ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las qu gestión de seguridad de información.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 c
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
5. Política de seguridad Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la informaci
6. Estructura organizativa para la seguridad Organización interna: estos controles gestionan la seguridad de la información dentro de la O política de seguridad de la información, asignando los roles de seguridad y coordinando la im Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamien la organización.
7. Clasificación y control de activos Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protec Clasificación y control de de la información: la información se encuentra clasificada para indic previsto para su tratamiento.
8. Seguridad del personal Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal u 9. Seguridad fisica y del entorno Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados controles de entrada, protegidas físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y cableado.
10. Gestión de las comunicaciones y operaciones Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y ase la protección de su infraestructura de apoyo.
11. Control de accesos Controla los accesos a la información y los recursos de tratamiento de la información en base accesos. 12. Desarrollo y mantenimiento de sistemas
Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún determinan en función de los requisitos de seguridad y la estimación del riesgo. 13. Gestión de incidentes de seguridad de la información
Se establecen informes de los eventos y de los procedimientos realizados, todos los emplead procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan ten
14. Gestión de la continuidad del negocio
La seguridad de información debe ser una parte integral del plan general de continuidad del n gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a ti 15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u oblig y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los a Además se deberían realizar revisiones regulares de la seguridad de los sistemas de informac
DESCRIPCION DE LA PLAN Dominio Obj. de control Controles Orientacion Descripcion PD NC.D PO NC.O PC NC.C Escala
Número del dominio Cantidad y número del objetivo de control Cantidad y número de controles por cada objetivo Proporciona información sobre la obligatoriedad de implementar o no el co Breve descripción de cada objetivo de control agrupandolos por dominio Peso del dominio Nivel de cumplimineto del dominio Peso del objetivo Nivel de cumplimineto del dominio Peso del control Nivel de cumplimiento del control Escala del cumplimiento del control
Indicaciones para usar la plantilla correctamente:
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al v tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100 valores intermedios cuando se cumple parcialmente cualquiera de los controles.
Dominios
5
Objetivos de Control
Controles
1
2
1
2
1 6
2
Dominios
Objetivos de Control 2
1 7
Descripción
Orientación
Política de Seguridad
2
Política de Seguridad de la Información
1
Debe
Documento de la política de seguridad de la información
2
Debe
Revisión de la política de seguridad de la información
11
Estructura organizativa para la seguridad
8
Organización Interna
1
Debe
Comité de la dirección sobre seguridad de la información
2
Debe
Coordinación de la seguridad de la información
3
Debe
Asignación de responsabilidades para la de seguridad de la informa
4
Debe
Proceso de autorización para instalaciones de procesamiento de inf
5
Debe
Acuerdos de confidencialidad
6
Puede
Contacto con autoridades
7
Puede
Contacto con grupos de interés Revisión independiente de la seguridad de la información
8
Puede
3
Terceras partes
1
Debe
Identificación de riesgos por el acceso de terceras partes
2
Debe
Temas de seguridad a tratar con clientes
3
Debe
Temas de seguridad en acuerdos con terceras partes
Controles
Descripción
Orientación
5
Clasificación y control de activos
3
Responsabilidad sobre los activos
1
Debe
Inventario de activos
2
Debe
Propietario de activos
1 7
2
3
1
8
2
3
Dominios
Debe
2
Clasificación de la información
1
Debe
Guías de clasificación
2
Debe
Etiquetado y manejo de la información
Antes del empleo
1
Debe
Roles y responsabilidades
2
Debe
Verificación
3
Debe
Términos y condiciones de empleo
3
Durante el empleo
1
Debe
Responsabilidades de la gerencia
2
Debe
Educación y formación en seguridad de la información
3
Debe
Procesos disciplinarios
3
Terminación o cambio del empleo
1
Debe
Responsabilidades en la terminación
2
Debe
Devolución de activos
3
Debe
Eliminación de privilegios de acceso
2
13
2
Objetivos de Control 10
1
2
3
Seguridad en el personal
3
Controles
9
Uso aceptable de los activos
9
Objetivos de Control
1
Dominios
3
Descripción
Orientación
Seguridad fisica y del entorno
6
Áreas Seguras
1
Debe
Perímetro de seguridad física
2
Debe
Controles de acceso físico
3
Debe
Seguridad de oficinas, recintos e instalaciones
4
Debe
Protección contra amenazas externas y ambientales
5
Debe
Trabajo de áreas seguras
6
Puede
Áreas de carga, entrega y áreas públicas
7
Seguridad de los Equipos
1
Debe
Ubicación y protección del equipo
2
Debe
Herramientas de soporte
3
Debe
Seguridad del cableado
4
Debe
Mantenimiento de equipos
5
Debe
Seguridad del equipamiento fuera de las instalaciones
6
Debe
Seguridad en la reutilización o eliminación de equipos
7
Debe
Movimientos de equipos
Controles
Descripción
Orientación
32
Gestión de comunicaciones y operaciones
4
Procedimientos operacionales y responsabilidades
1
Debe
Procedimientos de operación documentados
2
Debe
Control de cambios
3
Debe
Separación de funciones Separación de las instalaciones de desarrollo y producción
4
Debe
3
Administración de servicios de terceras partes
1
Puede
Entrega de servicios
2
Puede
Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros
3
Puede
2
Planificación y aceptación del sistema
1
Debe
Planificación de la capacidad
3
4
5
6
10
7
8
9
10
Dominios
Objetivos de Control 7 1
2
3
11
4
2
Debe
2
Protección contra software malicioso y móvil
1
Debe
Controles contra software malicioso
2
Debe
Controles contra código móvil
1
Copias de seguridad
1
Debe
2
Administración de la seguridad en redes
1
Debe
Controles de redes
2
Debe
Seguridad de los servicios de red
4
Manejo de medios de soporte
1
Debe
Administración de los medios de computación removibles
2
Debe
Eliminación de medios
3
Debe
Procedimientos para el manejo de la información
4
Debe
Seguridad de la documentación del sistema
5
Intercambio de información
1
Debe
Políticas y procedimientos para el intercambio de información
2
Puede
Acuerdos de intercambio
3
Puede
Medios físicos en transito
4
Puede
Mensajes electrónicos
5
Puede
Sistemas de información del negocio
3
Servicios de comercio electronico
1
Puede
Comercio electronico
2
Puede
Transacciones en línea
3
Puede
Información públicamente disponible
6
Monitoreo y supervisión
1
Debe
Logs de auditoria
2
Debe
Monitoreo de uso de sistema
3
Debe
Protección de los logs
4
Debe
Registro de actividades de administrador y operador del sistema
5
Debe
Fallas de login
6
Puede
Sincronización del reloj
Controles
Aceptación del sistema
Información de copias de seguridad
Descripción
Orientación
25
Control de accesos
1
Requisitos de negocio para el control de acceso
1
Debe
4
Administración de acceso de usuarios
1
Debe
Registro de usuarios
2
Debe
Administración de privilegios
3
Debe
Administración de contraseñas Revisión de los derechos de acceso de usuario
Política de control de accesos
4
Debe
3
Responsabilidades de los usuarios
1
Debe
Uso de contraseñas
2
Puede
Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias
3
Puede
7
Control de acceso a redes
1
Debe
Política de uso de los servicios de red
2
Puede
Autenticación de usuarios para conexiones externas
3
Puede
Identificación de equipos en la red
11
4
5
6
7
Dominios
Debe
Administración remota y protección de puertos
5
Puede
Segmentación de redes
6
Debe
Control de conexión a las redes
7
Debe
Control de enrutamiento en la red
6
Control de acceso al sistema operativo
1
Debe
Procedimientos seguros de Log-on en el sistema
2
Debe
Identificación y autenticación de los usuarios
3
Debe
Sistema de administración de contraseñas
4
Puede
Uso de utilidades de sistema
5
Debe
Inactividad de la sesión Limitación del tiempo de conexión
6
Puede
2
Control de acceso a las aplicaciones y la información
1
Puede
Restricción del acceso a la información
2
Puede
Aislamiento de sistemas sensibles
2
Ordenadores portátiles y teletrabajo
1
Puede
Ordenadores portátiles y comunicaciones moviles
2
Puede
Teletrabajo
Objetivos de Control
Controles
6
16
1
2
3
12 4
5
6 Dominios
4
Objetivos de Control 2
1 13
2
Descripción
Orientación
Desarrollo y mantenimiento de sistemas
1
Requerimientos de seguridad de sistemas de información
1
Debe
4
Procesamiento adecuado en aplicaciones
1
Debe
Validación de los datos de entrada
2
Puede
Controles de procesamiento interno
3
Puede
Integridad de mensajes Validación de los datos de salida
Análisis y especificaciones de los requerimientos de seguridad
4
Puede
2
Controles criptográficos
1
Puede
Política de utilización de controles criptográficos
2
Puede
Administración de llaves
3
Seguridad de los archivos del sistema
1
Debe
Control del software operacional
2
Puede
Protección de los datos de prueba del sistema Control de acceso al código fuente de las aplicaciones
3
Debe
5
Seguridad en los procesos de desarrollo y soporte
1
Debe
Procedimientos de control de cambios
2
Debe
Revisión técnica de los cambios en el sistema operativo
3
Puede
Restricciones en los cambio a los paquetes de software
4
Debe
Fugas de información
5
Debe
Desarrollo externo de software
1
Gestión de vulnerabilidades técnicas
1
Debe
Controles
Orientación
Control de vulnerabilidades técnicas
Descripción
5
Gestión de incidentes de la seguridad de la información
2
Notificando eventos de seguridad de la información y debilidades
1
Debe
Reportando eventos de seguridad de la información
2
Puede
Reportando debilidades de seguridad
3
Gestión de incidentes y mejoramiento de la seguridad de la información
13
2
1
14
Dominios
1
Objetivos de Control 3
1
15
2
3
Dominios Objetivos de control Controles
1
Debe
Procedimientos y responsabilidades
2
Puede
Lecciones aprendidas
3
Debe
Recolección de evidencia
5
Gestión de la continuidad del negocio
5
Aspectos de seguridad de la información en la gestión de continuidad del n
1
Debe
Inclusión de seguridad de la información en el proceso de gestión d negocio
2
Debe
Continuidad del negocio y análisis del riesgo
3
Debe
Desarrollo e implementación de planes de continuidad incluyendo s información
4
Debe
Marco para la planeación de la continuidad del negocio
5
Debe
Prueba, mantenimiento y reevaluación de los planes de continuidad
Controles
Descripción
Orientación
10
Cumplimiento
6
Cumplimiento con los requisitos legales
1
Debe
Identificación de la legislación aplicable
2
Debe
Derechos de propiedad intelectual (dpi)
3
Debe
Protección de los registros de la organización
4
Debe
Protección de datos y privacidad de la información personal
5
Debe
Prevención del uso inadecuado de los recursos de procesamiento de Regulación de controles para el uso de criptografía
6
Debe
2
Cumplimiento con las políticas y estándares de seguridad y cumplimiento t
1
Debe
Cumplimiento con las políticas y procedimientos
2
Debe
Verificación de la cumplimiento técnico
2
Consideraciones de la auditoria de sistemas de información
1
Debe
Controles de auditoria a los sistemas de información
2
Debe
Protección de las herramientas de auditoria de sistemas
11
39 133
RIPCION DE LA PLANTILLA ISO 27002
iedad de implementar o no el control ntrol agrupandolos por dominio
Escala visual de la valoración del control Alto Medio Bajo
Mas del 70% de cumplimiento Entre el 30 y 69 % de cumplimiento Por debajo del 30%
s, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar de los controles.
% de cumplimiento de la norma
Descripción
Política de Seguridad
PD
NC. D
1.5
0
ión
PO
NC. O
PC
100 100
0
a de seguridad de la información
50
e seguridad de la información
50
organizativa para la seguridad
8.27
0
100 72.73
0
obre seguridad de la información
9.09
ridad de la información
9.09
bilidades para la de seguridad de la información
9.09
para instalaciones de procesamiento de información
9.09
alidad
9.09
es
9.09
interés
9.09
de la seguridad de la información
9.09 27.27
0
s por el acceso de terceras partes
9.09
atar con clientes
9.09
acuerdos con terceras partes
9.09
Descripción
ficación y control de activos
PD
NC. D
3.76
0
PO
NC. O
PC
100 60
0 20 20
tivos
20 40
0 20
la información
eguridad en el personal
20 6.77
0
100 33.33
0
es
11.11 11.11
de empleo
11.11 33.33
0
gerencia
11.11
en seguridad de la información
11.11 11.11 33.33
0
terminación
11.11 11.11
os de acceso
Descripción
uridad fisica y del entorno
11.11 PD
NC. D
9.77
0
PO
NC. O
PC
100 46.15
0
física
7.69
co
7.69
ecintos e instalaciones
7.69
azas externas y ambientales
7.69
s
7.69
y áreas públicas
7.69 53.85
0
del equipo
7.69
e
7.69 7.69
pos
7.69
ento fuera de las instalaciones
7.69
ación o eliminación de equipos
7.69
s
7.69
Descripción
e comunicaciones y operaciones
ponsabilidades
PD
NC. D
24.06
0
PO
NC. O
PC
100 12.5
0
ación documentados
3.125 3.125
s
3.125
aciones de desarrollo y producción
ras partes
3.125 9.38
0 3.12
servicios de terceros
3.12
rvicios de terceros
ma
cidad
3.12 6.25
0 3.125
3.125
o y móvil
6.25
0
re malicioso
3.125
móvil
3.125 3.13
0
e seguridad
3.13
edes
6.25
0 3.125
os de red
3.125 12.5
0
edios de computación removibles
3.125 3.125
manejo de la información
3.125
entación del sistema
3.125 15.63
0
os para el intercambio de información
3.126
o
3.126
o
3.126 3.126
n del negocio
3.126 9.38
0 3.126 3.126
nte disponible
3.126 18.75
0 3.126
tema
3.126 3.126
de administrador y operador del sistema
3.126 3.126 3.126
Descripción Control de accesos
ol de acceso
PD
NC. D
18.8
0
PO
NC. O
PC
100 4
0
cesos
os
4 16
0 4
egios
4
aseñas
4
s de acceso de usuario
4 12
0 4
usuario desatendidos
4
pantallas limpias
4 28
0
rvicios de red
4
os para conexiones externas
4
s en la red
4
y protección de puertos
4 4
as redes
4
o en la red
4
vo
24
0
de Log-on en el sistema
4
ación de los usuarios
4
ón de contraseñas
4
tema
4 4
e conexión
4
y la información
8
0
la información
4
s sensibles
4
o
8
0
y comunicaciones moviles
4 4
Descripción
o y mantenimiento de sistemas
PD
NC. D
12.03
0
temas de información
PO
NC. O
PC
100 6.25
0
es de los requerimientos de seguridad
6.25
ones
25
0
de entrada
6.25
ento interno
6.25 6.25
de salida
6.25 12.5
0
controles criptográficos
6.25
s
6.25
ma
18.75
0
eracional
6.25
de prueba del sistema
6.25
digo fuente de las aplicaciones
6.25
rollo y soporte
31.25
0
rol de cambios
6.25
cambios en el sistema operativo
6.25
mbio a los paquetes de software
6.25 6.25
oftware
6.25
s
6.25
0
des técnicas
Descripción
ad de la información
e la información y debilidades
100 PD
NC. D
3.76
0
PO
NC. O
PC
100 40
0
seguridad de la información
20
de seguridad
20
to de la seguridad de la información
60
0
nsabilidades
20 20
a
20
de la continuidad del negocio
3.76
0
ación en la gestión de continuidad del negocio
100 100
0
de la información en el proceso de gestión de la continuidad del 20
o y análisis del riesgo
20
ación de planes de continuidad incluyendo seguridad de la 20
n de la continuidad del negocio
20
y reevaluación de los planes de continuidad del negocio
20
Descripción Cumplimiento
ales
PD
NC. D
7.52
0
PO
NC. O
PC
100 60
0
slación aplicable
10
intelectual (dpi)
10
os de la organización
10
rivacidad de la información personal
10
ecuado de los recursos de procesamiento de información
10
para el uso de criptografía
ándares de seguridad y cumplimiento técnico
10 20
0
olíticas y procedimientos
10
imiento técnico
10
istemas de información los sistemas de información