación, emergencia y de incendios
No se tiene evidencia
PNP
D
Se evidencia que se tiene control de ingresos Se tienen las protecciones mínimas Se tienen elementos de seguridad electrónica pero no se tiene un plan de continuidad de negocio No se tiene evidencia
Se debe diseñar la política de continuidad de negocio
Se deben establecer este tipo de controles
La Zona de cargue y descargue está lejos de la zona de servidores y de la zona restringida
15
de las instalaciones de procesamiento de información para evitar el acceso no autorizado.
Emplazamiento y Protección del equipo
El equipo deberá estar situado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado.
Apoyo a los servicios públicos
El equipo deberá estar protegida contra fallas de energía y otras interrupciones causadas por fallas en el apoyo a los servicios públicos.
A9.2.3
seguridad del cableado
Energía y telecomunicaciones cableadas que transporta datos o el apoyo a los servicios de información deben estar protegidos contra la interceptación o daño.
A9.2.4
El mantenimiento del equipo
El equipo debe mantenerse correctamente para permitir su continua disponibilidad e integridad.
A9.2.5
Seguridad de los equipos fuera de las instalaciones
Seguridad se aplicará a los equipos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajar fuera de los locales de la organización.
A9.2.1
A9.2.2
Guaya Se tiene guayas en todos los equipos
D UPS y fuentes de Respaldo
Se tiene UPS, Planta y fuentes de respaldo. No cuentan con la contingencia en telefonía pero si en
No se tiene Evidencia
Internet
MD
No se tiene protección
RD
Plan de mantenimiento
MD
No se tiene evidencia
PNP
Debe implementar un sistema de contingencia de telefonía
Se debe proteger el acceso al cableado expuesto
Alinear la fase del planear con la fase de ejecución y tomar acciones para garantizar el correcto mantenimiento Se debe crear el No se tiene procedimiento y registros de política para la equipos que salen aplicación de este de las instalaciones numeral Se tiene un plan de mantenimiento pero su ejecución no es real
16
A9.2.6
La eliminación segura o de re-uso de equipos
Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser evaluados para verificar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de forma segura antes de su eliminación.
Listado de inventario de software
MD
A9.2.7
Eliminación de los equipos
Equipo, la información o el software no se tomarán fuera del sitio sin la previa autorización.
D
Se tiene parcialmente documentando el proceso
Bodega de Sistemas
Se debe documentar y aplicar el proceso en su totalidad
Se tiene control sobre los medios y licencias de instalación con software encriptado
17
Dominio:
A.10 Gestión de las operaciones y las comunicaciones.
Objetivo:
Para asegurar la comunicación segura y las operaciones de intercambio de información
Descripción del control Los procedimientos de operación deberán ser documentados, mantenidos y puestos a disposición de todos los usuarios que los necesitan. Los cambios en las instalaciones y los sistemas de procesamiento de información deben controlarse. Deberes y áreas de responsabilidad deben estar separados para reducir las uso oportunidades de modificación o mal de los activos de la organización no autorizado o involuntario. Estarán separadas de desarrollo, prueba e instalaciones operacionales para reducir el riesgo de acceso no autorizado o alteraciones en el sistema operativo. Se velará por que los controles de seguridad, las definiciones de servicio, y los niveles de envío incluidos en el tercer acuerdo de prestación de servicios del partido se implementan, operado y mantenido por el tercero. Los servicios, los informes y los registros proporcionados por el tercero deberán ser controlados regularmente y revisados, y las auditorías se llevarán a cabo con regularidad.
Estado
Evidencia Intranet
RD
PNP
PNP
PNP
No se tiene evidencia No se
Recomendaciones
No se tiene evidencia
Se debe establecer un procedimiento sobre control de cambios
tiene evidencia
No se tiene segregación de tareas
No se tiene segregación de tareas
No se tiene evidencia
Se trabaja en un único entorno: Producción
Se deben separar los entornos de producción y pruebas
Política de SLA
D
PNP
Hallazgos
Se evidencian algunos Se deben crear y publicar todos procedimientos los procedimientos documentados y socializados
No se evidencia registro
Se tiene una política de SLA definida
No se tiene monitoreo activo
Se debe implementar el numeral 10.2.2
18
Los cambios en la prestación de servicios, incluido el mantenimiento y la mejora de las actuales políticas de seguridad de información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de los sistemas y procesos que intervienen empresas y re-evaluación de los riesgos. El uso de los recursos deberá ser monitoreada, afinado, y proyecciones de las futuras necesidades de capacidad para asegurar el rendimiento del sistema requerido. Los criterios de aceptación para los nuevos sistemas de información, actualizaciones y nuevas versiones serán establecidos y las
Se tiene planeación de cambios de manera superficial
MD
PNP
No se evidencia registro
No se evidencia registro
PNP
pruebas adecuadas del sistema) llevaron cabo durante el desarrollo y antes de la a aceptación. Se llevarán a cabo la detección, prevención y recuperación controles de protección contra código malicioso y los procedimientos apropiados de sensibilización usuario. Cuando se autorice el uso de código móvil, la configuración deberá garantizar que el código móvil autorizado opera de acuerdo con una política de seguridad claramente definido, y el código móvil no autorizado puede ser impedido de ejecutar. Copias de respaldo de la información y software serán tomadas y analizadas con regularidad de acuerdo con la política de copia de seguridad acordado.
No se tiene Establecer e implementar los control ni procedimientos necesarios para procedimientos garantizar las proyecciones No se tiene registro de aceptación además no se tienen responsables designados
Fortigate 80-C
MD
Se debe crear el procedimiento
Crear criterios de aceptación con los responsables
Se tienen habilitadas las opciones del UTM
Implementar otras alternativas de protección y monitoreo
No Aplica
No Aplica
No Aplica
NA
D
Manual de Se tiene la seguridad política de informática backups
19
Redes se gestionarán adecuadamente y controlados, con el fin de protegerse de las amenazas, y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluyendo la información en tránsito. Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de red, si estos servicios se ofrecen en la empresa o subcontratado. Deberá haber procedimientos establecidos para el manejo de los medios extraíbles. Medios deberán ser desechados de forma segura y sin peligro cuando ya no sea necesario, utilizando procedimientos formales. Los procedimientos para el manejo y almacenamiento de la información se establecerán para proteger esta información contra su divulgación o uso no autorizado.
Fortigate 80-C
MD
No se tiene evidencia
PNP
Realizar análisis periódicos para Se tiene establecer medidas de monitoreo pero protección basado en ataques no se analiza el reporte
No se tienen controles
Se deben establecer los requisitos de gestión para la red
MD
Manual de Se tiene el seguridad manual pero el Aplicar el control a los medios informática control no se extraíbles está aplicando
PNP
No se tiene evidencia
MD
Manual de Se tiene el seguridad manual pero el informática Aplicar el control control no se está aplicando
Documentación del sistema deben estar protegidos contra el acceso no autorizado.
D
Políticas formales de cambio, los procedimientos y los controles deberán estar en su lugar para proteger el intercambio de información mediante el uso de todo tipo de instalaciones de comunicación.
PNP
No se utiliza un mecanismo seguro de destrucción
Creación del procedimiento de destrucción de información
Manual de Se tiene seguridad documentado informática el proceso de custodia No se tienen No se tienen evidencia política de Definir la política y la aplicación intercambio de de todo el numeral 10.8 la información
20
Los acuerdos se establecieron para el intercambio de información y software entre la organización y las partes externas. Los medios que contienen información deben estar protegidos contra el acceso no autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización. Información involucrada en la mensajería electrónica será debidamente preservada. Las políticas y procedimientos deberán ser desarrollados e implementados para proteger la información asociada a la interconexión de los sistemas de información de negocios. Información involucrado en el comercio electrónico que pasa a través de redes públicas, serán protegidos de la actividad fraudulenta, disputa de contrato, y la divulgación y modificación no autorizada. Información involucrada en las transacciones en línea deberán estar protegidos para prevenir la transmisión incompleta, mal enrutamiento, alteración mensaje no autorizado, la divulgación no autorizada, la duplicación de mensajes no autorizada o la reproducción. La integridad de la información puesta a disposición de un sistema de acceso público debe ser protegida para evitar la modificación no autorizada. Los registros de auditoría de grabación de las actividades del usuario, excepciones y eventos de seguridad de información se producen y se conservarán durante un período acordado para ayudar en futuras
PNP
No se tienen evidencia
RD
PNP
Definir la política y la aplicación de todo el numeral 10.8
Se encriptan algunos de los datos
Definir la política y la aplicación de todo el numeral 10.8
No se tienen evidencia Fortigate 80-C
No se tiene los Definir la política y la aplicación respectivos de todo el numeral 10.8 controles
Fortigate 80-C
Se tiene la protección propia del UTM con la función IDS
MD
MD
D
No existen acuerdos
No se tiene los Definir la política y la aplicación respectivos de todo el numeral 10.8 controles
Se debe redoblar la seguridad y el monitoreo para este tipo de conexiones
Tokens financieros Se hace uso de los mecanismos de seguridad SSL y Token No Aplica
NA
PNP
No Aplica No se tiene evidencia
No se tienen auditorias
Generar proceso de auditorías para garantizar el cumplimiento de estándares
21
investigaciones y la vigilancia del control de acceso.
Procedimientos para el uso de vigilancia de las instalaciones de procesamiento de información se establecerán y los resultados de las actividades de seguimiento de revisiones regulares. Instalaciones de registro y la información de registro se protegerán contra la manipulación y acceso no autorizado.
Fortigate 80-C
RD
RD
Actividades del administrador del sistema y gestor de la red se registrarán.
MD
Fallos se registrarán, analizarán y tomarán las medidas correspondientes.
PNP
Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o dominio de seguridad se pueden sincronizar con una fuente horaria exacta acordada.
D
Fortigate 80-C
Se tiene Enmarcar el monitoreo activo a monitoreo mas la auditoría no auditoria No se analizan Analizar los incidentes de los logs seguridad
Fortigate 80-C
Se registran los logs pero no se
Analizar los incidentes de seguridad
No se tiene evidencia Servidor de Windows Server
evidencian No se tiene evidencia
Tomar medidas correctivas, preventivas y correctivas
Se tiene configurado por domino SNTP
22
Dominio:
A.11 Control de acceso.
Objetivo:
Para controlar el acceso a la información Descripción del control
Se establecerá una política de control de acceso, documentado y revisado basado A11.1.1 en los requisitos empresariales y de seguridad para el acceso.
A11.2.1
A11.2.2
Habrá un registro de usuario formal y procedimiento de la matrícula en el lugar para otorgar y revocar el acceso a todos los sistemas y servicios de información.
La asignación y el uso de los privilegios se limitarán y controlados.
Estado D
MD
D
A11.2.3
La asignación de contraseñas se controla a través de un proceso de gestión formal.
MD
A11.2.4
La dirección revisará los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.
RD
A11.3.1
Los usuarios estarán obligados a seguir las buenas prácticas de seguridad en la selección y uso de contraseñas.
D
A11.3.2
Los usuarios deberán asegurarse de que el equipo desatendido tiene la protección adecuada.
RD
Evidencia
Hallazgos
Manual de Se tiene SI documentado el procedimiento GLPI Se hace mediante el help desk pero no aplica en todos los casos DA Se tienen Windows privilegios Server claros y establecidos GLPI Se hace mediante el help desk pero no aplica en todos los casos GLPI No se tiene una revisión periódica GPO Se tiene Windows política de Server contraseñas seguras GPO La política del Windows GPO no está Server aplicando
Recomendaciones
Registrar todos los cambios de contraseña
Registrar todos los cambios de contraseña
Revisar la matriz de usuarios de manera periódica
Garantizar que los equipos desatendidos se auto bloqueen
23
A11.3.3
A11.4.1
A11.4.2
A11.4.3
A11.4.4
A11.4.5
A11.4.6
A11.4.7
Se adoptarán una política de escritorio limpio de papeles y soportes de almacenamiento extraíbles y una política de la pantalla clara para las instalaciones de procesamiento de información. Los usuarios sólo deberán disponer de acceso a los servicios que han sido específicamente autorizados para su uso. Métodos de autenticación adecuados se utilizan para controlar el acceso de usuarios remotos. Identificación automática de los equipos se considerará como un medio para autenticar las conexiones de los lugares y equipos específicos. Se controlará el acceso físico y lógico a los puertos de diagnóstico y configuración. Grupos de servicios de información, los usuarios y los sistemas de información deberán estar separados de las redes Para las redes compartidas, especialmente aquellas que se extienden a través de fronteras de la organización, la capacidad de los usuarios para conectarse a la red se limitará, en línea con la política y los requisitos de las aplicaciones de negocio de control de acceso (véase 11.1). Controles de enrutamiento se aplicarán a las redes para garantizar que las conexiones de la computadora y los flujos de información no infringen la política de control de acceso de las aplicaciones de negocio.
PNP
D
D
MD
NA MD
No se tiene evidencia
Fortigate 80-C
Fortigate 80-C Fortigate 80-C
Se controla mediante el UTM Se identifican conexiones pero no se analizan
Analizar las conexiones remotas
No Aplica No Aplica Cisco Core Fortigate 80-C
MD
Fortigate 80-C
D
Se controla mediante el UTM
Se segmenta por VLAN
Se debe buscar diferentes mecanismos de autenticaión
Se establecen conexiones seguras pero no se tiene política
Crear política de conexiones remotas
Se controla mediante el UTM
24
El acceso a los sistemas operativos se controla mediante un procedimiento de inicio de sesión seguro. Todos los usuarios deben tener un identificador único (ID de usuario) sólo para su uso personal, y una técnica de A11.5.2 autenticación adecuados serán elegidos para corroborar la identidad declarada de un usuario. Sistemas de gestión de contraseñas A11.5.3 serán interactivos y se asegurarán de contraseñas de calidad. El uso de programas utilitarios que podrían ser capaces de sistema y de A11.5.4 aplicación controles primordiales será restringido y estrechamente controlado. A11.5.1
D
D
Se tiene autenticacion
DA Windows Server
Se tiene política
D
GPO Windows server}
Se tiene control
Sesiones inactivas se cerrarán después de un período definido de inactividad.
RD
A11.5.6
Las restricciones a los tiempos de conexión se utilizan para proporcionar seguridad adicional para aplicaciones de alto riesgo.
PNP
El acceso a las funciones de información y sistemas de aplicaciones por los usuarios y el personal de apoyo se limitará de acuerdo con la política de control de acceso definido. Sistemas sensibles deben tener un A11.6.2 (aislado) entorno informático dedicado.
DA Windows Server
Se tiene control
D
A11.5.5
A11.6.1
DA Windows Server
GPO Windows server
Fortigate 80-C
Se evidencia que no se está aplicando la política No se evidencia las ventanas de tiempo de conexión
Garantizar que se aplique la política
Establecer horarios de conexión
DA Windows
MD
NA
No Aplica
25
A11.7.1
A11.7.2
Una política formal deberá estar en su lugar, y se adoptará medidas de seguridad para proteger contra los riesgos del uso de las instalaciones de computación móvil y la comunicación. Una política, planes y procedimientos operativos deberán ser desarrollados e implementado para las actividades de teletrabajo.
No Aplica
NA No Aplica
NA
26
Dominio: Objetivo:
A.12 Adquisición, desarrollo y mantenimiento de SI Para asegurar que la seguridad es una parte integral de los sistemas de información. Descripción del control
Declaraciones de los requerimientos del negocio para los nuevos sistemas de información, o mejoras de los sistemas A12.1.1 de información existentes especificarán los requisitos para los controles de seguridad. La entrada de datos a las aplicaciones deberá ser validada para asegurarse de A12.2.1 que esta información es correcta y apropiada. Comprobaciones de validación deberán ser incorporadas en las aplicaciones 12.2.2 para detectar cualquier corrupción de la información a través de los errores de procesamiento o actos deliberados. Requisitos para garantizar la autenticidad y la protección de la integridad del mensaje en las 12.2.3 aplicaciones deben ser identificados, y los controles apropiados identificados e implementados. La salida de datos desde una aplicación deberá ser validada para asegurarse de 12.2.4 que el procesamiento de la información almacenada es correcta y adecuada a las circunstancias. Una política sobre el uso de controles criptográficos para la protección de la A12.3.1 información debe ser desarrollado e implementado Gestión de claves estará en el lugar para 12.3.2 apoyar el uso de la organización de las técnicas criptográficas.
Estado
PNP
Evidencia
Hallazgos
No se registra evidencia
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
Recomendaciones
NA
NA
NA
NA
NA
NA
27
A12.4.1
A12.4.2 A12.4.3
A12.5.1
A12.5.2
A12.5.3
A12.5.4 A12.5.5
A12.6.1
Habrá procedimientos para controlar la instalación de software en los sistemas operativos Los datos de prueba deben seleccionarse cuidadosamente y protegidos y controlados. El acceso al código fuente del programa se limitará. La implementación de los cambios se controla mediante el uso de procedimientos formales de control de cambios. Cuando se cambian los sistemas operativos, aplicaciones críticas de negocio deben ser revisados y probados para asegurar que no hay impacto negativo en las operaciones de la organización o de la seguridad. Las modificaciones a los paquetes de software se pondrán trabas, otros, las modificaciones necesarias, y todos los cambios deben ser estrictamente controlados. Se impedirá Oportunidades para la fuga de información. Desarrollo de software externalizado será supervisado y controlado por la organización La información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información que se utilizan se obtiene, la exposición de la organización a tales vulnerabilidades evaluado y tomado las medidas adecuadas para hacer frente a los riesgos asociados.
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
No Aplica
NA NA NA NA
NA
NA
NA NA
NA
28
Dominio:
A.13 Gestión de los incidentes de la seguridad de la información
Objetivo:
Para garantizar la seguridad de la información de eventos y debilidades asociadas a los sistemas de información se comunican de una manera que permite acciones correctivas oportunas que deban tomarse. Descripción del control
Estado
Evidencia GLPI
Los eventos de seguridad de información se comunicarán a través de A13.1.1 canales de gestión adecuadas tan pronto como sea posible.
A13.1.2
A13.2.1
A13.2.2
A13.2.3
Todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información estarán obligados a observar y reportar cualquier debilidad de seguridad que observen o sospechen en los sistemas o servicios. Responsabilidades y procedimientos de manejo deberán ser establecidos para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información. Habrá mecanismos que permitan a los tipos, volúmenes y costos de los incidentes de seguridad de la información para ser cuantificados y controlados. Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de información implica una acción jurídica (civil o penal), se percibirá la evidencia, conservado, y se presentó a cumplir con las reglas para la prueba
D
Hallazgos
Recomendaciones
Se tiene el procedimiento establecido para la gestión de incidentes
GLPI Se reportan los incidentes por el Help
D
Desk GLPI
RD
PNP
No se tiene evidencia
No se tiene una respuesta inmediata
Se deben establecer los canales y recursos para garantizar una mayor oportunidad en relación con los incidentes de seguridad
Se tiene la herramienta Se debe desplegar la de análisis de herramienta de análisis impacto pero no se usa
GLPI
D
Se preservan las evidencias
29
prevista en la jurisdicción correspondiente (s ).
30
Dominio:
A.14 Gestión de la continuidad de negocio
Objetivo:
Para contrarrestar las interrupciones a las actividades comerciales y proteger los procesos críticos de negocio de los efectos de los fallos principales de los sistemas de información o los desastres y asegurar su oportuna reanudación. Descripción del control Un proceso gestionado se desarrolla y se mantiene la continuidad del negocio en toda la organización que se ocupa de A14.1.1 los requisitos de seguridad de la información necesaria para la continuidad del negocio de la organización. Los eventos que causar interrupciones en pueden los procesos de negocio deben ser identificados, junto con la probabilidad y el impacto de estas interrupciones y de sus consecuencias para la seguridad de la información. Los planes deberán desarrollarse y aplicarse para mantener o restaurar las operaciones y asegurar la disponibilidad A14.1.3 de información al nivel requerido y en las escalas de tiempo requeridas siguientes a la interrupción o el fracaso de los procesos críticos de negocio. Deberá mantenerse un único marco de los planes de continuidad del negocio para asegurar que todos los planes son A14.1.4 consistentes, para abordar de manera coherente los requisitos de seguridad de la información, y para identificar las prioridades de prueba y mantenimiento. A14.1.2
Estado
Evidencia No se tiene evidencia
PNP
PNP
No se tiene evidencia
No se tiene evidencia
PNP
No se tiene evidencia
PNP
Hallazgos
Recomendaciones
No se tiene plan de continuidad de negocio
No se tiene plan de continuidad de negocio
No se tiene plan de recuperación de desastres
No se tiene plan de continuidad de negocio
31
A14.1.5
Los planes de continuidad deberán ser probados y actualizados regularmente para asegurarse de que están al día y efectivo.
PNP
No se tiene evidencia
No se tiene plan de continuidad de negocio
32
Dominio:
A.15 Cumplimiento
Objetivo:
Para evitar el rebasamiento de cualquier ley, obligaciones legales, reglamentarias o contractuales, y de los requisitos de seguridad.
Descripción del control
A15.1.1
A15.1.2
Todos los requisitos legales, reglamentarios y contractuales pertinentes y por el enfoque de la organización para cumplir con estos requisitos se definirán explícitamente, documentados, y se mantienen al día para cada sistema de información y la organización. Procedimientos apropiados se aplicarán para garantizar el cumplimiento de requisitos legales, reglamentarios y contractuales sobre el uso de material con respecto al cual puede haber derechos de propiedad intelectual y sobre el uso de productos de software propietario.
Registros importantes estarán protegidos contra pérdida, destrucción y A15.1.3 falsificación, de acuerdo con los requisitos legales, reglamentarios, contractuales y de negocios.
A15.1.4
Protección de datos y privacidad se garantizará como se requiere en la legislación pertinente, los reglamentos, y, si procede, las cláusulas contractuales.
Estado
Evidencia
Hallazgos
Recomendaciones
Matriz Legal
MD
D
MD
D
La matriz legal no está Actualizar la matriz legal actualizada
Se protege los derechos de autor
Política de Se tiene una backups política de backup pero Proteger de manera segura debe los registros ampliarse el alcance Política de Se tiene una protección política de de datos protección de datos desplegada
33
A15.1.5
Los usuarios se decidan a utilizar las instalaciones de procesamiento de información para fines no autorizados.
MD
A15.1.6
Controles criptográficos serán utilizados en cumplimiento de todos los acuerdos, leyes y reglamentos.
D
A15.2.1
A15.2.2
A15.3.1
A15.3.2
Administradores se asegurarán de que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las políticas y estándares de seguridad. Los sistemas de información deben ser revisados regularmente por el cumplimiento de las normas de aplicación de la seguridad. Requisitos de auditoría y las actividades relacionadas con los controles de los sistemas operativos deberán ser planeadas cuidadosamente y acordaron reducir al mínimo el riesgo de interrupciones en los procesos de negocio. El acceso a las herramientas de auditoría de sistemas de información debe ser protegido para evitar cualquier posible mal uso o el compromiso.
RD
PNP
Se controla de manera Generar mecanismos superflua los efectivos de control accesos Protocolos La seguros: información SSL, se transmite Https de manera segura No se tiene evidencia Se debe asegurar este numeral
No se tiene evidencia No se tiene evidencia
PNP
PNP
No se tiene evidencia
No se realizan auditorías
Se debe realizar auditorías periódicas a los SI
No se realizan auditorías
Se debe realizar auditorías perimidas a los SI
No se realizan auditorías
Se debe realizar auditorías perimidas a los SI
34
Resultados del análisis aplicado Figura 2 Estado de clasificación en número y porcentaje
Normas ISO 27001:2005 Implementación - Estado de Clasificación en número y porcentaje
4, 4%
0, 0%
18, 15% 11, 9% 85, 72%
Proceso Cumple con la norma y esta documentado Proceso se lleva a cabo y se debe documentar Proceso no cumple con la norma y debe ser rediseñado Proceso no está en su lugar / no esta implementado Proceso no es aplicable
Fuente: El Autor Figura 3 Estado de Clasificación en números
Normas ISO 27001:2005 Implementación - Estado de Clasificación en números
100
85
80 60 40 20
18 4
11 0
0 Proceso Cumple Proceso se lleva a Proceso no cumple Proceso no está en con la norma y esta cabo y se debe con la norma y su lugar / no esta documentado documentar debe ser implementado rediseñado
Proceso no es aplicable
Fuente: El Autor
35
Figura 4 Implementación de procesos
Status :- Implementación de procesos cumplen con la norma ISO 27001:2005 y documentado
t n e c r e P n I
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
Fuente: El Autor
36
Figura 5 Implementación de procesos por áreas
Status :- Implementación de procesos cumplen con la norma ISO 27001:2005 y documentado 100% 90% 80% e g 70% ta n e 60% c r e p 50% e c n 40% a li p m 30% o C
Conformidad % Meta
20% 10% 0%
Fuente: El Autor
37
Figura 6 Estado por clasificación
ISO 27001:2005 Controles Apéndice-A Implementación Estado por la Clasificación en número y porcentaje
7, 5%
23, 17% 5, 4%
49, 37%
49, 37%
Controles documentados e implementados Controles implementados deben ser documentados Controles implementados no cumplen con las normas, tiene que rediseñar Control no implementado y documentado Controles no aplicados
Fuente: El Autor
38
Figura 7 Estado por Dominio
Apendice A - Controles Implem entación - Estado po r dominio 120% 100% 80% Conformidad %
60%
Meta
40% 20% 0%
e d a itc li o P
d a d ir u g e S
e d n ó i c a iz n a g r O
… d a id r u g e s a l
e d n ió t s e G
s o v it c A
e d d a id r u g e s a L
… s o rs u c e r s o l
d a d ir u g e s a L
l a t n e i b m a y a ic is f
e d n ó ti s e G
… n ó i c a ic n u m o C
e d l o tr n o C
o s e c c A
e d n ó i c i s i u q d A
… e d s a m e t is s
e d n ió t s e G
… e d s e t n e d i c n i
e d n ó ti s e G
l… e d d a d i u n ti n o c
d a id m r fo n o C
Fuente: El Autor
39
LISTA DE CHEQUEO Numeral Norma A.5 A5.1
Título de control
Descripción del Status control Política de Seguridad Información Política de Seguridad
Lista de Chequeo
Un documento de política de seguridad de la información deberá A.5.1.1
Documento Política dede seguridad de la información
A.5.1.2
Revisión de la Política de Seguridad
A.6 A.6.1
A.6.1.1
ser aprobado poryla administración, publicado y comunicado a todos los empleados y colaboradores externos. La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios significativos para asegurar su conveniencia, adecuación y eficacia.
D
Se encuentra publicada la política de Información
D
Se encuentra publicada la política de Información
Organización de la seguridad de la información Organización Interna
Compromiso de la dirección de seguridad de la información
Gestión apoyará activamente a la seguridad dentro de la organización a través de una dirección clara, demuestra el compromiso, la asignación explícita, y el reconocimiento de las responsabilidades de seguridad de la información.
D
Existen políticas claras por parte de la alta dirección en relación al SGSI?
40
A.6.1.2
Coordinación de la seguridad de información
La asignación de las A.6.1.3
responsabilidades de seguridad de la información
A.6.1.4
Proceso de autorización para instalaciones de procesamiento de información
A.6.1.5
Los acuerdos de confidencialidad
A.6.1.6
Contacto con las autoridades
A.6.1.7
Contacto con grupos de interés especial
Actividades de seguridad de información estarán coordinadas por representantes de diferentes sectores de la organización con un papel relevante y función de trabajo. Todas las responsabilidades de seguridad de la información deben estar claramente definidas. Un proceso de autorización de la administración para las nuevas instalaciones de procesamiento de información se define y se aplica. Requisitos para los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la información deben ser identificados y revisados con regularidad. Se mantendrán los contactos apropiados con las autoridades pertinentes. Se mantendrán los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales.
MD
Existe un organigrama donde se evidencie los cargos asignados con la confidencialidad de la información?
Se debe validar un perfil del cargo y allí
RD
PNP
D
PNP
deben estar las responsabilidades en relacion al SGSI
Se tiene el proceso documentado para las nuevas instalaciones
Se tienen NDA creados y debidamente identificados?
Se tiene un listado de contactos de las autoridades de manera actualizada? N/A
NA
41
A.6.1.8
Revisiones independientes de la policita de seguridad de la información
A6.2
A.6.2.1
A.6.2.2
El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es decir, los objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) se revisará de forma independiente a intervalos planificados, o cuando se producen cambios significativos en la implementación de seguridad se producen.
RD
Validar informes de auditorías internas o externas
Partes Externas Los riesgos para la información y las instalaciones de procesamiento de información de la organización de los Identificación de los procesos de riesgos negocio relacionados con relacionados con los agentes las partes externas externos deben ser identificados y los controles apropiados implementados antes de conceder el acceso. Todos los requisitos de seguridad identificados Abordar la deberán dirigirse seguridad cuando antes de dar a los se trata de clientes clientes el acceso a la información o de los activos de la
PNP
Se realiza Análisis de Riesgos a terceros?,
PNP
Existe un registro de ingreso con las características requeridas para conceder permiso a terceros
organización.
42
A.6.2.3
Abordar la seguridad en los contratos de terceros
Acuerdos con terceros relacionados con el acceso, tratamiento, la comunicación o la gestión de la información o de las instalaciones de procesamiento de información de la organización, o la adición de productos o servicios a las instalaciones de procesamiento de información se referirán a todos los requisitos de seguridad pertinentes.
RD
A.7
Gestión de Activos
A.7.1
La responsabilidad de los activos
A.7.1.1
Inventarios de Activos
A.7.1.2
Propiedad de Activos
A.7.1.3
Uso aceptables de los activos
Todos los activos deben estar claramente identificados y un inventario de todos los activos importantes establecimiento y el mantenimiento. Toda la información y los activos asociados a las instalaciones de tratamiento de la información serán propiedad de una parte designada de la organización. Normas para el uso aceptable de la información y de los activos asociados a las instalaciones de
D
Se tienen definidos en los contratos de terceros un SGSI
Se tienen inventario de Activos?
MD
Se tiene responsahle de cada activo con su respectiva evidencia
PNP
Existen controles para uso de activos
procesamiento información de deberán ser identificados,
43
documentados e implementados.
A.7.2
clasificación de la información
A.7.2.1
directrices de clasificación
A.7.2.2
Etiquetado de la información y la manipulación
Laclasificará información ense función de su valor, los requisitos legales, la sensibilidad y criticidad para la organización. Un conjunto apropiado de procedimientos para el etiquetado de información y de tramitación se desarrollará y ejecutará de conformidad con el sistema de clasificación adoptado por la organización.
PNP
Existe una matriz de clasificación de requisitos legales
PNP
Se encuentra etiquetada toda la información
A.8
La seguridad de los recursos humanos
A.8.1
Antes del Empleo
A.8.1.1
Roles y Responsabilidades
Funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes de protección se definen y documentan de conformidad con la política de
RD
En el perfil de cargo está definidas de manera clara las funciones y responsabilidades?
44
seguridad de la información de la organización.
A.8.1.2
A.8.1.3
Proyección
Términos y condiciones del empleo
Controles de verificación de antecedentes de todos los candidatos a empleo, contratistas y usuarios de terceras partes se llevarán a cabo de conformidad con las leyes, regulaciones y ética, y proporcional a los requerimientos del negocio, la clasificación de la información que se acceda, y los riesgos percibidos. Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes se pondrán de acuerdo y firmar los términos y condiciones de su contrato de trabajo, en el que expondrá y responsabilidades de sus de la organización para la seguridad de la información.
D
Existe evidencia de la investigación de antecedentes
D
Se tiene una cláusula de confidencialidad y de derechos de autor, comerciales y patrimoniales?
45
A.8.2
A.8.2.1
A.8.2.2
A.8.2.3
Durante el empleo
Gestión de responsabilidades
Administración exigir a los empleados, contratistas y usuarios de terceras partes para aplicar la seguridad de conformidad con las políticas y procedimientos de la organización establecidas Todos los empleados de la organización y, en su caso, los contratistas y
usuarios de terceras partes, Concienciación deberán recibir una sobre la seguridad capacitación de la información, la adecuada educación y la sensibilización y formación actualizaciones regulares en las políticas y procedimientos de la organización, que sea relevante para su función de trabajo. Habrá un proceso disciplinario formal Proceso para los empleados Disciplinario que han cometido una infracción de seguridad.
PNP
Se tiene evidencia de que las responsabilidades son socializadas con los terceros
MD
Se tiene evidencia de las capacitaciones
D
Se tiene un procedimiento documentado o se tiene en el manual interno de trabajo la escala de sanciones
46
A.8.3
A.8.3.1
A.8.3.2
A.8.3.3
El termino o cambio de empleo
Termino de responsabilidades
Retorno de los activos
Las responsabilidades para la realización de la terminación del empleo o cambio de empleo, deberán estar claramente definidas y asignadas. Todos los empleados, contratistas y usuarios de terceras partes deberán devolver todos los activos de la organización en su poder a la terminación de su empleo, contrato o acuerdo.. Los derechos de acceso de todos los empleados,
contratistas y usuarios de terceras partes a las instalaciones de procesamiento de Eliminación de los la información y de derechos de acceso la información del reglamento serán eliminados después de la terminación de su empleo, contrato o acuerdo, o se ajustan al cambio.
PNP
Se tiene documentado el proceso de cese o cambio?
MD
SE tiene un registro que certifique la devolución de activos?
MD
Se retiran los privilegios a cada usuario retirado
A.9
La seguridad física y ambiental
A9.1
Áreas Seguras
47
A9.1.1
A9.1.2
A9.1.3
A9.1.4
A9.1.5
Perímetros de protección se utilizarán (barreras tales como paredes, puertas de entrada de la tarjeta controlada o Perímetro de mostradores de seguridad física recepción tripulados) para proteger áreas que contienen las instalaciones de procesamiento de la información y de la información. Las áreas seguras quedará protegido por entrada apropiada controles Controles de para asegurarse de entradas físicas que se les permite el acceso sólo el personal autorizado... La seguridad física Asegurar oficinas, de las oficinas, salas e habitaciones e instalaciones instalaciones, se diseñó y aplicó La protección física contra daños por incendio, inundación, terremoto, La protección contra explosión, amenazas externas disturbios civiles, y y ambientales otros tipos de catástrofes naturales o de srcen humano debe ser diseñada y aplicada. Protección física y pautas para el trabajo en las áreas Trabajar en zonas de seguridad seguras deben ser diseñadas y aplicadas.
D
Existen control de acceso o puertas de seguridad para impedir el acceso a áreas no autorizadas?
D
Se tiene registro de los ingresos
D
Se tiene controles de acceso, UPS y personal de vigilancia
MD
Se tiene sensores de humo, inundación y plan de contingencia en caso de un evento catastrófico
PNP
Se tiene protección para las áreas seguras
48
A9.1.6
Zonas de acceso público, de entrega y de carga
A9.2
A9.2.1
Los puntos de acceso, tales como las zonas de entrega y de carga y otros puntos en los que las personas no autorizadas puedan entrar los locales se deberán controlar y, si es posible, aislada de las instalaciones de procesamiento de información para evitar el acceso no autorizado.
D
Se tiene controles en las zonas de cargue o descargue
Seguridad de los equipos
Emplazamiento y Protección del equipo
A9.2.2
Apoyo a los servicios públicos
A9.2.3
seguridad del cableado
A9.2.4
El mantenimiento del equipo
El equipo deberá estar situado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado. Elestar equipo deberá protegida contra fallas de energía y otras interrupciones causadas por fallas en el apoyo a los servicios públicos. Energía y telecomunicaciones cableadas que transporta datos o el apoyo a los servicios de información deben estar protegidos contra la interceptación o daño. Elmantenerse equipo debe correctamente para permitir su continua
D
Se tienen protección con guayas a los equipos
MD
Se tiene UPS, fuentes de respaldo o planta electica, líneas telefónicas de contingencia
RD
Se tiene el cableado protegido
MD
Se tiene y se aplica un plan de mantenimiento?
49
disponibilidad e integridad.
A9.2.5
Seguridad se aplicará a los equipos fuera de Seguridad de los las instalaciones, equipos fuera de las teniendo en cuenta instalaciones los diferentes riesgos de trabajar fuera de los locales
A9.2.6
La eliminación segura o de re-uso de equipos
A9.2.7
Eliminación equiposde los
de la organización. Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser evaluados para verificar que los datos sensibles y el software con licencia se ha eliminado o sobrescrito de forma segura antes de su eliminación. Equipo, la información o el software no se tomarán fuera del sitio sin la previa autorización.
PNP
Se tiene un control de los equipos que están fuera de las instalaciones
MD
Se tiene protección de Pendrives, USB, Discos duros para evitar la fuga de información
Se tiene controles
D
sobre las licencias de uso y sus medios de instalación?
A10
Gestión de Comunicación y Operaciones
A10.1
Procedimientos y responsabilidades operacionales
A10.1.1
Procedimientos operacionales, adecuadamente documentados
A10.1.2
Gestión del Cambio
Los procedimientos de operación deberán ser documentados, mantenidos y puestos a disposición de todos los usuarios que los necesitan. Los cambios en las instalaciones y los sistemas de procesamiento de información deben controlarse.
RD
PNP
Existen procedimientos documentados y socializados
Se tiene control sobre los cambios?
50
A10.1.3
A10.1.4
Deberes y áreas de responsabilidad deben estar separados para reducir las La segregación de oportunidades de funciones modificación o mal uso de los activos de la organización no autorizado o involuntario. Estarán separadas de desarrollo, prueba e Separación de instalaciones desarrollo, prueba e operacionales para instalaciones reducir el riesgo de operacionales acceso no autorizado o alteraciones en el sistema operativo.
A10.2
PNP
Las tareas son segregadas
PNP
Se tienen diferentes entornos de manera independiente?
Gestión de entrega de servicios de terceros
Se velará por que los controles de seguridad, las definiciones de
A10.2.1
Servicio de entrega
A10.2.2
El seguimiento y la revisión de los servicios de terceros
servicio, y los niveles de envío incluidos en el tercer acuerdo de prestación de servicios del partido se implementan, operado y mantenido por el tercero. Los servicios, los informes y los registros proporcionados por el tercero deberán ser controlados regularmente y revisados, y las
D
PNP
Se tienen políticas de SLA
Se monitorean los servicios
auditorías secon llevarán a cabo regularidad.
51
A10.2.3
Gestión de cambios en los servicios de terceros
A10.3
Los cambios en la prestación de servicios, incluido el mantenimiento y la mejora de las actuales políticas de seguridad de información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de los sistemas y procesos que intervienen empresas y reevaluación de los riesgos.
MD
Planificación y aceptación del sistema
A10.3.1
gestión de la capacidad
A10.3.2
la aceptación del sistema
A10.4
El uso de los recursos deberá ser monitoreada, afinado, y proyecciones de las futuras necesidades de capacidad para asegurar el rendimiento del sistema requerido. Los criterios de aceptación para los nuevos sistemas de información, actualizaciones y nuevas versiones serán establecidos y las pruebas adecuadas del sistema) llevaron a cabo durante el desarrollo y antes de la aceptación.
PNP
Existe el control sobre las capacidades de manera que garantice las nuevas implementaciones
PNP
Se tiene procedimientos y registros de aceptación
Protección contra código malicioso y móvil Se llevarán a cabo la detección, prevención y
A10.4.1
Se planea los cambios
Controles contra código malicioso
recuperación controles de protección contra código malicioso y los procedimientos
Se tienen las protecciones y el
MD
monitoreo de inyección de código malicioso
52
apropiados de sensibilización usuario.
A10.4.2
A10.5
Controles contra códigos móviles
Cuando se autorice el uso de código móvil, la configuración deberá garantizar que el código móvil autorizado opera de acuerdo con una política de seguridad claramente definido, y el código móvil no autorizado puede ser impedido de ejecutar.
Back-up
Para mantener la integridad y la disponibilidad de instalaciones de procesamiento de la información y de la información.
NA
N/A
Copias de respaldo
A10.5.1
A10.6
Información back-up
Gestión de la seguridad de la red
de la información y software serán tomadas y analizadas con regularidad de acuerdo con la política de copia de seguridad acordado.
D
Se tiene y se ejecuta una política de copia de seguridad
Para garantizar la protección de la información en las redes y la protección de la infraestructura de apoyo.
53
A10.6.1
controles de red
A10.6.2
Seguridad de los servicios de red
A10.7
manejo del soporte
A10.7.1
Gestión de soportes extraíbles
A10.7.2
La eliminación de los medios de comunicación
Redes se gestionarán adecuadamente y controlados, con el fin de protegerse de las amenazas, y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluyendo la información en tránsito. Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de red, si estos servicios se ofrecen en la empresa o subcontratado.
MD
Se tiene monitoreo de la red con algún mecanismo activo?
PNP
Se tiene control para proteger la información sensible?
MD
Se controlan los medios extraíbles
PNP
Se tiene política para destrucción y baja de datos de forma segura
Para evitar la divulgación no autorizada, modificación, eliminación o destrucción de bienes, y la interrupción de las actividades comerciales. Deberá haber procedimientos establecidos para el manejo de los medios extraíbles. Medios deberán ser desechados de forma segura y sin peligro cuando ya no sea necesario, utilizando procedimientos formales.
54
A10.7.3
Información del manejo de los procedimientos
A10.7.4
Seguridad de la documentación del sistema
A10.8
Intercambio de información
A10.8.1
Las políticas y los procedimientos de intercambio de información
A10.8.2
Los acuerdos de intercambio
A10.8.3
Medios físicos en tránsito
Los procedimientos para el manejo y almacenamiento de la información se establecerán para proteger esta información contra su divulgación o uso no autorizado. Documentación del sistema deben estar protegidos contra el acceso no autorizado.
MD
Se tienen controles para evitar vulnerabilidad de la información
D
Se ´posee custodia sobre la información del sistema?
PNP
Se tiene política para intercambio de información?
PNP
Existen acuerdos de intercambio con terceros
RD
Se tienen políticas de encripción de datos
Para mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier entidad externa. Políticas formales de cambio, los procedimientos y los controles deberán estar en su lugar para proteger el intercambio de información mediante el uso de todo tipo de instalaciones de comunicación. Los acuerdos se establecieron para el intercambio de información y software entre la organización y las partes externas. Los medios que contienen información deben estar protegidos contra el acceso no autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.
55
A10.8.4
A10.8.5
Mensajería Electrónica
Sistemas de información de negocios
A10.9
Servicios de comercio electrónico
A10.9.1
Comercio Electrónico
A10.9.2
Transacciones Online
Información involucrada en la mensajería electrónica será debidamente preservada. Las políticas y procedimientos deberán ser desarrollados e implementados para proteger la información asociada a la interconexión de los sistemas de información de negocios.
PNP
Se tiene seguridad sobre la mensajería electrónica
MD
Existen controles y monitoreo de conexiones internas y externas
MD
Se protegen los canales de comercio electrónico
Para garantizar la seguridad de los servicios de comercio electrónico, y su uso seguro. Información involucrado en el comercio electrónico que pasa a través de redes públicas, serán protegidos de la actividad fraudulenta, disputa de contrato, y la divulgación y modificación no autorizada. Información involucrada en las transacciones en línea deberán estar protegidos para prevenir la transmisión incompleta, mal enrutamiento, alteración mensaje no autorizado, la divulgación no autorizada, la duplicación de
D
Se protegen las transacciones en línea
mensajes no autorizada o la reproducción.
56
A10.9.3
A10.10
Información pública
La integridad de la información puesta a disposición de un sistema de acceso público debe ser protegida para evitar la modificación no autorizada.
Monitoreo
Para detectar las actividades de procesamiento de información no autorizados.
A10.10.1
Registro de Auditoria
A10.10.2
Uso del sistema de monitoreo
A10.10.3
Protección de los registros de información
A10.10.4
Administración y operación de los registros de información
Los registros de auditoría de grabación de las actividades del usuario, excepciones y eventos de seguridad de información se producen y se conservarán durante un período acordado para ayudar en futuras investigaciones y la vigilancia del control de acceso. Procedimientos para el uso de vigilancia de las instalaciones de procesamiento de información se establecerán y los resultados de las actividades de seguimiento de revisiones regulares. Instalaciones de registro y la información de registro se protegerán contra la manipulación y acceso no autorizado. Actividades del administrador del sistema y gestor de la red se registrarán.
NA
Se protege la información que se publica?
PNP
Existen registros de auditorias?
RD
Existe monitoreo del sistema
RD
Existen controles a los logs generados por los SI
MD
Se monitorea el acceso a la red
57
A10.10.5
A10.10.6
Fallo de Registros
Sincronización de Relojes
A11 A11.1
A11.1.1
A11.2
Fallos se registrarán, analizarán y tomarán las medidas correspondientes. Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o dominio de seguridad se pueden sincronizar con una fuente horaria exacta acordada.
PNP
D
Se tiene control sobre los incidentes de seguridad
Se tiene un servidor SNTP
Control de Acceso Requerimiento de Para controlar el negocio de control acceso a la de acceso información.
Política de control de acceso
Se establecerá una política de control de acceso, documentado y revisado basado en los requisitos empresariales y de seguridad para el acceso.
D
Se tiene una política de control de Acceso
Para garantizar el acceso del usuario Gestión de acceso autorizado y de los usuarios evitar el acceso no autorizado a los sistemas de información.
A11.2.1
Registro de Usuarios
A11.2.2
Administración de Privilegios
Habrá un registro de usuario formal y procedimiento de la matrícula en el lugar para otorgar y revocar el acceso a todos los sistemas y servicios de información. La asignación y el uso de los privilegios se limitarán y controlados.
MD
D
Se tiene un procedimiento claro de registro de usuario?
Se tiene restricción por perfiles
58
A11.2.3
A11.2.4
A11.3
A11.3.1
A11.3.2
A11.3.3
A11.4
La asignación de contraseñas se controla a través de un proceso de gestión formal. La dirección revisará los derechos de Revisión de los acceso de los derechos de acceso usuarios a de usuario intervalos regulares utilizando un proceso formal. Administración de Password de Usuarios
MD
Se evidencia el proceso de asignación y baja de contraseñas?
RD
Se tiene matriz de usuarios y permisos y esta es revisada de manera periódica?
D
Se tiene política de contraseñas seguras?
RD
Se tiene auto bloqueo para los sistemas desatendidos
Para prevenir el acceso no autorizado de usuarios, y el Responsabilidades compromiso o el de los usuarios robo de las instalaciones de procesamiento de la información y de la información. Los usuarios estarán obligados a seguir las buenas Utilización de prácticas de Contraseña seguridad en la selección y uso de contraseñas. Los usuarios deberán asegurarse de que Equipo de usuarios el equipo desatendido desatendido tiene la protección adecuada. Se adoptarán una política de escritorio limpio de papeles y soportes Política de escritorio de almacenamiento y pantalla en blanco extraíbles y una o despejado política de la pantalla clara para las instalaciones de procesamiento de información.
PNP
Se tiene política de escritorios limpios?
Para prevenir el Control de acceso acceso no de red autorizado a los servicios en red.
59
A11.4.1
A11.4.2
A11.4.3
A11.4.4
A11.4.5
A11.4.6
Los usuarios sólo deberán disponer de acceso a los Política sobre el uso servicios que han de los servicios de sido red específicamente autorizados para su uso. Métodos de autenticación Autenticación de adecuados se usuario para las utilizan para conexiones controlar el acceso externas de usuarios remotos. Identificación automática de los equipos se Identificación de los considerará como equipos en las un medio para redes autenticar las conexiones de los lugares y equipos específicos. Se controlará el Diagnóstico remoto acceso físico y y protección puerto lógico a los puertos de configuración de diagnóstico y configuración. Grupos de servicios de información, los usuarios y los Segregación en sistemas de redes información deberán estar separados de las redes Para las redes compartidas, especialmente aquellas que se extienden a través de fronteras de la organización, la capacidad de los Control de la usuarios para conexión de red conectarse a la red se limitará, en línea con la política y los requisitos de las
D
Se tienen políticas de control de acceso a la redes?
D
Se tienen medidas de autenticación para conexiones externas
MD
Se identifican las conexiones remotas?
NA
Se tiene protección a los puertos de configuración y diagnóstico de los dispositivos
MD
Las redes son segmentadas?
MD
Se tiene política de conexiones externas
aplicaciones de negocio de control de acceso (véase 11.1).
60
A11.4.7
A11.5
Control de Ruta de red
D
Se tienen filtros de enrutamiento
D
Se tiene control de inicio de sesión
D
Se tiene autenticacion por usuario
D
Se gestionan las contraseñas de forma segura?
Para prevenir el Control de acceso acceso no del sistema autorizado a los operativo sistemas operativos.
A11.5.1
Procedimientos de Inicio Seguro
A11.5.2
Identificación y autenticación de usuarios
A11.5.3
Sistema de gestión de contraseñas
A11.5.4
Controles de enrutamiento se aplicarán a las redes para garantizar que las conexiones de la computadora y los flujos de información no infringen la política de control de acceso de las aplicaciones de negocio.
Uso de las utilidades del sistema
El acceso a los sistemas operativos se controla mediante un procedimiento de inicio de sesión seguro. Todos los usuarios deben tener un identificador único (ID de usuario) sólo para su uso personal, y una técnica de autenticación adecuados serán elegidos para corroborar la identidad declarada de un usuario. Sistemas de gestión de contraseñas serán interactivos y se asegurarán de contraseñas de calidad. El uso de programas utilitarios que podrían ser capaces de sistema y de aplicación controles primordiales será restringido y
D
Se limita el uso de software?
61
estrechamente controlado.
A11.5.5
Sesión de tiempo de espera
A11.5.6
Limitación de tiempo de conexión
A11.6
El control de aplicaciones y acceder a información
A11.6.1
A11.6.2
A11.7
Restricción de acceso Información
Aislamiento del sistema Sensible
Computadores Móviles y Teletrabajo
Sesiones inactivas se cerrarán después de un período definido de inactividad. Las restricciones a los tiempos de conexión se utilizan para proporcionar seguridad adicional para aplicaciones de alto riesgo.
RD
Se cierran las conexiones por inactividad de manera automática
PNP
Hay restriccion de horarios de conexión remota
Para prevenir el acceso no autorizado a la información contenida en los sistemas de aplicación. El acceso a las funciones de información y sistemas de aplicaciones por los usuarios y el personal de apoyo se limitará de acuerdo con la política de control de acceso definido. Sistemas sensibles deben tener un (aislado) entorno informático dedicado.
MD
Se tienen ACL para acceder a la información
NA
Se tienen aislados los sistemas con información sensible?
Para garantizar la seguridad de la información cuando se utilizan las instalaciones de computación y teletrabajo móvil.
62
A11.7.1
Computadores Móviles y comunicaciones
A11.7.2
Teletrabajo
A12 A12.1
A12.1.1
A12.2
A12.2.1
Una política formal deberá estar en su lugar, y se adoptará medidas de seguridad para proteger contra los riesgos del uso de las instalaciones de computación móvil y la comunicación. Una política, planes y procedimientos operativos deberá ser desarrollado e implementado para las actividades de teletrabajo.
NA
Se controlan las comunicaciones móviles?
NA
Se hace teletrabajo?
Adquisición de sistemas de información, desarrollo y mantenimiento Para asegurar que Los requisitos de la seguridad es seguridad de los una parte integral sistemas de de los sistemas información de información.
Análisis de los requisitos de seguridad y las especificaciones
Declaraciones de los requerimientos del negocio para los nuevos sistemas de información, o mejoras de los sistemas de información existentes especificarán los requisitos para los controles de seguridad.
Procesamiento correcto en aplicaciones
Para evitar errores, la pérdida, modificación o mal uso de la información en la aplicación no autorizada.
La entrada de datos a las aplicaciones deberá ser validada Validación de Datos para asegurarse de de Entrada que esta información es correcta y apropiada.
PNP
Se tiene política y alcance para la adquisición de los nuevos sistemas de información
NA
Se poseen reglas de validación para las aplicaciones
63
12.2.2
Control del procesamiento interno
12.2.3
Integridad de los mensajes
12.2.4
Validación de datos de salida
A12.3
Controles criptográficos
A12.3.1
Política sobre el uso de controles criptográficos
12.3.2
Gestión de claves
Comprobaciones de validación deberán ser incorporadas en las aplicaciones para detectar cualquier corrupción de la información a través de los errores de procesamiento o actos deliberados. Requisitos para garantizar la autenticidad y la protección de la integridad del mensaje en las aplicaciones deben ser identificados, y los controles apropiados identificados e implementados. La salida de datos desde una aplicación deberá ser validada para asegurarse de que el procesamiento de la información almacenada es correcta y adecuada a las circunstancias.
NA
Se valida la calidad del dato?
NA
Se tiene control sobre la integridad y las respectivos controles de error de manera que para el usuario sea entendible
NA
Se controla la salida de los datos?
NA
Se encriptan la información sensible?
NA
Se encriptan las claves
Para proteger la confidencialidad, autenticidad o integridad de la información por medios criptográficos. Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollado e implementado Gestión de claves estará en el lugar para apoyar el uso de la organización de las técnicas criptográficas.
64
A12.4
A12.4.1
A12.4.2
A12.4.3
A12.5
A12.5.1
A12.5.2
A12.5.3
Seguridad de los archivos del sistema
Para garantizar la seguridad de los archivos del sistema
Habrá procedimientos para controlar la Control del Software instalación de Operacional software en los sistemas operativos Los datos de prueba deben Protección de los seleccionarse datos de prueba del cuidadosamente y sistema protegidos y controlados. El acceso al código Control de acceso fuente del al código fuente del programa se programa limitará.
Seguridad en desarrollo y soporte de procesos
NA
Se tiene un correcto proceso para instalación segura?
NA
Se tiene documentadas las pruebas de funcionalidad
NA
Se tiene control al código fuente
NA
Se tiene la gestión de cambios?
NA
Se tienen los procedimientos de testing y de entornos de prueba
NA
Se controlan los cambios
Para mantener la seguridad de software de sistema de aplicación y la información.
La implementación de los cambios se controla mediante Procedimientos de el uso de control de cambio procedimientos formales de control de cambios. Cuando se cambian los sistemas operativos, aplicaciones Revisión técnica de críticas de negocio aplicaciones deben ser después de revisados y cambios en el probados para sistema operativo asegurar que no hay impacto negativo en las operaciones de la organización o de la seguridad. Las modificaciones a los paquetes de Restricciones en los software se cambios a los pondrán trabas, paquetes de otros, las software modificaciones necesarias, y todos
65
los cambios deben ser estrictamente controlados.
A12.5.4
filtración de información
A12.5.5
Desarrollo softwarede externalizado
A12.6
Gestión de Vulnerabilidades Técnica
Control de las A12.6.1
A13
A13.1
vulnerabilidades técnicas
Se impedirá Oportunidades para la fuga de información. Desarrollo de software externalizado será supervisado y controlado por la organización
NA
Se controla la fuga de información
NA
Se controla el software externo
Para reducir los riesgos derivados de la explotación de las vulnerabilidades técnicas publicadas. La información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información que se utilizan se obtienen, la exposición de la organización a tales vulnerabilidades evaluado y tomado las medidas adecuadas para hacer frente a los riesgos asociados.
NA
Se tiene registro de control de incidencias
Gestión de incidentes de seguridad de información Para garantizar la seguridad de la información de eventos y Informar sobre los debilidades eventos de asociadas a los seguridad de sistemas de información y información se debilidades comunican manera quede una permite acciones correctivas
66
oportunas que deban tomarse.
A13.1.1
Informar sobre los eventos de seguridad de información
A13.1.2
Informes debilidades de seguridad
A13.2
Gestión de incidentes de seguridad de la información y mejoras
A13.2.1
Responsabilidades y procedimientos
Los eventos de seguridad de información se comunicarán a través de canales de gestión adecuadas tan pronto como sea posible. Todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información estarán obligados a observar y reportar cualquier debilidad de seguridad que observen o sospechen en los sistemas o servicios.
D
Se tiene un procedimiento para la generación de incidentes?
D
Se generan informes de incidentes de seguridad
Para garantizar un enfoque coherente y eficaz se aplica a la gestión de incidentes de seguridad de la información. Responsabilidades y procedimientos de manejo deberán ser establecidos para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de
RD
Se tiene respuesta proactiva a los incidentes
seguridad de la información.
67
A13.2.2
Aprendiendo de los incidentes de seguridad de la información
A13.2.3
Acopio de Evidencias
A14
A14.1
A14.1.1
Habrá mecanismos que permitan a los tipos, volúmenes y costos de los incidentes de seguridad de la información para ser cuantificados y controlados. Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de información implica una acción jurídica (civil o penal), se percibirá la evidencia, conservado, y se presentó a cumplir con las reglas para la prueba prevista en la jurisdicción correspondiente (s ).
PNP
Se tienen herramientas de medición de impacto?
D
Se generar evidencias de los incidentes
Gestión de continuidad del negocio Para contrarrestar las interrupciones a las actividades comerciales y proteger los Los aspectos de procesos críticos seguridad de de negocio de los información de la efectos de los gestión de la fallos principales continuidad del de los sistemas negocio de información o los desastres y asegurar su oportuna reanudación.
Incluyendo seguridad de la información en el proceso de gestión de la continuidad del negocio
Un proceso gestionado se desarrolla y se mantiene la continuidad del negocio en toda la organización que se ocupa de los requisitos de seguridad de la información necesaria para la
PNP
Se tiene un plan de continuidad de negocio
68
continuidad del negocio de la organización.
A14.1.2
A14.1.3
Continuidad del negocio y análisis de riesgos
Desarrollo e implementación de planes de continuidad que incluyen seguridad de la información
A14.1.4
Marco de planificación de la continuidad del negocio
Los eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados, junto con la probabilidad y el impacto de estas interrupciones y de sus consecuencias para la seguridad de la información. Los planes deberán desarrollarse y aplicarse para mantener o restaurar las operaciones y asegurar la disponibilidad de información al nivel requerido y en las escalas de tiempo requeridas siguientes a la interrupción o el fracaso de los procesos críticos de negocio. Deberá mantenerse un único marco de los planes de continuidad del negocio para asegurar que todos los planes son consistentes, para abordar de manera coherente los requisitos de
PNP
Se tienen identificados los procesos críticos
PNP
Se tiene un plan de recuperación de desastres
PNP
Se realizan simulacros y se socializan los planes de continuidad de negocio
seguridad de la información, y para identificar las prioridades de
69
prueba y mantenimiento.
Los planes de
A14.1.5
A15
A15.1
Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
continuidad deberán ser probados y actualizados regularmente para asegurarse de que están al día y efectivo.
PNP
Se actualizan los planes de continuidad de negocio?
MD
Existe una matriz legal de la organización
Conformidad
El cumplimiento de los requisitos legales
Para evitar el rebasamiento de cualquier ley, obligaciones legales, reglamentarias o contractuales, y de los requisitos de seguridad. Todos los
A15.1.1
requisitos legales, reglamentarios y contractuales pertinentes y por el enfoque de la organización para Identificación de la cumplir con estos legislación aplicable requisitos se definirán explícitamente, documentados, y se mantienen al día para cada sistema de información y la organización.
70
A15.1.2
A15.1.3
A15.1.4
A15.1.5
A15.1.6
Procedimientos apropiados se aplicarán para garantizar el cumplimiento de requisitos legales, reglamentarios y Derechos de contractuales sobre propiedad el uso de material intelectual (DPI) con respecto al cual puede haber derechos de propiedad intelectual y sobre el uso de productos de software propietario. Registros importantes estarán protegidos contra pérdida, Protección de los destrucción y registros de la falsificación, de organización acuerdo con los requisitos legales, reglamentarios, contractuales y de negocios. Protección de datos y privacidad se garantizará Protección de datos como se requiere y privacidad de la en la legislación información pertinente, los personal reglamentos, y, si procede, las cláusulas contractuales. Los usuarios se Prevención del uso decidan a utilizar indebido de las las instalaciones de instalaciones de procesamiento de procesamiento de información para información fines no autorizados. Controles criptográficos serán Regulación de los utilizados en controles cumplimiento de criptográficos todos los acuerdos, leyes y
D
Los procedimientos abarcan los derechos de propiedad
MD
Se custodian de manera segura los registros?
D
Se tiene política de protección de datos
MD
Se controlan los recursos para evitar accesos no autorizados
D
Se utilizan controles criptográficos
reglamentos.
71
A15.2
El cumplimiento de las políticas de seguridad y las normas y el cumplimiento técnico
A15.2.1
El cumplimiento de las políticas y normas de seguridad
A15.2.2
Comprobación del cumplimiento técnico
A15.3
A15.3.1
Para garantizar el cumplimiento de los sistemas con las políticas y estándares de seguridad de la organización Administradores se asegurarán de que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las políticas y estándares de seguridad. Los sistemas de información deben ser revisados regularmente por el cumplimiento de las normas de aplicación de la seguridad.
Consideraciones de auditoría del sistema de información
Para maximizar la eficacia y minimizar la interferencia a / desde el proceso de auditoría de sistemas de información.
Controles de auditoría de sistemas de información
Requisitos de auditoría y las actividades relacionadas con los controles de los sistemas operativos deberán ser planeadas cuidadosamente y acordaron reducir al mínimo el riesgo de interrupciones en los procesos de negocio.
RD
Se validan los procesos y se manejan indicadores
PNP
Se revisan las aplicaciones para que estén enmarcadas en prácticas seguras?
PNP
Se auditan los sistema de información?
72
A15.3.2
Protección de las herramientas de auditoría de sistemas de información
El acceso a las herramientas de auditoría de sistemas de información debe ser protegido para evitar cualquier posible mal uso o el compromiso.
PNP
Se usan herramientas para auditoría de la información
73
BIBLIOGRAFIA
Advisera. (s.f.). La importancia de la Declaración de aplicabilidad para la norma ISO 27001. Recuperado el 16 de Mayo de 2017, de https://advisera.com/27001academy/es/knowledgebase/la-importancia-de-ladeclaracion-de-aplicabilidad-para-la-norma-iso-27001/ Colombia Compra Eficiente. (s.f.). Colombia Compra Eficiente. Recuperado el 14 de Mayo de 2017, de Colombia Compra Eficiente ComBarranquilla. (s.f.). ComBarranquilla. Recuperado el 14 de Mayo de 2017, de https://www.combarranquilla.co/public_html/_files/intranet/sgc/auditorias/lista_cheque o_auditoria.pdf Leasing Bolivar. (s.f.). Pegassus Javeriana. Recuperado el 14 de Mayo de 2017, de http://pegasus.javeriana.edu.co/~CIS0830IS12/documents/Anexo%20K%20MG05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%20de%20la%20 Informacion.pdf Momphotes, L., & Alzate, A. (s.f.). PROTOTIPO PARA LA AUDITORIA SISTEMA DE GESTION SEGURIDAD DE INFORMACIÓN. Recuperado el 15 de Mayo de 2017, de http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4638/0058M733.pdf?sequ ence=1 Penagos, E. (s.f.). Módulo de Gestión de Auditoría Soportado en TIC. Recuperado el 2017 de Mayo de 13, de http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pd f?sequence=2
74