DESCRIPCION DE LA PLANTILLA ISO 27002 Dominio Obj. de control Controles Orientacion Descripcion PD NC.D PO NC.O PC NC.C Escala
Número del dominio
Cantidad y número del objetivo de control Cantidad y número de controles por cada objetivo Proporciona información sobre la obligatoriedad de implementar o no el control Breve descripción de cada objetivo d e control agrupandolos por dominio Peso del dominio Nivel de cumplimineto del dominio Peso del objetivo Nivel de cumplimineto del objetivo Peso del control Nivel de cumplimiento del control Escala del cumplimiento del control
Escala visual de la valoración del control
Mas del 70% de cumplimiento Entre el 30 y 69 % de cumplimiento Por debajo del 30%
Alto Medio Bajo
Indicaciones para usar la plantilla correctamente: Ingrese valores entre 0 y 1 00 SOLO en los cuadros azules , los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en
cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles.
Dominios
Objetivos de Control 1
5
1 2
1 6
2
Dominios
Objetivos de Control 2
1 7
2 3
1
8
2
3
Dominios
Objetivos de Control 2
% de cumplimiento de la norma Controles 2 2 1 2 11 8 1 2 3
4 5 6 7 8 3 1 2 3 Controles 5 3 1 2 3 2 1 2 9 3 1 2 3 3 1 2 3 3 1 2 3 Controles
Orientación
PD
NC. D
Política de Seguridad Política de Seguridad de la Información Debe Documento de la política de seguridad de la información Debe Revisión de la política de seguridad de la información
1, 5
60
Estructura organizativa para la seguridad Organización Interna Debe Comité de la dirección sobre seguridad de la información Debe Coordinación de la seguridad de la información Debe Asignación de responsabilidades para la de seguridad de la información información
8, 2 7
PO 10 0
4 5,4 6 7 2,7 3
NC. O
Proceso de autorización para instalaciones de procesamiento de información Acuerdos de confidencialidad Contacto con autoridades Contacto con grupos de interés Revisión independiente de la seguridad de la información Terceras partes Debe Identificación de riesgos por el acceso de terceras partes Debe Temas de seguridad a tratar con clientes Debe Temas de seguridad en acuerdos con terceras partes Orientación
Descripción
Clasificación y control de activos Responsabilidad sobre los activos Debe Inventario de activos Debe Propietario de activos Debe Uso aceptable de los activos Clasificación de la información Debe Guías de clasificación Debe Etiquetado y manejo de la información Seguridad en el personal Antes del empleo empleo Debe Roles y responsabilidades Debe Verificación Debe Términos y condiciones de empleo Durante el empleo Debe Responsabilidades de la gerencia Debe Educación y formación en seguridad de la información Debe Procesos disciplinarios Terminación o cambio del empleo Debe Responsabilidades en la terminación Debe Devolución de activos Debe Eliminación de privilegios de acceso O rientación
Descripción
Seguridad fisica y del entorno
Áreas Seguras
2 7,2 7
PD
NC. D
3, 7 6
64
PO 60
40
6, 7 7
6 3,3 3 3,3 3
3 3,3 3
3 3,3 3
PD
NC. D
9, 7 7
60
PO
NC. C Escala
50 50
60 60
60 60
9 ,0 9 9 ,0 9 9 ,0 9
60 60 60
60 60 60
9 ,0 9 9 ,0 9 9 ,0 9 9 ,0 9 9 ,0 9
40 40 40 40 20
40 40 40 40 20
9 ,0 9 9 ,0 9 9 ,0 9
20 60 60
20 60 60
100 3 2, 7 3
1 2, 7 3
NC. O
PC
NC. C Escala
100 44 20 20 20
80 70 70
80 70 70
20 20
50 50
50 50
1 1, 1 1 1 1, 1 1 1 1, 1 1
70 70 70
70 70 70
1 1, 1 1 1 1, 1 1 1 1, 1 1
70 70 50
70 70 50
1 1, 1 1 1 1, 1 1 1 1, 1 1
50 50 70
50 50 70
20
100 2 3, 3 3
2 1, 1 1
1 8, 8 9
NC. O 100
46 1 5
PC
100 60
Debe Debe Puede Puede Puede
13
6
Descripción
30
PC
NC. C Escala
1 6
2
Dominios
Objetivos de Control 2
1 7
2 3
1
8
2
3
Dominios
Objetivos de Control 2
1
9
2
Dominios
Objetivos de Control 10
1
2
3
4
5
4 5 6 7 8 3 1 2 3 Controles 5 3 1 2 3 2 1 2 9 3 1 2 3 3 1 2 3 3 1 2 3 Controles
Debe Debe Puede Puede Puede
Proceso de autorización para instalaciones de procesamiento de información Acuerdos de confidencialidad Contacto con autoridades Contacto con grupos de interés Revisión independiente de la seguridad de la información Terceras partes Debe Identificación de riesgos por el acceso de terceras partes Debe Temas de seguridad a tratar con clientes Debe Temas de seguridad en acuerdos con terceras partes Orientación
Descripción
Clasificación y control de activos Responsabilidad sobre los activos Debe Inventario de activos Debe Propietario de activos Debe Uso aceptable de los activos Clasificación de la información Debe Guías de clasificación Debe Etiquetado y manejo de la información Seguridad en el personal Antes del empleo empleo Debe Roles y responsabilidades Debe Verificación Debe Términos y condiciones de empleo Durante el empleo Debe Responsabilidades de la gerencia Debe Educación y formación en seguridad de la información Debe Procesos disciplinarios Terminación o cambio del empleo Debe Responsabilidades en la terminación Debe Devolución de activos Debe Eliminación de privilegios de acceso O rientación
Descripción
2 7,2 7
PD
NC. D
3, 7 6
64
PO 60
40
6, 7 7
6 3,3 3 3,3 3
3 3,3 3
3 3,3 3
PD
NC. D
9, 7 7
60
PO
13
Seguridad fisica y del entorno
6 1 2 3 4 5 6 7 1 2 3 4 5 6 7
Áreas Seguras Debe Perímetro de seguridad física Debe Controles de acceso físico Debe Seguridad de oficinas, recintos e instalaciones Debe Protección contra amenazas externas y ambientales Debe Trabajo de áreas seguras Puede Áreas de carga, entrega y áreas públicas
4 6,1 5
Seguridad de los Equipos Debe Ubicación y protección del equipo Debe Herramientas de soporte Debe Seguridad del cableado Debe Mantenimiento de equipos Debe Seguridad del equipamiento fuera de las instalaciones Debe Seguridad en la reutilización o eliminación de equipos Debe Movimientos de equipos
5 3,8 5
Controles
O rientación
Descripción
32 4 1 2 3 4 3 1 2 3 2 1 2 2 1 2 1 1
Gestión de comunicaciones y operaciones Procedimientos operacionales y responsabilidades responsabilidades Debe Procedimientos de operación documentados Debe Control de cambios Debe Separación de funciones Debe Separación de las instalaciones de desarrollo y producción Administración de servicios de terceras terceras partes Puede Entrega de servicios Puede Monitoreo y revisión de servicios de terceros Puede Manejo de cambios a servicios de terceros Planificación y aceptación del sistema Debe Planificación de la capacidad Debe Aceptación del sistema Protección contra software malicioso y móvil Debe Controles contra software malicioso Debe Controles contra código móvil Copias de seguridad Debe Información de copias de seguridad
2
Administración de la seguridad en redes
PD
NC. D
2 4, 0 6
5 2,2
9 ,0 9 9 ,0 9 9 ,0 9 9 ,0 9 9 ,0 9
40 40 40 40 20
40 40 40 40 20
9 ,0 9 9 ,0 9 9 ,0 9
20 60 60
20 60 60
1 2, 7 3
NC. O
PC
NC. C Escala
100 44 20 20 20
80 70 70
80 70 70
20 20
50 50
50 50
1 1, 1 1 1 1, 1 1 1 1, 1 1
70 70 70
70 70 70
1 1, 1 1 1 1, 1 1 1 1, 1 1
70 70 50
70 70 50
1 1, 1 1 1 1, 1 1 1 1, 1 1
50 50 70
50 50 70
20
100 2 3, 3 3
2 1, 1 1
1 8, 8 9
NC. O
PC
NC. C Escala
100
PO
30 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9
60 60 60 70 70 70
60 60 60 70 70 70
7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9
70 70 60 70 40 40 40
70 70 60 70 40 40 40
30
NC. O
PC
NC. C Escala
100 1 2, 5
9,3 8
6,2 5
6,2 5
3,1 3
6 25
7,5 3 ,1 2 5 3 ,1 2 5 3 ,1 2 5 3 ,1 2 5
70 60 70 40
70 60 70 40
3 ,1 2 3 ,1 2 3 ,1 2
60 60 60
60 60 60
3 ,1 2 5 3 ,1 2 5
70 70
70 70
3 ,1 2 5 3 ,1 2 5
80 70
80 70
3 ,1 3
70
70
5, 6 3
4, 3 8
4, 6 9
2, 1 9
5
6 1 2 3 4 5 6 7 1 2 3 4 5 6 7
1
9
2
Dominios
Objetivos de Control 10
Controles
1
2
3
4
5
6 10 7
8
9
10
Dominios
Objetivos de Control 7
3
Seguridad de los Equipos Debe Ubicación y protección del equipo Debe Herramientas de soporte Debe Seguridad del cableado Debe Mantenimiento de equipos Debe Seguridad del equipamiento fuera de las instalaciones Debe Seguridad en la reutilización o eliminación de equipos Debe Movimientos de equipos
5 3,8 5
O rientación
Descripción
Gestión de comunicaciones y operaciones Procedimientos operacionales y responsabilidades responsabilidades Debe Procedimientos de operación documentados Debe Control de cambios Debe Separación de funciones Debe Separación de las instalaciones de desarrollo y producción Administración de servicios de terceras terceras partes Puede Entrega de servicios Puede Monitoreo y revisión de servicios de terceros Puede Manejo de cambios a servicios de terceros Planificación y aceptación del sistema Debe Planificación de la capacidad Debe Aceptación del sistema Protección contra software malicioso y móvil Debe Controles contra software malicioso Debe Controles contra código móvil Copias de seguridad Debe Información de copias de seguridad
2 1 2 4 1 2 3 4 5 1 2 3 4 5 3 1 2 3 6 1 2 3 4 5 6
Administración de la seguridad en redes Debe Controles de redes Debe Seguridad de los servicios de red Manejo de medios de soporte Debe Administración de los medios de computación computación removibles Debe Eliminación de medios Debe Procedimientos para el manejo de la información Debe Seguridad de la documentación del sistema Intercambio de información Debe Políticas y procedimientos para el intercambio de información Puede Acuerdos de intercambio Puede Medios físicos en transito Puede Mensajes electrónicos Puede Sistemas de información del negocio Servicios de comercio electronico Puede Comercio electronico Puede Transacciones en línea Puede Información públicamente disponible Monitoreo y supervisión Debe Logs de auditoria Debe Monitoreo de uso de sistema Debe Protección de los logs Debe Registro de actividades de administrador y operador del sistema Debe Fallas de login Puede Sincronización del reloj
25 1 1 4 1 2 3 4
2
4 6,1 5
32 4 1 2 3 4 3 1 2 3 2 1 2 2 1 2 1 1
Controles
1
Áreas Seguras Debe Perímetro de seguridad física Debe Controles de acceso físico Debe Seguridad de oficinas, recintos e instalaciones Debe Protección contra amenazas externas y ambientales Debe Trabajo de áreas seguras Puede Áreas de carga, entrega y áreas públicas
O rientación
Descripción
Control de accesos Requisitos de negocio para el control de acceso Debe Política de control de accesos Administración de acceso de usuarios Debe Registro de usuarios Debe Administración de privilegios Debe Administración de contraseñas Debe Revisión de los derechos de acceso de usuario
Responsabilidades Responsabilidades de los usuarios
PD
NC. D
2 4, 0 6
5 2,2
PO
30
9,3 8
6,2 5
6,2 5
3,1 3
1 2, 5
1 5,6 3
9,3 8
1 8,7 5
NC. D 5 9,2
12
60 60 60 70 70 70
7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9
70 70 60 70 40 40 40
70 70 60 70 40 40 40
30
NC. O
PC
NC. C Escala
7,5
PO
3 ,1 2 5 3 ,1 2 5 3 ,1 2 5 3 ,1 2 5
70 60 70 40
70 60 70 40
3 ,1 2 3 ,1 2 3 ,1 2
60 60 60
60 60 60
3 ,1 2 5 3 ,1 2 5
70 70
70 70
3 ,1 2 5 3 ,1 2 5
80 70
80 70
3 ,1 3
70
70
3 ,1 2 5 3 ,1 2 5
80 80
80 80
3 ,1 2 5 3 ,1 2 5 3 ,1 2 5 3 ,1 2 5
70 70 60 60
70 70 60 60
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
50 50 50 50 50
50 50 50 50 50
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
40 40 40
40 40 40
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
10 50 10 10 10 10
10 50 10 10 10 10
5, 6 3
4, 3 8
4, 6 9
2, 1 9
6,2 5
PD
60 60 60 70 70 70
100 1 2, 5
1 8 ,8
7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9 7 ,6 9
5
8, 1 3
7,8 2
3, 7 5
3,1 3
NC. O
PC
NC. C Escala
100
6, 4
4
2,8
16
1 1, 2
4
70
4 4 4 4
70 70 70 70
2 1 2 4 1 2 3 4 5 1 2 3 4 5 3 1 2 3 6 1 2 3 4 5 6
6 10 7
8
9
10
Dominios
Objetivos de Control 7
Controles 25 1 1 4 1 2 3 4
1
2
3
11
4
5
6
7 Dominios
Objetivos de Control 6 1
2
3 1 2 3 7 1 2 3 4 5 6 7 6 1 2 3 4 5 6 2 1 2 2 1 2 Controles
6,2 5
Administración de la seguridad en redes Debe Controles de redes Debe Seguridad de los servicios de red Manejo de medios de soporte Debe Administración de los medios de computación computación removibles Debe Eliminación de medios Debe Procedimientos para el manejo de la información Debe Seguridad de la documentación del sistema Intercambio de información Debe Políticas y procedimientos para el intercambio de información Puede Acuerdos de intercambio Puede Medios físicos en transito Puede Mensajes electrónicos Puede Sistemas de información del negocio Servicios de comercio electronico Puede Comercio electronico Puede Transacciones en línea Puede Información públicamente disponible Monitoreo y supervisión Debe Logs de auditoria Debe Monitoreo de uso de sistema Debe Protección de los logs Debe Registro de actividades de administrador y operador del sistema Debe Fallas de login Puede Sincronización del reloj O rientación
1 2, 5
9,3 8
PD
NC. D
1 8 ,8
5 9,2
12
Responsabilidades Responsabilidades de los usuarios Debe Uso de contraseñas Puede Equipos de cómputo de usuario desatendidos Puede Política de escritorios y pantallas limpias Control de acceso a redes Debe Política de uso de los servicios de red Puede Autenticación de usuarios para conexiones conexiones externas Puede Identificación de equipos en la red Debe Administración remota y protección protección de puertos Puede Segmentación de redes Debe Control de conexión a las redes Debe Control de enrutamiento en la red Control de acceso al sistema operativo Debe Procedimientos seguros de Log-on en el sistema Debe Identificación y autenticación de los usuarios Debe Sistema de administración de contraseñas Puede Uso de utilidades de sistema Debe Inactividad de la sesión Puede Limitación del tiempo de conexión Control de acceso a las aplicaciones y la información Puede Restricción del acceso a la información Puede Aislamiento de sistemas sensibles Ordenadores portátiles y teletrabajo Puede Ordenadores portátiles y comunicaciones moviles Puede Teletrabajo O rientación
Descripción
Desarrollo y mantenimiento de sistemas Requerimientos de seguridad de sistemas de información Debe Análisis y especificaciones de los requerimientos requerimientos de seguridad Procesamiento adecuado en aplicaciones Debe Validación de los datos de entrada Puede Controles de procesamiento interno Puede Integridad de mensajes Puede Validación de los datos de salida
2
Controles criptográficos
28
24
8
PO
PD
NC. D 5 9, 3 9
PO
3 ,1 2 5 3 ,1 2 5 3 ,1 2 5 3 ,1 2 5
70 70 60 60
70 70 60 60
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
50 50 50 50 50
50 50 50 50 50
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
40 40 40
40 40 40
3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6 3 ,1 2 6
10 50 10 10 10 10
10 50 10 10 10 10
7,8 2
3,1 3
NC. O
PC
4
2,8
16
1 1, 2
6, 4 4 4 4
60 50 50
4 4 4 4 4 4 4
70 50 60 60 60 60 60
4 4 4 4 4 4
10 60 60 60 60 60
4 4
70 70
4 4
60 40
1 6 ,8
1 2 ,4
5 ,6
4
NC. O
6 ,2 5
100 3, 7 5
25
1 6 ,8 8
1 2 ,5
80 80
NC. C Escala
100
8
1 2, 0 3
80 80
3, 7 5
1 8,7 5
Descripción
3 ,1 2 5 3 ,1 2 5 8, 1 3
1 5,6 3
Control de accesos Requisitos de negocio para el control de acceso Debe Política de control de accesos Administración de acceso de usuarios Debe Registro de usuarios Debe Administración de privilegios Debe Administración de contraseñas Debe Revisión de los derechos de acceso de usuario
16 1 1 4 1 2 3 4
5
3, 7 5
PC
NC. C
Escala Es
6 ,2 5
60
60
6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5
60 70 70 70
60 70 70 70
4
70
4 4 4 4
70 70 70 70
3
11
4
5
6
7 Dominios
Objetivos de Control 6 1
2
3 12 4
5
6 Dominios
Objetivos de Control 2 1
13 2
1
14
1
3 1 2 3 7 1 2 3 4 5 6 7 6 1 2 3 4 5 6 2 1 2 2 1 2 Controles
Objetivos de Control
3
O rientación
Descripción
28
24
8
PD
NC. D
1 2, 0 3
5 9, 3 9
PO
Desarrollo y mantenimiento de sistemas Requerimientos de seguridad de sistemas de información Debe Análisis y especificaciones de los requerimientos requerimientos de seguridad Procesamiento adecuado en aplicaciones Debe Validación de los datos de entrada Puede Controles de procesamiento interno Puede Integridad de mensajes Puede Validación de los datos de salida
2 1 2 3 1 2 3 5 1 2 3 4 5 1 1
Controles criptográficos Puede Política de utilización de controles criptográficos Puede Administración de llaves
1 2 ,5
Seguridad de los archivos del sistema Debe Control del software operacional Puede Protección de los datos de prueba del sistema Debe Control de acceso al código fuente de las aplicaciones
1 8 ,7 5
Seguridad en los procesos de desarrollo y soporte Debe Procedimientos de control de cambios Debe Revisión técnica de los cambios en el sistema operativo Puede Restricciones en los cambio a los paquetes de software Debe Fugas de información Debe Desarrollo externo de software
3 1 ,2 5
Gestión de vulnerabilidades técnicas Debe Control de vulnerabilidades técnicas
6 ,2 5
Controles 5 2 1 2 3 1 2 3 5 5 1 2
Controles
10
Orientación
Descripción
Gestión de incidentes de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Debe Reportando eventos de seguridad de la información Puede Reportando debilidades de seguridad Gestión de incidentes y mejoramiento de la seguridad de la información Debe Procedimientos y responsabilidades Puede Lecciones aprendidas Debe Recolección de evidencia Gestión de la continuidad del negocio Aspectos de seguridad seguridad de la información información en la gestión de continuidad del negocio negocio Inclusión de seguridad de la información en el proceso de gestión de la continuidad Debe del negocio Debe Continuidad del negocio y análisis del riesgo Desarrollo e implementación de planes de continuidad incluyendo seguridad de la Debe información Debe Marco para la planeación de la continuidad del negocio Debe Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Orientación
Descripción
Cumplimiento
6, 4 4 4 4
60 50 50
4 4 4 4 4 4 4
70 50 60 60 60 60 60
4 4 4 4 4 4
10 60 60 60 60 60
4 4
70 70
4 4
60 40
1 6 ,8
1 2 ,4
5 ,6
8
16 1 1 4 1 2 3 4
3 4 5 Dominios
12
Responsabilidades Responsabilidades de los usuarios Debe Uso de contraseñas Puede Equipos de cómputo de usuario desatendidos Puede Política de escritorios y pantallas limpias Control de acceso a redes Debe Política de uso de los servicios de red Puede Autenticación de usuarios para conexiones conexiones externas Puede Identificación de equipos en la red Debe Administración remota y protección protección de puertos Puede Segmentación de redes Debe Control de conexión a las redes Debe Control de enrutamiento en la red Control de acceso al sistema operativo Debe Procedimientos seguros de Log-on en el sistema Debe Identificación y autenticación de los usuarios Debe Sistema de administración de contraseñas Puede Uso de utilidades de sistema Debe Inactividad de la sesión Puede Limitación del tiempo de conexión Control de acceso a las aplicaciones y la información Puede Restricción del acceso a la información Puede Aislamiento de sistemas sensibles Ordenadores portátiles y teletrabajo Puede Ordenadores portátiles y comunicaciones moviles Puede Teletrabajo
4
NC. O
6 ,2 5
100 3, 7 5
25
1 6 ,8 8
PC
NC. D
3, 7 6
60
PO 40
60
3, 7 6
68 100
PD
NC. D
7, 5 2
6 3, 3 3
PO
Escala Es
6 ,2 5
60
60
6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5
60 70 70 70
60 70 70 70
6 ,2 5 6 ,2 5
30 30
30 30
6 ,2 5 6 ,2 5 6 ,2 5
70 60 60
70 60 60
6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5
60 60 60 60 60
60 60 60 60 60
70
70
3, 7 5
11,88
18,75
4, 3 8 100
PD
NC. C
NC. O
PC
NC. C Escala
100 24 20 20
60 60
60 60
20 20 20
70 70 40
70 70 40
20 20
60 70
60 70
20 20 20
70 70 70
70 70 70
36
100 68
NC. O
100
PC
NC. C Escala
3 12 4
5
6 Dominios
Objetivos de Control 2 1
13 2
1
14
1
2 1 2 3 1 2 3 5 1 2 3 4 5 1 1 Controles 5 2 1 2 3 1 2 3 5 5 1 2 3 4 5
Dominios
Objetivos de Control
3
1
15
2
3
Dominios Objetivos de co control Controles
Controles
10 6 1 2 3 4 5 6 2 1 2 2 1 2
11 39 133
Controles criptográficos Puede Política de utilización de controles criptográficos Puede Administración de llaves
1 2 ,5
Seguridad de los archivos del sistema Debe Control del software operacional Puede Protección de los datos de prueba del sistema Debe Control de acceso al código fuente de las aplicaciones
1 8 ,7 5
Seguridad en los procesos de desarrollo y soporte Debe Procedimientos de control de cambios Debe Revisión técnica de los cambios en el sistema operativo Puede Restricciones en los cambio a los paquetes de software Debe Fugas de información Debe Desarrollo externo de software
3 1 ,2 5
Gestión de vulnerabilidades técnicas Debe Control de vulnerabilidades técnicas
6 ,2 5
Orientación
Descripción
Gestión de incidentes de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Debe Reportando eventos de seguridad de la información Puede Reportando debilidades de seguridad Gestión de incidentes y mejoramiento de la seguridad de la información Debe Procedimientos y responsabilidades Puede Lecciones aprendidas Debe Recolección de evidencia Gestión de la continuidad del negocio Aspectos de seguridad seguridad de la información información en la gestión de continuidad del negocio negocio Inclusión de seguridad de la información en el proceso de gestión de la continuidad Debe del negocio Debe Continuidad del negocio y análisis del riesgo Desarrollo e implementación de planes de continuidad incluyendo seguridad de la Debe información Debe Marco para la planeación de la continuidad del negocio Debe Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Orientación
Descripción
Cumplimiento Cumplimiento con los requisitos legales Debe Identificación de la legislación aplicable Debe Derechos de propiedad intelectual (dpi) Debe Protección de los registros de la organización Debe Protección de datos y privacidad de la información personal Debe Prevención del uso inadecuado de los recursos de procesamiento de información Debe Regulación de controles para el uso de criptografía Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Debe Cumplimiento con las políticas y procedimientos Debe Verificación de la cumplimiento cumplimiento técnico Consideraciones de la auditoria de sistemas de información Debe Controles de auditoria a los sistemas de información Debe Protección de las herramientas de auditoria de sistemas
3, 7 5 6 ,2 5 6 ,2 5
30 30
30 30
6 ,2 5 6 ,2 5 6 ,2 5
70 60 60
70 60 60
6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5 6 ,2 5
60 60 60 60 60
60 60 60 60 60
70
70
11,88
18,75
4, 3 8 100
PD
NC. D
3, 7 6
60
PO 40
60
3, 7 6
68 100
PD
NC. D
7, 5 2
6 3, 3 3
PO
60
20
20
NC. O
PC
NC. C Escala
100 24 20 20
60 60
60 60
20 20 20
70 70 40
70 70 40
20 20
60 70
60 70
20 20 20
70 70 70
70 70 70
36
100 68
NC. O
PC
NC. C Escala
100 22 10 10 10 10 10 10
30 30 50 30 70 10
30 30 50 30 70 10
10 10
60 60
60 60
10 10
10 10
10 10
12
2
10 6 1 2 3 4 5 6 2 1 2 2 1 2
3
1
15
2
3
Dominios Objetivos de co control Controles
Cumplimiento Cumplimiento con los requisitos legales Debe Identificación de la legislación aplicable Debe Derechos de propiedad intelectual (dpi) Debe Protección de los registros de la organización Debe Protección de datos y privacidad de la información personal Debe Prevención del uso inadecuado de los recursos de procesamiento de información Debe Regulación de controles para el uso de criptografía Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Debe Cumplimiento con las políticas y procedimientos Debe Verificación de la cumplimiento cumplimiento técnico Consideraciones de la auditoria de sistemas de información Debe Controles de auditoria a los sistemas de información Debe Protección de las herramientas de auditoria de sistemas
7, 5 2
6 3, 3 3 60
100 22
20
10 10 10 10 10 10
30 30 50 30 70 10
30 30 50 30 70 10
10 10
60 60
60 60
10 10
10 10
10 10
12
20
2
11 39 133
Nombre de la empresa
En-Core
sector de la empresa
Informatica y telecomunicaciones
Consideracion de aspectos criticos Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria.
60
Valor de cumplimiento del dominio 5
DOMINIO
OBJETIVOS CRITICOS
VALOR
Proceso de autorización para instalaciones de procesamiento de información
40
Acuerdos de confidencialidad
40
Contacto con autoridades
40
Contacto con grupos de interes
40
revisión independiente de la SI
20
6
Identificación de riesgos por el acceso de
MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Contactar organizaciones con experiencia en SI Realizar auditorias externas y certificacion en SI
40
Nombre de la empresa
En-Core
sector de la empresa
Informatica y telecomunicaciones
Consideracion de aspectos criticos Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria.
60
Valor de cumplimiento del dominio 5
OBJETIVOS CRITICOS
DOMINIO
VALOR
Proceso de autorización para instalaciones de procesamiento de información
40
Acuerdos de confidencialidad
40
Contacto con autoridades
40
Contacto con grupos de interes
40
revisión independiente de la SI
20
6
Identificación de riesgos por el acceso de terceras partes Guías de clasificación
autorización de servicios Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Contactar organizaciones con experiencia en SI Realizar auditorias externas y certificacion en SI
50
Organizar la información según los procesos de calidad y la organización de
Etiquetado y manejo de la información
50
la empresa
Procesos disciplinarios
50
Responsabilidades en la terminación
50
Desarrollar una politica de terminación de contrato para empleados teniendo
Devolución de activos
50
sistema y organización
40
Desarrollo de una politica para el manejo de equipos dentro de la
40
empresa desde su compra hasta su eliminacionde los activos
Seguridad del equipamiento fuera de las instalaciones 9
Creación y gestión de formularios de
40
7
8
MEJORA PROPUESTA
Seguridad en la reutilización o eliminación de equipos Movimientos de equipos
40
Separación de las instalaciones de desarrollo y producción
encuenta los activos y accesos en el
40
mejorar la organización fisica de las instalaciones y procesos independientes
Políticas y procedimientos para el intercambio
10
Desarrollar la politica para el manejo de
de información
50
la información interna y los ca nales de
Acuerdos de intercambio
50
trabajo para el manejo de email o
Medios físicos en transito
50
Mensajes electrónicos
50
medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos
Sistemas de información del negocio
50
en la nube
Comercio electronico
40
Adjustar las politicas del manual de
Transacciones en línea
404
Información públicamente disponible
40
Monitoreo y supervision
18,75
seguridad para el comercio y transaciones en linea aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados
Equipos de cómputo de usuario desate ndidos
50
Orientar los contenidos de los equipos a
Política de escritorios y pantallas limpias
50
la identidadde la empresa
50
proteger las contraseñas y acceso remoto
Procedimientos seguros de Log-on en el sistema
10
definir politicas de registro al sistema
Teletrabajo
40
definir el teletrabajo
Política de utilización de controles criptográficos
30
Administración de llaves
30
13
Recolección de evidencia
30
14
Gestion de continuidad del negocio
68
Identificación de la legislación aplicable
30
Derechos de propiedad intelectual (dpi)
30
Protección de los registros de la organización
50
Autenticación de usuarios para conexiones 11
12
externas
Protección de datos y privacidad de la 15
información personal Regulación de controles para el uso de
30
criptografía
10
Implementar criptografia en informacion sensible de la empresa y clientes
Unificar el procedimiento de lecciones aprendidas
Aplicar practicas de continuidad
Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa
Utiliz Utilizar ar cifra cifrado do y cript criptogr ografia afia en en inform informaci aci
Controles de auditoria a los sistemas de información
10
Protección de las herramientas de auditoria de sistemas
10
Establecer los controles de auditoria interna y externa de la SI