Controles iso 27001:2005

Clausula

Dominio
6.1

6,1,1

6,1,2

6,1,3

6 Organizacin de la
seguridad de la
informacin.
6,1,4

6,1,5

6.2
6,2,1
6,2,2
8.1

8,1,1

8,1,2

8,1,3

8,1,4

8.2

8. GESTIN DE
ACTIVOS.

8,2,1

8. GESTIN DE
ACTIVOS.

8,2,2

8,2,3

8.3

8,3,1

8,3,2

8,3,3

9.1
9,1,1
9,1,2
9.2

9,2,1

9,2,2

9,2,3

9,2,4

9. CONTROL DE
ACCESOS.

9,2,5

9,2,6

9.3
9,3,1

9.4

9,4,1

9,4,2

9,4,3

9,4,4

9,4,5

Tcnico, organizacional o normativo

Controles iso 27001:2005

RL
OC
RN/MP
RAR
Control
Actual

Control/ Objetivo del control

Organizacin interna
Asignacin de responsabilidades para la seguridad de la
informacin.

Segregacin de tareas.

Contacto con las autoridades.

Seguridad de la informacin en la gestin de proyectos.

Dispositivos para movilidad y teletrabajo.

Poltica de uso de dispositivos para movilidad.

Responsabilidad sobre los activos.

x
x
x

Inventario de activos.

Propiedad de los activos.

Teletrabajo.

Uso aceptable de los activos.

Devolucin de activos.

Clasificacin de la informacin.

Directrices de clasificacin.

Etiquetado y manipulado de la informacin.

Manipulacin de activos.

Manejo de los soportes de almacenamiento.

Gestin de soportes extrables.

Eliminacin de soportes.

Soportes fsicos en trnsito.

Requisitos de negocio para el control de accesos.

Poltica de control de accesos.

Control de acceso a las redes y servicios asociados.

x
x

Gestin de acceso de usuario.

Gestin de altas/bajas en el registro de usuarios.

Gestin de los derechos de acceso asignados a usuarios.

Gestin de los derechos de acceso con privilegios especiales.

Gestin de informacin confidencial de autenticacin de usuarios.

Revisin de los derechos de acceso de los usuarios.

Retirada o adaptacin de los derechos de acceso

Responsabilidades del usuario.

Uso de informacin confidencial para la autenticacin.

Control de acceso a sistemas y aplicaciones.

Restriccin del acceso a la informacin.

Procedimientos seguros de inicio de sesin.

Gestin de contraseas de usuario.

Uso de herramientas de administracin de sistemas.

Control de acceso al cdigo fuente de los programas.

Requerimientos Legales
Obligaciones Contractuales
Requerimientos del Negocio/Mejores Practicas
Resultado de Analisis de Riesgo

Comentarios

o justificacion de exclusion

Controles seleccionados y razones de

la seleccion
RL

OC
N

se justifica pues solo esta en el contrato laboral mas no esta

documentado lo que genera que la informacion este disponible
para varias personas del area de seleccion

la tarea solo la realiza la secretaria general

Nunca se ha tenido la necesidad de contar con la autoridad

RN/MP
O

RAR
T

poca relacion con grupos de seguridad especializados en el

tema a tratar

La seguridad de la informacin se dirigir en la gestin de

proyectos,
independientemente del tipo de proyecto.

Se garantiza la seguridad en el uso de dispositivos mviles. el

teletrabajo no se a implementado

se cuenta con la politica de control

se cuenta con los mecanismos de control
se identifican los activos de la empresa

la base de datos, por no ser fisica y no estar certificada

gubernamentalmente no se tiene como activo

no se identifica la parte propietaria.

Es importante que se establezca una norma para el uso de la

informacion y activos asociados a la misma

Existe la leve posibilidad que los desarrolladores se lleven

informacion que no les corresponde

x
x

La clasificacion de esa informacion no se esta haciendo

detallada, lo que no permite hacer un buen seguimiento.

actualmente no se esta dando importancia a informacion de

gran valor para la empresa, lo que podria ocasionar ineficiencia
en la busqueda.

Se tienen en cuenta las Tablas de

Retencin Documental aprobadas para las diferentes reas.

x
x

Se evidencia poca capacitacion, por eso es necesario socializar

la informacion aprobada por la empresa.
Se debe asegurar los soportes y la informacin en trnsito no
solo fsico sino electrnico (a travs de las redes). como
tambien cifrar todos los datos sensibles o valiosos antes de ser
transportados.

es necesario implementar procedimientos para la gestin de

medios removibles, de acuerdo con el esquema de clasificacin
adoptado por la organizacin.

Se esta haciendo un borrado normal, lo que no garantiza la

eliminacion definitiva.

Los medios que contienen informacin actualmente no estan

protegidos contra el acceso no autorizado, el uso inadecuado o
la corrupcin durante el transporte ms all de los lmites
fsicos de la organizacin
se debe controlar el acceso a la informacin.

falta implementar el tema ambiental

Esta controlado pero debe verificarse constantemente
falta definir la matriz de usuarios y las autorizaciones de
acceso.

x
x

x
x

x
x

x
x

Se llevar a cabo un proceso formal de registro y anulacin de

usuario para permitir la asignacin de derechos de acceso.

El acceso a la informacin de la empresa, es otorgado slo a

Usuarios autorizados, basados en lo que es requerido para
realizar las tareas
relacionadas con su responsabilidad o tipo de servicio en razn
de sus funciones, con los privilegios apropiados y por un tiempo
limitado. Sim embargo se nota ausencia de monitorizacion.

Si bien se ha avanzado en este punto se debe aclarar el uso de

las claves de usuarios de tipo roor, adm y system

La asignacin de la informacin secreta de autenticacin se

controla
a travs de un proceso de gestin dada por parte de los
responsables, pero se nota falta de actualizacion.

Cualquier desviacin ser tratada como un incidente en

seguridad de la informacin y debe dejar trazas del ejercicio de
sta actividad, las que sern objeto de revision.

`x

Los derechos de acceso de todos los empleados y de usuarios

externos a la informacin y a las instalaciones de
procesamiento de informacin se deben retirar al terminar su
empleo, contrato o acuerdo, o se deben ajustar cuando se
hagan cambios.
si no se autentica no podra acceder
Se debera requerir a los usuarios que sigan las prcticas de la
organizacin en el uso de la informacin secreta de
autenticacin.

x
x
x

Evitar el acceso no autorizado a sistemas y aplicaciones

El acceso a la informacin estar restringido de conformidad

con la poltica de Control de acceso.

El acceso a los sistemas operativos se debe controlar mediante

un procedimiento de registro de inicio seguro.

x
x

Los sistemas de gestin de contraseas deben ser interactivos

y deben asegurar la calidad de las contraseas apoyados en
los medios tcnicos y tecnolgicos
El uso de programas de utilidad que podran ser capaces de
anular el sistema y de aplicaciones con controles principales
ser restringido y estrechamente controlado.
El acceso al cdigo fuente del programa es limitado. Solamente
los ingenieros del grupo de soporte podrn contar con acceso a
esta informacin y harn uso de la misma. Se debe monitorear
los registros de log in.

x
x

Aplica (SI/NO)

Comentarios de implementacion

si

Se deben definir y asignar todas las responsabilidades de

la seguridad de la informacin. Legalmente la empresa debe tener definidas las
funciones y responsabilidades

si

Los deberes y reas de responsabilidad en conflicto se

deben separar para reducir las posibilidades de modificacin no
autorizada o no intencional, o el uso indebido de los activos de la
organizacin.

si

Se deben mantener los contactos apropiados con las

autoridades pertinentes.

si

Se mantendrn los contactos apropiados con los grupos de inters

especial (Polica, Bomberos, Defensa Civil, empresas dedicadas a la misma actividad)
u otros foros de seguridad
especializados y asociaciones profesionales para que puedan ser
contactados de manera oportuna en el caso de que se presente un
incidente de seguridad de la informacin. Se debe concientizar, formacin y
capacitacin en seguridad de la informacin.

si

Debe cumplir la legislacin sobre proteccin de satos sensibles, cumpliendo las

polticas que ha generado la entidad de la manera ms idnea utilizando los medios
tcnicos para asegurar la informacin.

no

Se garantiza la seguridad en el teletrabajo y en el uso de dispositivos mviles.

no
no
si

No se definen claramente las responsabilidades

de proteccin adecuados

si

Los activos relacionados con la informacin y las instalaciones de

procesamiento de informacin deben ser identificados dentro del inventario de activos
de la empresa. Todos los activos deben estar claramente identificados y se deben
elaborar y mantener un inventario de todos los activos importantes

si

Se deben identificar, documentar e implementar las reglas sobre el

uso aceptable de la informacin y de los activos asociados con los
servicios de procesamiento de la informacinz

si

Se deben identificar, documentar e implementar las reglas sobre el

uso aceptable de la informacin y de los activos asociados con los
servicios de procesamiento de la informacin, tambien hacersen cumplir esas reglas de
forma obligatoria por sus responsables.

si

Todos los empleados, contratistas o usuarios

de terceras partes deben devolver todos los
activos pertenecientes a la organizacin que
estn en su poder al finalizar su contratacin
laboral, contrato o acuerdo.

si

La informacin se debera clasificar en funcin de los

requisitos legales, valor, criticidad y susceptibilidad a divulgacin o a
modificacin no autorizada.

si

La informacin se debe clasificar en trminos de su valor, de los

requisitos legales, de la sensibilidad y la importancia para la
organizacin.

si

Se debe desarrollar e implementar un conjunto de procedimientos

adecuados para el etiquetado y el manejo de la informacin de
acuerdo al esquema de clasificacin adoptado por la organizacin

si

Se aplicaran procedimientos para el manejo de los activos de

conformidad con el esquema de clasificacin de la informacin aprobada por la
empresa.

si

Evitar la divulgacin no autorizada, modificacin, eliminacin

o destruccin de la informacin almacenada en los medios de
comunicacin. Se deben establecer los procedimientos operativos adecuados para
proteger los documentos, medios informticos (discos, cintas, etc.), datos de entrada o
salida y documentacin del sistema contra la divulgacin, modificacin, retirada o
destruccin de activos no autorizadas.

si

La gestin de medios extrables se realizar de acuerdo con el esquema de

clasificacin adoptado por la entidad. Los equipos de cmputo que tienen autorizado el
manejo de USB y unidades reproductoras de CD/DVD, deben cumplir los siguientes
requisitos.
Tener habilitado el escaneo automtico de virus
Tener configurada en la herramienta de antivirus institucional, el bloqueo de
la reproduccin automtica de archivos ejecutables

si

Cuando ya no se requieran estos medios, su eliminacin se debe hacer de forma

segura y sin riesgo, utilizando los procedimientos formales.

si

Los medios que contienen informacin deben estar protegidos contra

el acceso no autorizado, mal uso o corrupcin durante el transporte.
Se debe implementar la utilizacin de protocolos de seguridad para
la encriptacin de las claves ms sofisticados.

si

Limitar el acceso a los recursos de tratamiento de informacin y a la informacin.

si

Se debe establecer, documentar y revisar la poltica de control de acceso con base en

los requisitos del negocio y de la seguridad para el acceso

si

evitar el acceso no autorizado a servicios en red.

si

Asegurar el acceso de los usuarios autorizados para evitar el ingreso no permitido a los
sistemas y servicios.

si

con las polticas de la entidad se delimita de manera formal el acceso y uso de las
tecnologas y la informacin de los usuarios, garantizando que estos accesos sean los
permitidos por medio de las medidas tcnicas.
Se debe implantar un procedimiento formal
de registro y retirada de usuarios que haga posible la asignacin de los derechos de
acceso. La eliminacin de un identificador de usuario debe ser realizada
inmediatamente haya finalizado su relacin contractual del usuario con
PROGRAMSOFT SAS.

si

Se debe crear una poltica clara de derechos de acceso a los usuarios

si

La asignacin y el uso de privilegios de acceso debera estar restringida y controlada.

se deben generar las polticas y los roles de acceso a cada usuario

si

La asignacin de la informacin secreta se debera controlar

por medio de un proceso de gestin formal y se debe actualizar contumuamente.

si

se deben generar las polticas de acceso los cuales deben permitir revisar los derechos
de acceso de usuario a intervalos regulares incluyendo medios tecnicos que garanticen
que se cumplan.

si

Por medios tcnicos se habilitan o deshabilitan los accesos y su roles de accesibilidad

al tratamiento de la informacin

si

Hacer que los usuarios responsables de salvaguardar su informacin se autentiquen.

si

Se debera exigir a los usuarios que cumplan las prcticas de la organizacin para el
uso de informacin de autenticacin secreta

si

Evitar el acceso no autorizado a sistemas y aplicaciones, controlando dichos accesos

mediante mecanismos de tecnologia que permitan dejanr trazas que permitan hacer
seguimiento a los accesos fallidos.

si

Se debe restringir el acceso a la informacin y a las funciones del sistema de aplicacin

por parte de los usuarios y del personal de soporte, de acuerdo con la poltica definida
de control de acceso.

si

El acceso a los servicios de informacin slo ser posible a travs de

un proceso de conexin seguro.

si

Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar la

calidad de las contraseas

si

Se debe restringir y controlar estrictamente el uso de programas utilitarios que pudieran

tener capacidad de anular el sistema y los controles de las aplicaciones

si

Se debera restringir el acceso a los cdigos fuente de los programas, teniendom en

cuenta los derechos de autor