Академический Документы
Профессиональный Документы
Культура Документы
Resumen de cumplimiento
Controles Aprobados
131
2
Controles No aprobados
Controles Aprobados
Controles No
aprobados
131
Controles no aplicables
0
Dominio
Tabla de Calificaciones
Aprobados
NO Aprobados
Porcentaje Cumplimiento
50%
Cada uno de los requerimientos de la hojas de los DOMINIOS ha sido calificado en una escala del 1 al 5
(Siendo 1 debilidad y 5 fortaleza)
NOTA: Para cumplir con un proceso de auditora satisfactoria, cada requerimiento debera
obtener por lo menos una calificacin de 3
11
96%
71%
77%
13
86%
29
69%
Control de Acceso
25
56%
16
52%
27%
90%
34%
95%
10
53%
100%
Cumplimiento
Efectivida
d
Califcaci
n
0%
100%
90%
80%
70%
8%
2%
16%
60%
96%
50%
40%
30%
71%
77%
86%
42%
69%
56%
50%
20%
27%
53%
52%
33%
Controles Comprehensivos
34%
10%
0%
1
10
11
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 1 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
ISO Ref
1.1
5.1
1.1.1
5.1.1
Requerimiento
Cumplimiento
Oportunidad de mejora
Observaciones
Documento de la
poltica de seguridad
de la Informacin
1.1.2
Aplica (SI/NO)
Si
5.1.2
Revisin y evaluacin
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 2 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
ISO Ref
Requerimiento
2.1
6.1
Organizacin Interna
2.1.1
6.1.1
Compromiso de las
Directivas con la
seguridad de la
informacin
2.1.2
2.1.3
Si
Si
Si
6.1.3
Asignacin de
responsabilidades
Oportunidad de mejora
Observaciones
41%
6.1.2
Coordinacin de la
Seguridad
Cumplimiento
Aplica (SI/NO)
0.5
0.9
2.1.4
6.1.4
Proceso de
Autorizacin a reas
de procesamiento de
informacin
Si
2.1.5
6.1.5
Acuerdos de
confidencialidad
0.95
2.1.6
6.1.6
Contacto con las
autoridades
1
2.1.7
6.1.7
Contacto con grupos
de especial inters
0.9
2.1.8
6.1.8
Si
0.5
2.2
6.2
Terceros
45%
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 3 de 20
82%
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
2.2.1
ISO Ref
Requerimiento
6.2.1
Identificacin de
riesgos
2.2.2
Aplica (SI/NO)
Si
SI
Si
6.2.2
Aproximacin a la
seguridad al tratar
con clientes
Cumplimiento
Oportunidad de mejora
Observaciones
0.9
0.9
2.2.3
6.2.3
Aproximacin a la
seguridad en
acuerdos con
terceros
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 4 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
3.1
7.1
3.1.1
7.1.1
3.1.2
3.1.3
7.1.2
Requerimiento
Aplica (SI/NO)
Inventario de activos
tecnolgicos
Si
Responsables de los
activos tecnolgicos
Si
7.2
7.2.1
Si
0.5
0.5
0.5
46%
Si
3.2.2
7.2.2
Identificacin y
Manejo de la
informacin
0.5
Clasificacin de la Informacin
Normas para
clasificacin de la
informacin
Observaciones
25%
Centralizar el inventario de todos los activos en un
listado maestro, enmarcado en un procedimiento y
asignado a u responsable por su mantenimiento.
3.2.1
Oportunidad de mejora
7.1.3
3.2
Cumplimiento
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 5 de 20
0.9
0.925
4.1
8.1
4.1.1
8.1.1
Requerimiento
Si
Oportunidad de mejora
Previo a la contratacin
Roles y responsabilidades
4.1.2
Cumplimiento
Aplica (SI/NO)
27%
Si
8.1.2
Investigacin del personal
que va a ser contratado
Observaciones
0.8166666667
4.1.3
8.1.3
Trminos y condiciones
Si
4.2
8.2
4.2.1
8.2.1
Durante el empleo
Supervisin de las
obligaciones
4.2.2
25%
Si
8.2.2
Conciencia de la
seguridad, educacin y
entrenamiento
Si
0.9
0.7666666667
0.5
4.2.3
8.2.3
Procesos disciplinarios
Si
0.9
4.3
8.3
4.3.1
8.3.1
Responsabilidades en la
terminacin del contrato
25%
Inclur el proceso en el SGSI cuando haya sido
implamentado
Si
3
0.9
4.3.2
8.3.2
0.7666666667
Si
3
0.9
4.3.3
8.3.3
Eliminacin de permisos
sobre los activos
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 6 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
5.1
9.1
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
Requerimiento
Cumplimiento
Oportunidad de mejora
Observaciones
Areas Restringidas
Permetro de
Seguridad Fsica
Controles fsicos de
entrada
Aseguramiento de
oficinas, cuartos e
instalaciones
43%
Si
0.95
Si
Si
4
0.95
Si
9.1.5
Trabajo en reas
restringidas
0.85
Mantener el esquema.
9.1.4
Proteccin contra
amenazas externas y
ambientales
5.1.5
Aplica (SI/NO)
Si
0.9
0.5
0.9
5.1.6
9.1.6
5.2
9.2
5.2.1
9.2.1
Acceso pblico,
envos y reas de
carga
Si
0.9
Ubicacin y
proteccin de equipos
tecnolgicos
Si
43%
5.2.2
5.2.3
5.2.4
9.2.2
9.2.3
Seguridad en el
suministro de
electricidad
Seguridad en el
cableado
0.90
Si
0.90
9.2.4
Mantenimiento
5.2.5
Si
Si
9.2.5
Seguridad de equipos
fuera de las reas
seguras
0.95
5.2.6
9.2.6
Destruccin y
reutilizacin de
equipos
SI
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 7 de 20
0.90
0.86
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Extraccin de activos
informticos
Si
Cumplimiento
Oportunidad de mejora
9.2.7
La Organizacin cumple satisfactoriamente con este control
Observaciones
0.95
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 8 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
6.1
10.1
6.1.1
10.1.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Los
manuales
deben
inclur
procedimientos
contingentes del era, as como las actividades en
casos de emergencia. Todo debeestar alineado o
includo en el SGSI
Observaciones
Documentacin de
procesos operativos
Si
4%
0.50
6.1.2
10.1.2
Control de Cambios
Si
Si
69.0%
0.40
0.50
6.1.3
10.1.3
Segregacin de
funciones
6.1.4
10.1.4
6.2
10.2
6.2.1
10.2.1
Separacin de los
ambientes de
Desarrollo, prueba y
produccin
0.10
Prestacin de servicios
6.2.2
Si
Si
10.2.2
Monitoreo y revisin de
servicios de terceros
Si
0.50
8%
0.90
0.77
6.2.3
10.2.3
Administracin de
cambios a servicios de
terceros
Si
6.3
10.3
6.3.1
10.3.1
Administracin de la
capacidad
Si
9%
6.3.2
10.3.2
Aceptacin de sistemas
Si
0.90
6.4
10.4
5%
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 9 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
10.4.1
Controles contra cdigo
malicioso
Si
Oportunidad de mejora
Observaciones
6.4.2
10.4.2
Controles contra cdigo
mvil
Si
0.50
6.5
10.5
6.5.1
10.5.1
Copias de seguridad
Respaldo de la
informacin.
9.5%
Si
6.6
10.6
6.6.1
10.6.1
Controles de la Red
Si
1%
A pesar de contar con los elementos necesarios para el
monitoreo de la red, no se realizan controles adecuados
sobre trfico, conexiones o revisin de anomalas.
6.6.2
10.6.2
Seguridad de los
Servicios de Red
Si
0.10
6.7
10.7
6.7.1
10.7.1
Manipulacin de mdios
6%
Existe una poltica estricta sobre el
removibles dentro de la organizacin
Administracin de
medios removibles
uso
de medios
Si
sus
4
0.95
6.7.2
10.7.2
Destruccin de medios
Si
0.61
6.7.3
10.7.3
Procedimientos de
manejo de la
informacin
6.7.4
10.7.4
Seguridad de la
documentacin de los
sistemas
6.8
10.8
Si
Intercambio de informacin
0.50
5%
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 10 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
6.8.2
10.8.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Si
Polticas y
procedimientos del
intercambio de
informacin
10.8.2
Acuerdos para el
intercambio
6.8.3
10.8.3
0.50
Si
Observaciones
Oportunidad de mejora
0.50
0.50
6.8.4
10.8.4
Mensajera Electrnica
Si
6.8.5
10.8.5
6.9
10.9
6.9.1
10.9.1
6.9.2
6.9.3
Sistemas de
informacion de
negocios
Si
0.50
9%
N/A
Comercio Electrnico
No
Transacciones en Lnea
No
Informacin pblica
6.9.1
10.1.0.1
Si
N/A
No se prestan servicios de
este tipo
N/A
No se prestan servicios de
este tipo
N/A
10.9.3
10.10
10.9.2
9.1
Monitoreo
Auditora de registros
8%
Si
Si
Mantener el esquema
implementado. Realizar
revisiones peridicas a los registros y determinar un
poltica de almacenamiento que detalle los trminos y
responsabilidades, as como los mecanismos de
seguridad para tales registros.
0.90
6.9.2
6.9.3
10.1.0.2
Uso de sistemas de
monitoreo
10.1.0.3
Proteccin de registros
de monitoreo
Si
0.77
0.90
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 11 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
6.9.5
10.1.0.4
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Registros de monitoreo
de administradores y
operadores
Si
Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
reaccin a incidentes.
Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
atencion de incidentes.
0.90
10.1.0.5
Registro de fallas
Observaciones
Si
0.90
6.9.6
10.1.0.6
Sincrona
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 12 de 20
0.10
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
14.20
7.1
11.1
7.1
11.1.1
7.2
11.2
7.2.1
11.2.1
7%
0.50
Registro de Usuarios
SI
10%
Se realiza un proceso de registro de usuarios para cada individuo
con perfiles y permisos asignados segn justifique el caso. No se
realiza un seguimiento peridico y formal a los usuarios en desuso
del sistema. Se revisan usuarios bajo requerimiento
7.2.2
11.2.2
Administracin de
privilegios
7.2.3
SI
3*
11.2.3
Administracin de
Contraseas
SI
0.70
7.2.4
11.2.4
7.3
11.3
7.3.1
11.3.1
Revisin de los
permisos asignados a
los usuarios
SI
Uso de las
contraseas
SI
9%
Los usuarios utilizan contraseas triviales, a pesar de las polticas
electrnicamente definidas para crear contraseas.
7.3.2
11.3.2
Equipos desatendidos
SI
0.63
0.90
7.3.3
11.3.3
7.4
11.4
7.4.1
11.4.1
Poltica de escritorios
y pantallas limpias
7.4.3
11.4.2
SI
0.50
7%
No existe poltica formalmente definida
Autenticacin de
usuarios para
conexiones externas
SI
SI
11.4.3
Identificacin de
equipos en la red
SI
0.50
0.90
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 13 de 20
0.50
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
14.20
7.4.4
7.4.5
11.4.4
Diagnstico remoto y
proteccin de la
configuracin de
puertos
0.90
11.4.5
SI
7.4.6
11.4.6
Control de conexin a
la red
7.4.7
SI
11.4.7
Control de
enrutamiento de la
red
0.50
7.5
11.5
7.5.1
11.5.1
Procedimientos para
inicio de sesin de las
estaciones de trabajo
12%
Implementar mtodos alternativos al servicio Terminal
Services, que utilice cifrado en sus conexiones.
SI
3
0.90
7.5.2
7.5.3
7.5.4
11.5.2
11.5.3
Identificacin y
autenticacin de los
usuarios.
Sistema de
administracin de
contraseas.
SI
0.90
SI
11.5.4
Uso de las utilidades
del sistema
SI
7.5.5
11.5.5
Time-out para las
estaciones de trabajo.
7.5.6
7.6
11.5.6
11.6
Limitacin en los
periodos de tiempo
de conexin a
servicios y
aplicaciones
SI
0.90
0.50
7%
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 14 de 20
0.83
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
14.20
7.6.1
11.6.1
Restriccin de acceso
a los sistemas de
informacin
SI
0.90
7.6.2
11.6.2
Aislamiento de
sistemas sensibles
SI
50%
7.8
11.7
7.8.1
11.7.1
4%
No existe una poltica formal sobre el uso de computacin mvil
Computacin Mvil y
comunicacioines
SI
7.8.2
11.7.2
SI
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 15 de 20
0.50
0.30
Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
16.6
8.1
12.1
8.1.1
12.1.1
Anlisis y
especificaciones de
los requerimientos de
seguridad
8.2
12.2
12.2.1
Validacin de los
datos de entrada
12.2.2
Control del
procesamiento
interno
8.2.1
Si
8%
Si
3%
8.2.2
8.2.3
12.2.3
Integridad de los
mensajes
Si
Si
0.2
0.1
8.2.4
12.2.4
Validacin de los
datos de salida
8.3
12.3
Controles Criptogrficos
8.3.1
12.3.1
Si
5%
La organizacin emplea controles criptogrficos bajo requerimiento
y en casos particulares.
Si
12.3.2
Administracin de
llaves
0.5
0.3
8.4
12.4
8.4.1
12.4.1
Si
13%
12.4.2
Proteccin de los
datos en sistemas de
prueba
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 16 de 20
0.9
0.7666666667
0.5
Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
16.6
8.4.3
12.4.3
Control de acceso a
las libreras de cdigo
fuente
8.5
12.5
8.5.1
12.5.1
8.5.4
0.9
15%
Mantener el esquema implementado.
Si
3
0.9
12.5.2
8.5.3
8.5.2
Si
12.5.3
Restricciones a
cambios en paquetes
de software
Si
3
0.9
Mantener el esquema implementado.
Si
3
0.9
12.5.4
Si
Fuga de informacin
8.5.5
12.5.5
8.6
12.6
8.6.1
12.6.1
Desarrollo de
software por parte de
Outsourcing
0.9
Si
Si
0.9
8%
Control tcnico de
vulnerabilidades
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 17 de 20
0.9
Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
9.1
9.1.1
13.1
13.1.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
Observaciones
Reporte de eventos
de Seguridad de la
informacin.
Si
15%
Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente los incidentes
relacionados con la seguridad de la informacin y su
reporte. La caracterizacin debe traducirse en la forma
como se hace seguimiento en la mesa de ayuda y
dentro del grupo de seguridad
0.50
9.1.2
13.1.2
Reporte de
debilidades de
seguridad
9.2
13.2
Si
0.30
Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente las debilidades
relacionados con la seguridad de la informacin y su
reporte. Adicionalmente con la implementacin del
SGSI, este tema se har formal y maduro
0.10
9.2.1
13.2.1
Responsabilidades y
procedimientos
Si
12%
el
proceso
1
0.10
9.2.2
9.2.3
13.2.2
13.2.3
Aprendizaje a partir
de los incidentes de
seguridad
Recoleccin de
evidencia
Si
Si
0.50
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 18 de 20
0.23
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
CAPTULO 10 - Administracin de Continuidad del Negocio Business Continuity Planning & Disaster Recovery Planning (BCP-DRP)
Item ISO Ref
10.1
14.1
10.1.1 14.1.1
Requerimiento
Aplica (SI/NO)
10.1.2 14.1.2
Continuidad del
negocio y anlisis de
impacto
10.1.3 14.1.3
10.1.4 14.1.4
10.1.5 14.1.5
Desarrollo e
implementacin de
planes de continuidad
Marco de planeacin
para la continuidad
del negocio
Pruebas,
mantenimiento y
revisin de los planes
de continuidad del
negocio
Si
Si
Si
Cumplimiento
Oportunidad de mejora
34%
0.34
0.5
Observaciones
0.5
0.5
0.1
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 19 de 20
GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002
11.1
15.1
Requerimiento
Aplica (SI/NO)
Cumplimiento
Oportunidad de mejora
26%
11.1.1 15.1.1
Identificacin de
leyes aplicables
Si
0.95
11.1.2 15.1.2
Si
3
0.9
11.1.3 15.1.3
11.1.5 15.1.5
11.1.6 15.1.6
10.2
15.2
Salvaguardar los
registros de la
organizacin
Proteccin de los
datos y privacidad de
la informacin
personal
Prevencin mal uso
de los componentes
tecnolgicos
Regulacin
decontroles
criptogrficos
Si
Si
Si
10.2.1 15.2.1
Cumplimiento de los
diferentes
requerimientos y
controles establecidos
por la poltica de
seguridad
Si
0.5
Si
Proteccin de las
herramientas para
auditora del sistema
0.5
10.3.1 15.3.1
10.3.2 15.3.2
0.1
Controles para
auditora del sistema
0.9
Chequeo del
cumplimiento tcnico
15.3
0.9
17%
10.2.2 15.2.2
10.3
0.775
11.1.4 15.1.4
Observaciones
10%
Si
Si
CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 20 de 20
0.5
0.1
0.3