Rduitama - TFM - 012013 - Anexo 2. Matriz Analisis GAP v2

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA

ANEXO 2. MATRIZ DE VALORACIN ISO 27002
Resumen de cumplimiento
Controles Aprobados
131
2
Controles No aprobados
Controles Aprobados
Controles No
aprobados
131
Controles no aplicables
0
Dominio
Tabla de Calificaciones
Aprobados
NO Aprobados
Porcentaje Cumplimiento
50%
Cada uno de los requerimientos de la hojas de los DOMINIOS ha sido calificado en una escala del 1 al 5
(Siendo 1 debilidad y 5 fortaleza)
NOTA: Para cumplir con un proceso de auditora satisfactoria, cada requerimiento debera
obtener por lo menos una calificacin de 3
Poltica de Seguridad Corporativa
11
96%
Clasificacin y Control de Componentes Crticos
71%
Seguridad del Recurso Humano
77%
Seguridad Fsica y Ambiental
13
86%
Administracin de Operaciones y Comunicaciones
29
69%
Control de Acceso
25
56%
No existen controles efectivos Deficiencias considerables con respecto a lo esperado

10% para el requerimiento
Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin
16
52%
Controles Bsicos Deficiencias menores con respecto a lo esperado para el

50% requerimiento
Administracin de Incidentes de Seguridad Informtica
27%
90%
Administracin de Continuidad del Negocio
34%
95%
Cumplimiento y Normatividad Legal
10
53%
100%
Cumplimiento
Efectivida
d
Califcaci
n
Estructura Organizacional de Seguridad Informtica
Con respecto al control, es un control debil, cumple o excede las expectativas
0%
No est definido ningn tipo de control
El Requerimiento se Cumple en forma Efecitva

Controles Comprehensivos
Optimizado Implementacin que mejora el estndar
Distribucion de Controles por Nivel de Madurez
100%
90%
80%
No est definido ningn tipo de control
70%
8%
2%
16%
No existen controles efectivos Deficiencias

considerables con respecto a lo esperado pa
requerimiento
60%
96%
50%
40%
30%
71%
77%
86%
42%
69%
56%
50%
20%
27%
Controles Bsicos Deficiencias menores co

respecto a lo esperado para el requerimient
El Requerimiento se Cumple en forma Efecit
53%
52%
33%
Controles Comprehensivos
34%
Optimizado Implementacin que mejora e

estndar
10%
0%
1
Proyecto de Seguridad Informica

Anlisis de Riesgos
02/03/2015
10
11
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 1 de 20
Referencia Interna de Digiware

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
MATRIZ DE VALORACIN ISO 27002
CAPTULO 1 - Poltica de Seguridad Corporativa

Item
ISO Ref
1.1
5.1
1.1.1
5.1.1
Requerimiento
Estado del cliente
Cumplimiento
Oportunidad de mejora
Observaciones
Poltica de Seguridad de la Informacin
Documento de la
poltica de seguridad
de la Informacin
1.1.2
Aplica (SI/NO)
Si
5.1.2
Revisin y evaluacin

Anlisis de Riesgos
02/03/2015
Si
Existen polticas de seguridad de la informacin sobre temas

puntuales. Se encuentran en desarrollo y socializacin otras
polticas de seguridad.
Se realizan actualizaciones de las Polticas actuales por

requerimiento. Se encuentra en proceso la implementacin
de un SGSI adecuado
CONFIDENCIAL
Pgina 2 de 20
Documentar e implementar la poltica de seguridad de

la informacin incluyendo todos los dominios de
seguridad, un alcance definido y el compromiso de las
directivas.
Al complementar el documento de poltica e

implementar un SGSI, se deber dejar explcita la
tarea peridica de revisin y evaluacin en unas
fechas formales.

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 2 - Estructura Organizacional de Seguridad Informtica

Item
ISO Ref
Requerimiento
2.1
6.1
Organizacin Interna
2.1.1
6.1.1
Compromiso de las
Directivas con la
seguridad de la
informacin
2.1.2
2.1.3
Estado del cliente
Si
Existe el compromiso y la voluntad por parte de las directivas a nivel

del rea de Tecnologa. La implementacin de algunos controles
depende de entes superiores. Falta un poco de conciencia de
seguridad de la informacin
Si
Existe un grupo de seguridad de la informacin plenamente

identificado por los usuarios, con tareas definidas y el apoyo
necesario para la implementacin de un SGSI.
Si
Existen funciones definidas con respecto a las responsabilidades

sobre la informacin manejada y los activos que la soportan. El rea
de seguridad de la informacin tiene claras sus responsabilidades
6.1.3
Asignacin de
responsabilidades
Observaciones
41%
6.1.2
Coordinacin de la
Seguridad
Cumplimiento
Aplica (SI/NO)
Un programa de conciencia en seguridad de la

informacin que reuna a todos los directivos a nivel
Ministerio, sera el escenario ideal para concretar un
esquema completo de seguridad de la informacin.
Fortalecer esquemas de capacitacin en segurdad

para el grupo, en temas especializados. Fortalecer el
grupo y la toma de decisiones al implementar un
comit interdisciplinario de seguridad en el SGSI
0.5
0.9
Complementar los manuales de funciones con las

actividades especficas de clasificacin de la
informacin y administracin de activos de
informacin.
0.9
2.1.4
Son claras las funciones del rea de seguridad de la informacin, en

la evaluacin y autorizacin de actividades en el procesamiento de
datos o proteccin de la informacin
6.1.4
Proceso de
Autorizacin a reas
de procesamiento de
informacin
Si
Reforzar los esquemas de mantenimiento de

documentos de auditoras de seguridad, como
administracin de Logs, revisin de bitcoras y
monitoreo de incidentes en reas de procesamiento de
datos
0.9
2.1.5
6.1.5
Acuerdos de
confidencialidad
Se realizan acuerdos especficos de confidencialidad tanto para la

contratacin como para la manipulacin especfica de datos o
actividades en areas de procesamiento de datos
Si
Por la naturaleza de la organizacin, este punto tiene

una especial madurez, incluyendo esquemas de
estudios de seguridad y sanciones claramente
especificadas
Por la naturaleza de la organizacin, se cuenta con

contactos directos con autoridades competentes y
expertas en diversas disciplinas concernientes a la
seguridad.
0.95
2.1.6
6.1.6
Contacto con las
autoridades
Se mantiene un contacto permanente con los entes militares y

fuerzas especiales, de acuerdo a la criticidad de la informacin
manejada.
Si
1
2.1.7
6.1.7
Contacto con grupos
de especial inters
El rea de seguridad se mantiene en constante contacto con grupos

de inters en seguridad tanto por sus capacitaciones internas como
por su interaccin con proveedores especializados en los temas.
Si
Inscribir a los miembros del grupo de seguridad de la

informacin en listas de correo especializadas e
incrementar el contacto con los grupos de inteligencia
3
0.9
2.1.8
6.1.8
Se realizan auditoras internas de seguimiento al rea a nivel de

calidad y cumplimiento sobre las normativas. (Este paso es
consecuencia de la implementacin de un SGSI)
Auditora interna
Si
Capacitar a los auditores internos y enfocar las

auditoras para que incluyan el SGSI y los indicadores
de seguridad de la informacin.
2
0.5
2.2
6.2
Terceros

Anlisis de Riesgos
02/03/2015
45%
CONFIDENCIAL
Pgina 3 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
82%
GRUPO ASD
CAPTULO 2 - Estructura Organizacional de Seguridad Informtica

Item
2.2.1
ISO Ref
Requerimiento
6.2.1
Identificacin de
riesgos
2.2.2
Aplica (SI/NO)
Si
El acceso fsico y lgico a terceros es regulado de forma contractual

y de polticas de seguridad a nivel general. Se conocen los riesgos
de acceso a reas de procesamiento por parte de terceros
SI
El propsito de la organizacin es garantizar la seguridad a los

ciudadanos (clientes) para lo cual mantiene altos estndares de
aproximacin a la seguridad.
Si
Se realizan acuerdos de confidencialidad especficos para la labor

con terceros que implican la manipulacin de informacin y el
ingreso a areas de procesamiento de datos
6.2.2
Aproximacin a la
seguridad al tratar
con clientes
Estado del cliente
Cumplimiento
Alinear con la implementacin del SGSI, todos los

anlisis de riesgo externos e internos sobre los activos
e informacin. Esto permitir inclurlos en los
indicadores de seguridad.
Observaciones
0.9
0.9
Certificar la entidad en ISO 27001 o mostrar el

cumplimiento sobre la norma, reiterara y dara amplia
fuerza al concepto de seguridad de la informacin que
tienen los clientes.
0.9
2.2.3
6.2.3
Aproximacin a la
seguridad en
acuerdos con
terceros

Anlisis de Riesgos
02/03/2015
Inclur la poltica de seguridad en los acuerdos y

contratos con terceros.
3
0.9
CONFIDENCIAL
Pgina 4 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 3 - Clasificacin y Control de Componentes Crticos

Item ISO Ref
3.1
7.1
3.1.1
7.1.1
3.1.2
3.1.3
7.1.2
Requerimiento
Aplica (SI/NO)
Inventario de activos
tecnolgicos
Si
La Organizacin cumple satisfactoriamente con este control
Responsables de los
activos tecnolgicos
Si
Inclur las responsabilidades sobre los activos de

informacin en el manual de funciones de los
empleados.
7.2
7.2.1
Si
Se mantienen controles automatizados adecuados para el uso

correcto de tecnologas informticas como correo electrnico y
navegacin en internet,
0.5
0.5
0.5
46%
Si
Se tienen claramente identificados 6 niveles para caracterizar la

informacin. Este estandar es concistente a lo largo de la
organizacin.
Las normas de clasificacin son claramente existentes.

Se debe madurar el etiquetado y manejo de las
clasificaciones
0.95
3.2.2
7.2.2
Identificacin y
Manejo de la
informacin

Anlisis de Riesgos
02/03/2015
0.5
Inclur el uso aceptable de los activos tecnolgicos en

el manual de funciones de los empleados y el SGSI
Clasificacin de la Informacin
Normas para
clasificacin de la
informacin
Observaciones
25%
Centralizar el inventario de todos los activos en un
listado maestro, enmarcado en un procedimiento y
asignado a u responsable por su mantenimiento.
Uso aceptable de los

activos tecnolgicos
3.2.1
Responsabilidad por Recursos Ctricos
7.1.3
3.2
Cumplimiento
Estado del cliente
Si
Existe la descripcin del tratamiento de la informacin segn su

clasificacin, asi como los responsables por su manejo
CONFIDENCIAL
Pgina 5 de 20
El esquema de manejo de la informacin debe estar

apoyado por un SGSI concistente a lo largo de toda la
organizacin y respetarse de esta manera, las normas
de manejo de la informacin.
0.9

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.925
Ministerio de Defensa Nacional

CAPTULO 4 - Seguridad del Recurso Humano

Item ISO Ref
4.1
8.1
4.1.1
8.1.1
Requerimiento
Estado del cliente
Si
Existe una definicin de responsabilidades para cada rol dentro de la

organizacin pero an no se ha includo el detalle del tema de
seguridad de la informacin. Algunos roles son repartidos entre otros
perfiles
Previo a la contratacin
Roles y responsabilidades
4.1.2
Cumplimiento
Aplica (SI/NO)
27%
Si

incluyendo estudios de seguridad
Contar con los perfiles mnimos para cumplir los roles

faltantes necesarios. (Por ejemplo DBA). Inclur las
responsabilidades de seguridad en el SGSI
0.5
8.1.2
Investigacin del personal
que va a ser contratado
Observaciones
0.8166666667
Mantener el control implementado y describir el

procedimiento dentro del SGSI
1
4.1.3
Se cumple con el control y las descripciones de responsabilidades de

seguridad dentro de los contratos y acuerdos
8.1.3
Trminos y condiciones
Si
Mantener el control implementado y describir el

procedimiento dentro del SGSI
4
0.95
4.2
8.2
4.2.1
8.2.1
Durante el empleo
Supervisin de las
obligaciones
4.2.2
25%
Si
Se realizan constantes recordatorios sobre esquemas y controles de

seguridad a travs de medios tecnolgicos, pero no existe un plan
formal de entrenamiento o conciencia en seguridad.
8.2.2
Conciencia de la
seguridad, educacin y
entrenamiento
Las Directivas exigen a empleados, contratistas y usuarios de

terceras partes aplicar la seguridad en concordancia con las polticas
y los procedimientos establecidos de la organizacin.
Si
La participacin en seguridad de las directivas se

realiza ms que por su intencin en el fortalecimiento
de la seguridad, por requerimiento y regulaciones.
Esto puede mejorar con un plan de conciencia a nivel
directivo
0.9
0.7666666667
Realizar el plan de concientizacin, el entrenamiento

adecuado a los usuarios y la campaa completa de
divulgacin del SGSI
2
0.5
4.2.3
Son claros los descargos disciplinarios cuando se producen brechas

de seguridad
8.2.3
Procesos disciplinarios
Si
inclur el detalle de procesos disciplinarios y

descargos, dentro del manual de funciones, y en el
SGSI
3
0.9
4.3
8.3
4.3.1
8.3.1
Terminacin del contrato o cambio de empleo
Responsabilidades en la
terminacin del contrato
25%
Inclur el proceso en el SGSI cuando haya sido
implamentado
Si
3
0.9
4.3.2
8.3.2
0.7666666667
Inclur el proceso en el SGSI cuando haya sido

implementado
Devolucin de activos
tecnolgicos
Si
3
0.9
4.3.3
8.3.3
Eliminacin de permisos
sobre los activos
Si
Se elilminan los permisos bajo requerimiento de Talento Humano
Si bien se realizan las actividades de control sobre los

privilegiuos ya no necesarios, no es una actividad
formalizada. Debe establecerse un procedimiento
formal y concistente dentro del SGSI
0.5

Anlisis de Riesgos
02/03/2015
CONFIDENCIAL
Pgina 6 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 5 - Seguridad Fsica y Ambiental

Item ISO Ref
5.1
9.1
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
Requerimiento
Estado del cliente
Cumplimiento
No descuidar la revisin peridica del funcionamiento

de estos procedimientos y controles
Observaciones
Areas Restringidas
Permetro de
Seguridad Fsica
Controles fsicos de
entrada
Aseguramiento de
oficinas, cuartos e
instalaciones
43%
Si
0.95
Si
Si
Todas las reas dentro de las instalaciones se encuentran

controladas y monitoreadas. Se mantienen cerradas las puertas de
las oficinas.
4
0.95
Inclur la descripcin de las precauciones de seguridad

en oficinas en el SGSI. Algunas reas de
procesamiento son visibles desde el exterior ya que no
tienen cortinas o persianas
Algunas oficinas quedan muy cerca de los baos, lo

que puede generer incomodidad en el personal.
Algunas oficinas no cuentan con cortinas o persianas,
lo que eleva la temperatura sobre los activos de
informacin y las personas
Si
Actualmente no hay unos esquemas definidos en el area de TI para

garantizar que se generen afectaciones por parte de amenazas
externas o ambientales.
9.1.5
Trabajo en reas
restringidas
0.85
Mantener el esquema.
9.1.4
Proteccin contra
amenazas externas y
ambientales
5.1.5
Aplica (SI/NO)
Si
No descuidar los controles de acompaamiento y

registro de todos los usuarios que ingresan a reas
restringidas
Inclur poticas de acceso por reas de carga y

descarga en el SGSI
0.9
0.5
0.9
5.1.6
9.1.6
5.2
9.2
5.2.1
9.2.1
Acceso pblico,
envos y reas de
carga
Si
0.9
Seguridad de los Componentes Tecnolgicos
Ubicacin y
proteccin de equipos
tecnolgicos
Si
43%
Se ubican los equipos tecnolgicos buscando mantener el menor

nivel de exposicin a terceros o visitantes
Debe reforzarse el esquema estableciendo una

directiva explicita o una poltica dentro del SGSI que
requiera la proteccin y ubicacin de los equipos
tecnolgicos en areas protegidas a la vista (cortinas o
persianas y puertas cerradas)
0.50
5.2.2
5.2.3
5.2.4
9.2.2
9.2.3
Seguridad en el
suministro de
electricidad
Seguridad en el
cableado
Mantener el esquema. Se debe tambin eliminar todo

cableado obsoleto o en desuso lo antes posible.
0.90
Si
0.90
9.2.4
Mantenimiento
5.2.5
Si
Se debe mantener el esquema de UPSs y plantas

elctricas en optimas condiciones
Si
9.2.5
Seguridad de equipos
fuera de las reas
seguras
Se mantienen controles extrictos sobre la salida de equipos e

informacin.
Si
Se debe mantener el esquema de contratos de

mantenimiento
constantes
sobre
los
equipos
tecnolgicos.
0.95
El SGSI debe dictaminar las polticas de uso de equipos

de cmputo fuera de las instalaciones de la
organizacin que permitan a directivos y altos rangos,
conocer los requerimientos de seguridad para el uso
de estos elementos
0.90
5.2.6
9.2.6
Destruccin y
reutilizacin de
equipos

Anlisis de Riesgos
02/03/2015
SI
El rea de soporte interno se encarga del manejo adecuado de los

medios fijos o removibles de almacenamiento
CONFIDENCIAL
Pgina 7 de 20
Se debe reforzar la prctica de disposicin de medios

de almacenamiento y reutilizacin de equipos
mediante una poltica fuerte dentro dels SGSI que no
discrimine ningn caso.
0.90

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.86
GRUPO ASD
CAPTULO 5 - Seguridad Fsica y Ambiental

Item ISO Ref
5.2.7
Requerimiento
Aplica (SI/NO)
Extraccin de activos
informticos
Si
Estado del cliente
Cumplimiento
Este esquema debe revisarse y monitorearse

constantemente para corregir posibles fallas en los
controles.
9.2.7
Observaciones
0.95

Anlisis de Riesgos
02/03/2015
CONFIDENCIAL
Pgina 8 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 6 - Administracin de Operaciones y Comunicaciones

Item ISO Ref
6.1
10.1
6.1.1
10.1.1
Requerimiento
Aplica (SI/NO)
Estado del cliente
Cumplimiento
Los
manuales
deben
inclur
procedimientos
contingentes del era, as como las actividades en
casos de emergencia. Todo debeestar alineado o
includo en el SGSI
Los registros de control de cambios deben inclur los

elementos de seguridad necesarios, la proteccin y
revisin de los mismos y su inclusin en el SGSI
Observaciones
Procedimientos Operacionales y Responsabilidades
Documentacin de
procesos operativos
Si
4%
Se mantienen manuales operativos sobre los procesos

fundamentales del rea.
0.50
6.1.2
10.1.2
Control de Cambios
Si
Se encuentran formatos y registros de control de cambios de

paso a produccin por medio del correo electrnico
Si
Se evidenciaron fallas importantes en el esquema de

segregacin de funciones. Especficamente en el manejo de
bases de datos y archivos de los sistemas de Talento
Humano. Falta el Rol de Administrador de Base de Datos. Se
vieron casos similares como los Desarrolladores,
administradores de algunas plataformas y operadores, en
que sin su presencia no puede seguir funcionando el
proceso.
69.0%
0.40
0.50
6.1.3
10.1.3
Segregacin de
funciones
6.1.4
10.1.4
6.2
10.2
6.2.1
10.2.1
Separacin de los
ambientes de
Desarrollo, prueba y
produccin
0.10
Los controles y proteccin de los datos deben ser

iguales tanto para produccin como para desarrollo y
pruebas dado que son los mismos. El SGSI debera
inclur lineamientos de manejo de los datos en
Desarrollo y Pruebas.
Administracin de Servicios de terceros
Prestacin de servicios
6.2.2
Si
Se cuentan con ambientes de Produccin y Desarrollo

separados. Los datos en el ambiente de desarrollo y pruebas
son datos reales de produccin
La informacin debe mantener un esquema estructural

para que los sitemas de informacin funcionen segura
y coordinadamente. Se requiere al menos un DBA
dedicado a estas funciones con el fin de inclur los
controles mnimos de seguridad sobre los datos y
mantener la segregacipn de funciones.
Si
10.2.2
Monitoreo y revisin de
servicios de terceros
Si
0.50
8%
Adems de la parte contractual y acuerdos de nivel de

servicio, debe mantenerse el registro y polticas de
seguridad sobre terceros.
0.90
0.77
Se debe aprender de las auditoras realizadas a los

contratos de los terceros y revisar los controles
implementados para cada contrato con el fin de
mejorar en el siguiente ciclo del SGSI
0.90
6.2.3
10.2.3
Administracin de
cambios a servicios de
terceros
Si
A pesar de que se cumple satisfactoriamente con el

control es necesario que se reevalen los riesgos y
revisen las polticas con terceros, al cumplir con la
revisin del SGSI peridicamente.
0.50
6.3
10.3
6.3.1
10.3.1
Planeamiento y aceptacin de sistemas
Administracin de la
capacidad
Si
9%
Se manrtienen los controles de monitoreo sobre

capacidad de recursos, sin embargo la migracin a los
nuevos recursos toma mas tiempo del esperado.
0.90
6.3.2
10.3.2
Aceptacin de sistemas
Si
0.90
Algunos sistemas ya aceptados para migracin, se han

demorado en su puesta en produccin (Nueva nmina,
Sistemas operativos, Bases de datos)
0.90
6.4
10.4
Proteccin contra cdigo malicioso y mvil

Anlisis de Riesgos
02/03/2015
5%
CONFIDENCIAL
Pgina 9 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD

Item ISO Ref
6.4.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
10.4.1
Controles contra cdigo
malicioso
Si
Observaciones
Mantener el esquema de revisin a toda la red,

incrementar los controles manualmente a equipos
detectados con infeccin. Realizar una revisin
completa cada cierto periodo de tiempo, se
recomienda cada mes para activos crticos, cada 3
meses para el resto.
0.90
6.4.2
10.4.2
Controles contra cdigo
mvil
Si
No se realizan controles adecuados para detener cdigo

malicioso mvil (gusanos, troyanos, etc.), ms que las
definiciones includas en el antivirus.
0.50
El control mas adecuado para la primera lnea de

defensa en contra de este tipo de malware es la
segmentacin de la red. Control que no se encuentra
adecuadamente implementado.
0.10
6.5
10.5
6.5.1
10.5.1
Copias de seguridad
Respaldo de la
informacin.
9.5%
Si
Mantener el esquema de backups y extenderlo a

sistemas de informacin alterantivos como son los
usuarios finales.
0.95
6.6
10.6
6.6.1
10.6.1
Administracin de la seguridad de la red
Controles de la Red
Si
1%
A pesar de contar con los elementos necesarios para el
monitoreo de la red, no se realizan controles adecuados
sobre trfico, conexiones o revisin de anomalas.
Se debe replantear la arquitectura de seguridad en la

red LAN, para ubicar y configurar correctamente todos
los elementos de seguridad y monitoreo en la red. Esto
debe esta acompaado de una poltica de seguridad
en el SGSI
0.10
6.6.2
10.6.2
Seguridad de los
Servicios de Red
Si
La red interna no se encuentra correctamente segmentada

por lo que es posible acceder directamente a los servicios de
red en todos los servidores, el nico control realizado es
atravs de los usuarios del dominio.
0.10
Segmentar de forma lgica la red, para mantener un

adecuado control sobre todos los servicios de red.
1
0.10
6.7
10.7
6.7.1
10.7.1
Manipulacin de mdios
6%
Existe una poltica estricta sobre el
removibles dentro de la organizacin
Administracin de
medios removibles
uso
de medios
Si
Mantener el control e inclur la poltica

excepciones, documentada en el SGSI
sus
4
0.95
6.7.2
10.7.2
Destruccin de medios
Si
La organizacin cuenta con elementos de destruccin

documental, y realiza la disposicin segura de medios
cuando es requerido por parte de soporte interno.
0.61
Es necesario establecer una poltica rigurosa en el

SGSI acompaada de un procedimiento para la
destruccin de medios especficamente identificados.
0.50
6.7.3
10.7.3
Procedimientos de
manejo de la
informacin
En la definicin de tipos de informacin se menciona el uso

adecuado de la misma en cada caso.
Si
Se debe fortalecer el esquema de manejo de tipos de

informacin, estableciendo dentro del SGSI y en una
poltica formal, la forma adecuada del manejo de la
informacin.
0.50
6.7.4
10.7.4
Seguridad de la
documentacin de los
sistemas
6.8
10.8
Si
Los manuales de uso de los sistemas son almacenados

por parte de los responsables de los mismos. Sin
embargo no hay una formalidad en el almacenamiento
de procedimientos e inventario de manuales y otros
documentos
Intercambio de informacin

Anlisis de Riesgos
02/03/2015
0.50
5%
CONFIDENCIAL
Pgina 10 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD

Item ISO Ref
6.8.1
6.8.2
10.8.1
Requerimiento
Aplica (SI/NO)
Estado del cliente
Cumplimiento
Si
Los lineamientos con respecto a intercambio de informacin

son includos a nivel de contrataciones y de acuerdos con
entes reguladores, sin embargo no hay una formalidad en
cuanto al manejo segn el tipo de informacin a
intercambiar.
Polticas y
procedimientos del
intercambio de
informacin
10.8.2
Acuerdos para el
intercambio
6.8.3
10.8.3
0.50
No se conoce una prctica formal de proteccin para los

medios en movimiento.
Medios fsicos en
movimiento
Si
Observaciones
Inclur en el SGSI una poltica y procedimientos claros

del intercambio de informacin
Ademas de los acuerdos de confidencialidad, no se hacen

controles adicionales sobre el intercambio de informacin.
Si
El manejo de informacin y su intercambio con

terceros debera inclur acuerdos sobre su transporte y
almacenamiento seguros al tratar y manipular la
informacin (por ejemplo comprimir y cifrar la
informacin)
0.50
0.50
En los casos en que sea necesario transportar

informacin, debe exigirse el cumplimiento de una
poltica de proteccin para esta informacin. La
poltica y procedimientos deben ser estrictas e
includas en el SGSI
0.10
6.8.4
10.8.4
Mensajera Electrnica
Si
El correo electrnico es el medio principal de comunicacin

de la organizacin. Tambin se utiliza como repositorio de
registros, actas, y otro tipo de constancias auditables.
Se debe mantener el esquema de seguridad sobre el

correo a nivel de contingencias, antivirus, antispam y
revisar peridicamente la efectividad de todos los
controles
0.90
6.8.5
10.8.5
6.9
10.9
6.9.1
10.9.1
6.9.2
6.9.3
Sistemas de
informacion de
negocios
Si
0.50
9%
N/A
Comercio Electrnico
No
Transacciones en Lnea
No
Informacin pblica
6.9.1
10.1.0.1
Si
N/A
No se prestan servicios de
este tipo
N/A
No se prestan servicios de
este tipo
N/A
10.9.3
10.10
Los controles sobre las plataformas del proceso son

adecuados pero hace falta la documentacin y
polticas formales implementadas en un SGSI
Servicios de Comercio Electrnico
10.9.2
9.1
La Organizacin cumple satisfactoriamente con este control.

En este caso la lnea de negocio hace referencia al proceso
de talento humano.
Las pginas informativas de la orgnizacin se encuentran

adecuadamente estructuradas en cuanto a la seguridad de
su contenido. Se encontraron algunas vulnerabilidades
menores asociadas con los servidores donde se encuentra
dicha informacin.
Asegurar los servidores donde est contenida la

informacin pblica. Revisar las recomendaciones del
informe de pruebas externas.
0.90
Monitoreo
Auditora de registros
8%
Si
Si
Los sitemas de monitoreo son adecuados pero deben

utilizarse ms estricta y formalmente en la red
Mantener el esquema
implementado. Realizar
revisiones peridicas a los registros y determinar un
poltica de almacenamiento que detalle los trminos y
responsabilidades, as como los mecanismos de
seguridad para tales registros.
0.90
6.9.2
6.9.3
10.1.0.2
Uso de sistemas de
monitoreo
10.1.0.3
Proteccin de registros
de monitoreo
Si
Los registros de los sistemas de monitoreo deben ser

revisados peridicamente en busca de mejoras en su
implementacin y uso.
0.77
0.90
El acceso a los registros debe ser exclusivo para los

auditores, administradores de la plataforma y oficial de
seguridad.
0.90

Anlisis de Riesgos
02/03/2015
CONFIDENCIAL
Pgina 11 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD

Item ISO Ref
6.9.4
6.9.5
10.1.0.4
Requerimiento
Aplica (SI/NO)
Estado del cliente
Cumplimiento
Registros de monitoreo
de administradores y
operadores
Si
Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
reaccin a incidentes.
Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
atencion de incidentes.
0.90
10.1.0.5
Registro de fallas
Observaciones
Si
0.90
6.9.6
10.1.0.6
Sincrona

Anlisis de Riesgos
02/03/2015
Si
No se tienen registros sobre la sincrona de sistemas en la

organizacin.
Se debe disear e implementar un procedimiento de

sincronizacin de todos los Sistemas y Aplicaciones,
con un sistema unificado para toda la plataforma
tecnolgica de la organizacin.
CONFIDENCIAL
Pgina 12 de 20
0.10

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 7 - Control de Acceso

Item ISO Ref
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
Observaciones
14.20
7.1
11.1
7.1
11.1.1
7.2
11.2
7.2.1
11.2.1
Control de acceso a la informacin de acuerdo a las necesidades del negocio.

Poltica de Control de
Acceso
7%
No existe poltica formalmente definida y divulgada

SI
Disear e implementar una poltica de control de

acceso de usuarios que incluya los procesos
necesarios para autorizacin y control de acceso a los
SI
0.50
Administracin de acceso de los usuarios
Registro de Usuarios
SI
10%
Se realiza un proceso de registro de usuarios para cada individuo
con perfiles y permisos asignados segn justifique el caso. No se
realiza un seguimiento peridico y formal a los usuarios en desuso
del sistema. Se revisan usuarios bajo requerimiento

acceso de usuarios que incluya los procesos
necesarios para autorizacin y control de acceso a los
SI, inclur en el proceso, la periodicidad y rigurosidad
de la revisin de los usuarios creados.
0.90
7.2.2
11.2.2
Administracin de
privilegios
7.2.3
SI
3*
11.2.3
Administracin de
Contraseas
SI
Se tienen directivas sobre el uso y administracin de contraseas,

sin embargo hace falta una formalidad en el procedimiento y
auditoras al uso de las mismas.
Mantener el esquema implementado. Sin embargo el

esquema sobre Bases de Datos debe ser revisado ya
que no existe un control formal ni un responsable por
su administracin.
0.70
* Este valor se encuentra

en 0 para el caso de bases
de datos
0.90
Documentar dentro del SGSI una poltica de

administracin de contraseas formal que incluya
manejo, almacenamiento, cambio y construccin de
contraseas.
0.50
7.2.4
11.2.4
7.3
11.3
7.3.1
11.3.1
Revisin de los
permisos asignados a
los usuarios
SI
No se realiza la tarea periodicamente con el detalle requerido para

identificar inconvenientes con los perfiles.
Definir la periodicidad y detalle del procedimiento de

revisin de privilegios.
0.50
Responsabilidades de los usuarios
Uso de las
contraseas
SI
9%
Los usuarios utilizan contraseas triviales, a pesar de las polticas
electrnicamente definidas para crear contraseas.
Realizar el plan de concientizacin y entrenamiento

debidos con respecto al tema
0.50
7.3.2
11.3.2
Equipos desatendidos
SI
Mantener el esquema implementado. Fortalecer el

esquema con charlas de conciencia en seguridad.
Realizar el plan de concientizacin y entrenamiento

debidos con respecto al tema
0.63
0.90
7.3.3
11.3.3
7.4
11.4
7.4.1
11.4.1
Poltica de escritorios
y pantallas limpias
7.4.3
11.4.2
SI
0.50
Control de acceso a la red de datos
7%
No existe poltica formalmente definida
Polticas para el uso

de los servicios de la
red de datos
7.4.2
No se realiza una prctica efectiva sobre este tipo de control.
Autenticacin de
usuarios para
conexiones externas
SI
SI
Disear e implementar una poltica de uso de los

servicios de red que especifique la intencin de uso de
excllusivamente los servicios necesarios. Implementar
los procedimientos de autorizacin y control
necesarios.
No se permiten accesos remotos a los sistemas. Si se

requiere habilitar a un usuario en este esquema, se
deber formalizar una poltica estricta.
11.4.3
Identificacin de
equipos en la red
SI
Se cuenta con herramientas para la identificacin de equipos en la

red, pero no se mantienen controles sobre equipos de terceros
0.50
0.90
Implementar un procedimiento de control de equipos

conectados a la red, empleando herramientas
tecnolgicas o polticas de conexin e inventariado.
0.50

Anlisis de Riesgos
02/03/2015
CONFIDENCIAL
Pgina 13 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.50
GRUPO ASD

Item ISO Ref
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
Observaciones
14.20
7.4.4
7.4.5
11.4.4
Diagnstico remoto y
proteccin de la
configuracin de
puertos
Todos los puertos de diagnstico se encuentran protegidos

fsicamente por las directivas de acceso al centro de cmputo.
SI
0.90
11.4.5
No se hace segmentacin de la red.

Segregacin en la red
Si bin se cuenta con la proteccin de los sistemas y

su acceso a los mismos, debe hacerse explcito un
control sobre los puertos de diagnstico a los
sistemas.
SI
Debe implementarse inmediatamente una poltica y un

plan de segmentacin de la red.
0.10
7.4.6
11.4.6
Control de conexin a
la red
7.4.7
SI
11.4.7
Control de
enrutamiento de la
red
No se tiene un adecuado control de equipos a la red
Ya que no hay segmentacin de la red, no hay control de las rutas en

la red.
SI
Ademas de no tener un control de conexiones a la red

por puerto, se facilita la conexin al mantener un
esquema de DHCP. Se recomienda despus de
segmentar la red, implementar controles como Filtrado
por MAC, ACLs, y deshabilitado de puertos en reas
comunes entre otros.
0.50
Deben establecerse rutas claras y puntos de control de

entrada y salida entre las diversas subredes.
1
0.10
7.5
11.5
7.5.1
11.5.1
Control de acceso a los sistemas operativos
Procedimientos para
inicio de sesin de las
estaciones de trabajo
12%
Implementar mtodos alternativos al servicio Terminal
Services, que utilice cifrado en sus conexiones.
SI
3
0.90
7.5.2
7.5.3
7.5.4
11.5.2
11.5.3
Identificacin y
autenticacin de los
usuarios.
Sistema de
administracin de
contraseas.
SI
0.90
SI

(Polticas del directorio activo)
Mantener el esquema implementado. Extender el

esquema a aplicaciones
0.90
11.5.4
Uso de las utilidades
del sistema
Durante la campaa de concientizacin, exponer los

riesgos al compartir el usuario de red.
SI
Mantener el esquema implementado. Extender las

restricciones en el dominio para todos los usuarios
finales.
0.90
7.5.5
11.5.5
Time-out para las
estaciones de trabajo.
7.5.6
7.6
11.5.6
11.6
Limitacin en los
periodos de tiempo
de conexin a
servicios y
aplicaciones
SI
La Organizacin cumple satisfactoriamente con este control, en las

estaciones de trabajo empleando bloqueo de pantalla automtico.
Para las estaciones de administracin, los tiempos

deben ser ms cortos y automticamente deben
terminar la sesin activa en caso de inactividad, desde
una terminal remota.
0.90
Todos los servicios de administracin, especialmente

los remotos, deben inclur una limitante en los tiempos
y horario de acceso. Para los servicios de Carga y
Recoleccin de datos debera regularse el horario de
conexiones.
0.50
Se realiza el control en la mayora de casos. Para otros sistemas, la

tecnologa no lo permite.
SI
Control de acceso a las aplicaciones

Anlisis de Riesgos
02/03/2015
7%
CONFIDENCIAL
Pgina 14 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.83
GRUPO ASD

Item ISO Ref
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
Observaciones
14.20
7.6.1
11.6.1
Restriccin de acceso
a los sistemas de
informacin
SI
Extender los controles a las aplicacionoes que ya no lo

permiten por medio de controles adicionales como el
Directorio activo o un Firewall de Host.
0.90
7.6.2
11.6.2
Aislamiento de
sistemas sensibles
SI
No se cuenta con un esquema de aislamiento de sistemas sensibles.

Todo se reune en la misma red.
50%
Los sistemas ms crticos como bases de datos y

servidores de aplicaciones se encuentran aislados en
una granja de servidores, sin embargo es necesario
hacer lo mismo con los servidores de desarrollo o
pruebas que manejan la misma informacin.
0.10
7.8
11.7
7.8.1
11.7.1
Computacin Mvil y Teletrabajo
4%
No existe una poltica formal sobre el uso de computacin mvil
Computacin Mvil y
comunicacioines
SI

computacin mvil, acompaada del procedimiento
adecuado de control a ciertos equipos.
0.10
7.8.2
11.7.2
No existe una poltica formal sobre actividades de teletrabajo. Sin

embargo tampoco se permite el teletrabajo en el rea.
Teletrabajo

Anlisis de Riesgos
02/03/2015
SI
CONFIDENCIAL
Pgina 15 de 20
Disear e iplementar una poltica deTeletrabajo,

acompaada del procedimiento adecuado de control
que incluya las prcticas permitidas y los mecanismos
de control, y los escenarios eventuales en que es
permitida la prctica.
0.50

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.30
Grupo ASD
CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin

Item ISO Ref
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
Observaciones
16.6
8.1
12.1
Requerimientos de seguridad para los sistemas de informacin
8.1.1
12.1.1
Anlisis y
especificaciones de
los requerimientos de
seguridad
8.2
12.2
Procesamiento correcto en aplicaciones
12.2.1
Validacin de los
datos de entrada
12.2.2
Control del
procesamiento
interno
8.2.1
Si
8%
Si bin se hacen recomendaciones puntuales a nivel de seguridad,

no se cuenta con una gua formal de implementacin de seguridad a
nuevos sistemas.
Debe implementarse una gua con lineamientos claros,

alineada al SGSI,que exija unos mnimos lineamientos
en el desarrollo y puesta en marcha de nuevos
sistemas de informacin.
0.5
Si
3%
No se cuenta con un estndar para el desarrollo seguro de

aplicaciones
Implementar un estndar de desarrollo seguro de

aplicaciones que cumpla con las polticas especficas
de
seguridad,
en
la
revisin
de
entradas,
procesamiento y salidas de informacin.
0.1
8.2.2
8.2.3
12.2.3
Integridad de los
mensajes
Si
Si

aplicaciones
Los controles de integridad estn sujetos al usuario que origina los

datos

de
seguridad,
en
la
revisin
de
entradas,
0.2
0.1
Implementar mecanismos de cifrado de canales, de

certificados digitales o de no repudio en la entrada de
datos, almacenamiento temporal y autenticacin sobre
las aplicaciones de carga y procesamiento de datos.
0.5
8.2.4
12.2.4
Validacin de los
datos de salida
8.3
12.3
Controles Criptogrficos
8.3.1
12.3.1
Si

aplicaciones

de
seguridad,
en
la
revisin
de
entradas,
0.1
Poltica para el uso de

controles
criptogrficos
8.3.2
5%
La organizacin emplea controles criptogrficos bajo requerimiento
y en casos particulares.
Si
12.3.2
Administracin de
llaves
No hay una poltica formal en el rea para la administracin de

llaves de encripcin.
Si
Los esquemas criptogrficos deben ser obligatorios

para el manejo y transporte de informacin por encima
de "reservada" dentro de la clasificacin de
informacin. Este esquema debe ser formalmente
descrito en una poltica dentro del SGSI
0.5
0.3
una vez implementados los controles criptogrficos, es

necesario definir e implementar una poltica y
procedimiento
de
administracin
de
llaves
criptogrficas.
0.1
8.4
12.4
8.4.1
12.4.1
Seguridad en los archivos del sistema (System Files)
Control del software

operacional
8.4.2
Si
13%
Mantener el esquema implementado de revisin de

sistemas y de puesta en produccin. No se debe
permitir en ningn caso la instalacin de software sin
el permiso adecuado.
Implementar esquemas de proteccin de los datos de

produccin,
cambiandolos
o
eliminando
completamente los mismos al terminar las pruebas.
Este escenario cambiara el esquema actual de usar el
servidor de pruebas y desarrollo como contingencia de
produccin.
12.4.2
Proteccin de los
datos en sistemas de
prueba

Anlisis de Riesgos
02/03/2015
Si
Se utilizan datos del ambiente de produccin en el ambiente de

pruebas
CONFIDENCIAL
Pgina 16 de 20
0.9
0.7666666667
0.5

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
Grupo ASD
CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin

Item ISO Ref
Requerimiento
Aplica (SI/NO)
Estado del cliente
Cumplimiento
Mantener el esquema implementado. Debe hacerse

explcito el procedimiento, alineado a un SGSI y
divulgado.
Observaciones
16.6
8.4.3
12.4.3
Control de acceso a
las libreras de cdigo
fuente
8.5
12.5
8.5.1
12.5.1
8.5.4
0.9
15%
Mantener el esquema implementado.
Si
3
0.9
12.5.2

Revisin tcnica de
aplicaciones despues
de cambios al sistema
operativo
8.5.3
Seguridad en el desarrollo y en los procesos de soporte tcnico

Procedimientos para
el control de cambios
8.5.2
Si
12.5.3
Restricciones a
cambios en paquetes
de software
Si
3
0.9
Si
3
0.9
12.5.4
Si
Mantener el esquema implementado. Dada la

criticidad de la informacin, y aunque el esquema es
satisfactorio para la norma ISO, debe fortalecerse el
esquema de proteccin contra fugas de informacin
empleando todos los controles necesarios (tcnicos,
polticas, acuerdos, etc.)
Fuga de informacin
8.5.5
12.5.5
8.6
12.6
8.6.1
12.6.1
Desarrollo de
software por parte de
Outsourcing
0.9
Si
Mantener el esquema implementado. Sin embargo se

debe crear una gua fundamental de principios de
seguridad a tener en cuenta por parte de los terceros.
Administracin Tcnica de Vulnerabilidades
Si
0.9
8%
La Organizacin realiza pruebas de vulnerabilidad a sus sistemas

crticos bajo requerimiento.
Control tcnico de
vulnerabilidades

Anlisis de Riesgos
02/03/2015
Este aspecto debe ser

fortalecido notablemnente
con un SGSI maduro y
consistente
Dada la critricidad de la informacin, denbera

implementarse un esquema de pruebas internas (ya
sea por capacitacin de un funcionario o por un
sistema) que permita una revisin peridica interna al
respecto
0.5
CONFIDENCIAL
Pgina 17 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.9
Grupo ASD
CAPTULO 9 - Administracin de Incidentes de Seguridad Informtica

Item ISO Ref
9.1
9.1.1
13.1
13.1.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Estado del cliente
Observaciones
Reporte de eventos de seguridad informtica y de sus debilidades
Reporte de eventos
de Seguridad de la
informacin.
Si
15%
Hace falta la identificacin de los incidentes concernientes a la

seguridad de la informacin. Se hacen actividades de reporte en la
mesa de ayuda pero no se cuenta con un estandar alineado a un
SGSI
Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente los incidentes
relacionados con la seguridad de la informacin y su
reporte. La caracterizacin debe traducirse en la forma
como se hace seguimiento en la mesa de ayuda y
dentro del grupo de seguridad
0.50
Hace falta la identificacin de las debilidades concernientes a la

seguridad en todos los aspectos (anlisis de riesgos de seguridad de
la informacin interno y peridico)
9.1.2
13.1.2
Reporte de
debilidades de
seguridad
9.2
13.2
Administracin de incidentes de seguridad informtica y de su mejoramiento
Si
0.30
Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente las debilidades
relacionados con la seguridad de la informacin y su
reporte. Adicionalmente con la implementacin del
SGSI, este tema se har formal y maduro
0.10
9.2.1
13.2.1
Responsabilidades y
procedimientos
Si
12%
No hay un documento formal y divulgado sobre las

responsabilidades de cada rol en un incidente de seguridad de la
informacin.
Documentar y divulgar formalmente

implementado dentro del marco del SGSI
el
proceso
1
0.10
9.2.2
9.2.3
13.2.2
13.2.3
Aprendizaje a partir
de los incidentes de
seguridad
Recoleccin de
evidencia
Si
Si
Se realizan estudios de algunos incidentes de seguridad. Los

eventos ms importantes e impactantes son revisados.
No se tiene la conciencia de la gravedad de un incidente de

seguridad (a nivel de usuarios finales) lo que hace lento el proceso
de recoleccin de evidencia.
Adems de tipificar esta labor como parte de las

actividades del oficial de seguridad, definir el
procedimiento adecuado en el SGSI y realizar la
revisin a todos los repotes de incidentes e inclurlos
en el plan de mejoramiento
0.50
Disear e implemetnar el procedimiento detallado de

recoleccin de evidencia que permita de forma
efectiva obtener toda la informacin necesaria.
0.10

Anlisis de Riesgos
02/03/2015
CONFIDENCIAL
Pgina 18 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.23
GRUPO ASD
CAPTULO 10 - Administracin de Continuidad del Negocio Business Continuity Planning & Disaster Recovery Planning (BCP-DRP)
Item ISO Ref
10.1
14.1
10.1.1 14.1.1
Requerimiento
Aplica (SI/NO)
Consideraciones para la administracin de la continuidad del negocio

Inclusin de
No existe una poltca de seguridad definida dentro de un SGSI, que
seguridad de la
incluya directivas en cuanto a la administracin de continuidad del
informacin en el
negocio. (para todos los sistemas)
proceso de
Si
administracin de la
continuidad del
negocio
10.1.2 14.1.2
Continuidad del
negocio y anlisis de
impacto
10.1.3 14.1.3
10.1.4 14.1.4
10.1.5 14.1.5
Estado del cliente
Desarrollo e
implementacin de
planes de continuidad
Marco de planeacin
para la continuidad
del negocio
Pruebas,
mantenimiento y
revisin de los planes
de continuidad del
negocio

Anlisis de Riesgos
02/03/2015
Si
Si
Si
El estudio y anlisis del riesgo para el desarrollo de los planes de

continuidad del negocio, se encuentran desactualizados, o en
algunos casos no existen.
No se han implementado los planes de continuidad del negocio en

todos los procesos crticos
Se debera mantener un esquema nico de planes de continuidad

del negocio para garantizar que dichos planes son consistentes,
para tratar los requisitos de seguridad y para identificar las
prioridades de prueba y mantenimiento.
Cumplimiento
Una vez implementada la poltica de seguridad,

inclurla en el desarrollo de los planes de continuidad
del negocio y establecer planes para todos los
procesos crticos.
34%
0.34
0.5
No se realizan revisiones a los planes de continuidad del negocio

Si
Observaciones
Debe existir un anlisis peridico de tipo BIA y anlisis

de riesgos que haga particular detalle en las amenazas
inherentes a la organizacin. Esta actividad se
madurar con cada ciclo del SGSI
Una vez afinados y probados los planes de
continuidad, realizar la divulgacin e implementacin
respectiva y obligatoria.
Unificar los trminos de anlisis para el impacto y los
riesgos evaluados en los planes de continuidad del
negocio.
0.5
0.5
0.1
Realizar el seguimiento y revisin apropiados a los

planes de continuidad una vez hayan sido
implementados.
0.1
CONFIDENCIAL
Pgina 19 de 20

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
GRUPO ASD
CAPTULO 11 - Cumplimiento y Normatividad Legal

Item ISO Ref
11.1
15.1
Requerimiento
Aplica (SI/NO)
Estado del cliente
Cumplimiento
Extender la investigacin de legislaciones aplicables a

los temas de seguridad de la informacin.
Cumplimiento con requerimientos legales
26%
11.1.1 15.1.1
Identificacin de
leyes aplicables
Si
0.95
11.1.2 15.1.2
Si
3
0.9
11.1.3 15.1.3
Los registros organizacionales son administrados de la misma forma

que el resto de la informacin operacional de la organizacin
Si
11.1.5 15.1.5
11.1.6 15.1.6
10.2
15.2
Salvaguardar los
registros de la
organizacin
Proteccin de los
datos y privacidad de
la informacin
personal
Prevencin mal uso
de los componentes
tecnolgicos
Regulacin
decontroles
criptogrficos
Establecer procedimientos especiales de seguridad El control es satisfactorio

para los registros organizacionales.
por
la
adecuada
clasificacin de informacin
que se tiene y su manejo,
pero debe fortalecerse para
este tipo de datos.
0.9
Si
Si
Si
No se tienen identificados o aplicados los lineamientos especficos

sobre uso de controles criptogrficos a la innformacin
Extender la investigacin de legislaciones aplicables a

los temas de propiedad intelectual y personal, as
como derecho a la intimidad.
Establecer controles adems de la conciencia
corporativa, que permitan administrar y monitorear el
uso de los componentes tecnolgicos.
Debe realizarse la adecuada revisin de cuales
regulaciones afectan el uso de controles criptogrficos
y considerarlos para su implementacin
Revisin de la poltica de seguridad y cumplimiento tcnico
10.2.1 15.2.1
Cumplimiento de los
diferentes
requerimientos y
controles establecidos
por la poltica de
seguridad
Si
0.5
Si
Proteccin de las
herramientas para
auditora del sistema

Anlisis de Riesgos
02/03/2015
0.5
Reforzar las revisiones a los planes de mejoramiento y

pruebas de vulnerabilidad a los SI.
2
0.5
Consideraciones relacionadas con la auditora interna
10.3.1 15.3.1
10.3.2 15.3.2
0.1
No existe poltica de seguridad formalmente establecida dentro del

marco de un SGSI
Controles para
auditora del sistema
0.9
Una vez establecida e implementada la poltica de

seguridad, realizar los controles al cumplimiento de la
misma
Chequeo del
cumplimiento tcnico
15.3
0.9
17%
No existe poltica de seguridad formalmente establecida dentro del

marco de un SGSI
10.2.2 15.2.2
10.3
0.775
Mantener el esquema implementado

Derechos de autor y
propiedad intelectual
11.1.4 15.1.4
Observaciones
10%
Si
Las auditoras se realizan sobre los registros y evidencias y no sobre

los sistemas de informacin.
Si
No se tienen identificadas herramientas particulares de auditora de

sistemas a nivel de seguridad de la informacin.
Documentar e implementar dentro del SGSI, los casos

y controles a tener en cuenta para las actividades de
auditora sobre sistemas en produccin.
Implementar la poltica de auditora de sistemas en

trminos de seguridad de la informacin y especificar
cuales son las herramientas para la actividad y sus
protecciones
CONFIDENCIAL
Pgina 20 de 20
0.5
0.1

FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.
0.3

Rduitama - TFM - 012013 - Anexo 2. Matriz Analisis GAP v2

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Rduitama - TFM - 012013 - Anexo 2. Matriz Analisis GAP v2

Загружено:

Авторское право:

Доступные форматы

GRUPO ASD

PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA

Poltica de Seguridad Corporativa

Clasificacin y Control de Componentes Crticos

Seguridad del Recurso Humano

Seguridad Fsica y Ambiental

Administracin de Operaciones y Comunicaciones

No existen controles efectivos Deficiencias considerables con respecto a lo esperado

Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin

Controles Bsicos Deficiencias menores con respecto a lo esperado para el

Administracin de Incidentes de Seguridad Informtica

Administracin de Continuidad del Negocio

Cumplimiento y Normatividad Legal

Estructura Organizacional de Seguridad Informtica

Con respecto al control, es un control debil, cumple o excede las expectativas

No est definido ningn tipo de control

El Requerimiento se Cumple en forma Efecitva

Distribucion de Controles por Nivel de Madurez

No est definido ningn tipo de control

No existen controles efectivos Deficiencias

Controles Bsicos Deficiencias menores co

El Requerimiento se Cumple en forma Efecit

Optimizado Implementacin que mejora e

Proyecto de Seguridad Informica

Referencia Interna de Digiware

CAPTULO 1 - Poltica de Seguridad Corporativa

Estado del cliente

Poltica de Seguridad de la Informacin

Proyecto de Seguridad Informica

Existen polticas de seguridad de la informacin sobre temas

Se realizan actualizaciones de las Polticas actuales por

Documentar e implementar la poltica de seguridad de

Al complementar el documento de poltica e

Referencia Interna de Digiware

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica

Estado del cliente

Existe el compromiso y la voluntad por parte de las directivas a nivel

Existe un grupo de seguridad de la informacin plenamente

Existen funciones definidas con respecto a las responsabilidades

Un programa de conciencia en seguridad de la

Fortalecer esquemas de capacitacin en segurdad

Complementar los manuales de funciones con las

Son claras las funciones del rea de seguridad de la informacin, en

Reforzar los esquemas de mantenimiento de

Se realizan acuerdos especficos de confidencialidad tanto para la

Por la naturaleza de la organizacin, este punto tiene

Por la naturaleza de la organizacin, se cuenta con

Se mantiene un contacto permanente con los entes militares y

El rea de seguridad se mantiene en constante contacto con grupos

Inscribir a los miembros del grupo de seguridad de la

Se realizan auditoras internas de seguimiento al rea a nivel de

Capacitar a los auditores internos y enfocar las

Proyecto de Seguridad Informica

Referencia Interna de Digiware

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica

El acceso fsico y lgico a terceros es regulado de forma contractual

El propsito de la organizacin es garantizar la seguridad a los

Se realizan acuerdos de confidencialidad especficos para la labor

Estado del cliente

Alinear con la implementacin del SGSI, todos los

Certificar la entidad en ISO 27001 o mostrar el

Proyecto de Seguridad Informica

Inclur la poltica de seguridad en los acuerdos y