cualquier vaina

Referencia
Checklist Estandar Control

Area de Auditora, objectivo y pregunta

1.Poltica de Seguridad 1.1 5.1 Polticas de Seguridad de Informacin 1.1.1 5.1.1 Documento de la Poltica de Seguridad de Informacin

1.1.2

5.1.2

Revisin de la Poltica de Seguridad

2.Organization de la Seguridad 2.1 6.1 Organizacin Interna 2.11 6.11 Compromiso de la Direccion con la Seguridad de Informacin 2.1.2 6.1.2 Coordinacin de la Seguridad de Informacin 2.1.3 6.1.3 Asignacin de Responsabilidades de Seguridad de Informacin

2.1.4

6.1.4

Proceso de autorizacion de servicios de Procesamiento de Informacin Acuerdos de Confidencialidad

2.1.5

6.1.5

cualquier vaina

2.1.6

6.1.6

Contacto con las Autoridades

2.1.7

6.1.7

Contacto con Grupos de Intereses Especiales

2.1.8

6.1.8

Revisin Independiente sobre la Seguridad de Informacin Partes Externas Identificacin de los riesgos relacionados con partes externas Abordar la seguridad al tratar con los clientes

2.2 2.2.1

6.2 6.2.1

2.2.2

6.2.2

2.2.3

6.2.3

Abordar la seguridad en acuerdos con terceros

3.Administracin de Activos 3.1 7.1 Responsibilidad por Activos 3.1.1 7.1.1 Inventario de Activos

3.1.2

7.1.2

Propiedad de Activos

cualquier vaina

3.1.3

7.1.3

Uso aceptable de Activos

3.2 3.2.1

7.2 7.2.1

Clasificacin de la Informacin Directrices de Clasificacin

3.2.2

7.2.2

Etiquetado y manejo de informacin

4.Seguridad de RRHH 4.1 8.1 Previo al Empleo 4.1.1 8.1.1 Roles y Responsabilidades

4.1.2

8.1.2

Seleccin

4.1.3

8.1.3

Trminos y condiciones de empleo

4.2

8.2

Durante el Empleo

cualquier vaina

4.2.1

8.2.1

Reesponsabilidades de la Direccion

4.2.2

8.2.2

Sensibilizacin, educacin y formacin sobre la Seguridad de la Informacin Proceso Disciplinario Terminacin o Cambio de Empleo Responsabilidades de Terminacin Devolucion de activos

4.2.3 4.3 4.3.1 4.3.2

8.2.3 8.3 8.3.1 8.3.2

4.3.3

8.3.3

Retiro de los Derechos de Acceso

5. Seguridad Fisica y del Entorno 5.1 9.1 Areas Seguras 5.1.1 9.1.1 Permetro de Seguridad Fsica 5.1.2 9.1.2 Controles de acceso fisico

5.1.3

9.1.3

Seguridad de oficinas, recintos e instalaciones

cualquier vaina

5.1.4

9.1.4

Proteccin contra amenazas extrenas y ambientales Trabajo en areas seguras

5.1.5

9.1.5

5.1.6

9.1.6

Areas de carga, despacho y acceso publico.

5.2 5.2.1

9.2 9.2.1

Seguridad de los Equipos Ubicacin y Proteccion de los Equipos Servicios de Suministro Seguridad del Cableado

5.2.2 5.2.3

9.2.2 9.2.3

5.2.4

9.2.4

Mantenimiento de Equipos

5.2.5

9.2.5

Seguridad de los Equipos Fuera de las Instalaciones

cualquier vaina

5.2.6

9.2.6

Seguridad de Reutilizacin o Eliminacion de Equipos

5.2.7

9.2.7

Retiro de Activos

6.Gestin de Comunicaciones y Operaciones 6.1 10.1 Procedimientos operacionales y responsabilidades 6.1.1 10.1.1 Documentacin de los Procedimientos Operativos

6.1.2 6.1.3

10.1.2 10.1.3

Gestion del Cambio Distribucion(Segregacion) de funciones Separacion de las instalaciones de desarrollo, ensayo y operacin.

6.1.4

10.1.4

6.2 6.2.1

10.2 10.2.1

Gestion de la prestacion del servicio por terceras partes Prestacion del Servicio

6.2.2 6.2.3

10.2.2 10.2.3

6.3 6.3.1

10.3 10.3.1

Monitoreo y revision de los servicios por terceros Gestion de los cambios en los servicios por terceras partes Planificacion y aceptacion del sistema Gestin de la Capacidad

cualquier vaina

6.3.2

10.3.2

Aceptacin del Sistema

6.4 6.4.1

10.4 10.4.1

Proteccin contra cdigos maliciosos y mvil Controles contra cdigos maliciosos

6.4.2

10.4.2

Controles contra cdigo movil

6.5 6.5.1

10.5 10.5.1

Respaldo Respaldo de la Informacin

6.6 6.6.1

10.6 10.6.1

Gestion de la seguridad de las redes Controles de Red

6.6.2

10.6.2

Seguridad en los Servicios de Red Manejo de Medios Gestion de medios removibles

6.7 6.7.1

10.7 10.7.1

6.7.2

10.7.2

Eliminacion de Medios

cualquier vaina

6.7.3

10.7.3

Procedimientos de manejo de la informacin

6.7.4

10.7.4

Seguridad de la documentacion del sistema Intercambio de la Informacin Polticas y Procedimientos para el intercambio de informacin

6.8 6.8.1

10.8 10.8.1

6.8.2

10.8.2

Acuerdos de Intercambio

6.8.3

10.8.3

Medios fsicos en transito

6.8.4

10.8.4

Mensajera Electrnica

6.8.5

10.8.5

Sistema de informacin empresarial Servicios de Comercio Electrnico Comercio Electronico

6.9 6.9.1

10.9 10.9.1

6.9.2

10.9.2

Transacciones On-line

6.9.3

10.9.3

Informacin disponible pblicamente Monitoreo

6.10

10.10

cualquier vaina

6.10.1

10.10.1

Registro de Auditora

6.10.2

10.10.2

Monitoreo del uso del sistema

6.10.3

10.10.3

Proteccion de la informacion del registro

6.10.4

10.10.4

Registro del administrador y del operador Registro de Fallas

6.10.5

10.10.5

6.10.6

10.10.6

Sincronizacin de relojes

7.Control de Acceso 7.1 11.1 7.1.1 11.1.1

Requisitos del negocio para el control de acceso Poltica de Control de Acceso

7.2 7.2.1

11.2 11.2.1

Gestion del acceso de usuarios Registro de Usuarios

cualquier vaina

7.2.2

11.2.2

Gestin de Privilegios

7.2.3

11.2.3

Gestion de contraseas para usuarios

7.2.4

11.2.4

Revision de los derechos de acceso de los usuarios

7.3 7.3.1 7.3.2

11.3 11.3.1 11.3.2

Responsabilidades de Usuarios Uso de Password Equipos de usuario desatendido

7.3.3

11.3.3

Poltica de escritorio despejado y pantalla despejada

7.4 7.4.1

11.4 11.4.1

Control de Acceso a las Redes Politica de uso de los servicios en red

7.4.2

11.4.2

Autenticacion de Usuarios para conexiones externas Identificacin de equipos en la red Proteccion de los puertos de configuracion y diagnostico remoto

7.4.3 7.4.4

11.4.3 11.4.4

cualquier vaina

7.4.5

11.4.5

Separacion de la red

7.4.6

11.4.6

Control de Conexiones a las Redes

7.4.7

11.4.7

Control del enrutamiento de la red

7.5 7.5.1

11.5 11.5.1

Controles de Acceso al Sistema Operativo Procedimientos de registro de inicio seguro Identificacin y Autenticacin de Usuarios

7.5.2

11.5.2

7.5.3

11.5.3

Sistema de gestion de contraseas

7.5.4

11.5.4

Uso de las utilidades del sistema Tiempo de inactividad de la sesion

7.5.5

11.5.5

cualquier vaina

7.5.6

11.5.6

Limitacin del tiempo de conexin

7.6 7.6.1

11.6 11.6.1

Control de Acceso a las Aplicaciones y a la Informacin Restriccin de Acceso a la Informacin

7.6.2

11.6.2

Aislamiento de Sistemas Sensibles

7.7 7.7.1

11.7 11.7.1

Computacin Mvil y Teletrabajo Computacion y comunicaciones moviles Trabajo Remoto

7.7.2

11.7.2

8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion 8.1 12.1 Requerimientos de Seguridad de los Sistemas de Informacin 8.1.1 12.1.1 Analisis y especificacion de los requisitos de seguridad

8.2 8.2.1

12.2 12.2.1

Procesamiento Correcto en Aplicaciones Validacin de Datos de Entrada

8.2.2

12.2.2

Control de Procesamiento Interno

8.2.3

12.2.3

Integridad del Mensaje

cualquier vaina

8.2.4 8.3 8.3.1

12.2.4 12.3 12.3.1

Validacin de Datos de Salida Controles Criptogrficos Politica sobre el uso de controles criptograficos

8.3.2

12.3.2

Manejo de Claves

8.4 8.4.1

12.4 12.4.1

Seguridad de los Archivos del Sistema Control de Software Operativo Proteccin de los Datos de Prueba del Sistema Control de Acceso a Cdigo Fuente de los programas Seguridad en los procesos de desarrollo y soporte Procedimientos de Control de Cambios

8.4.2 8.4.3

12.4.2 12.4.3

8.5 8.5.1

12.5 12.5.1

8.5.2

12.5.2

Revisin Tcnica de Aplicaciones despues de los Cambios en el Sistema Operativo Restricciones en Cambios a los Paquetes de Software

8.5.3

12.5.3

8.5.4

12.5.4

Fuga de Informacin

cualquier vaina

8.5.5

12.5.5

Desarrollo de Software Contratado Externamente

8.6 8.6.1

12.6 12.6.1

Gestin de la Vulnerabilidad Tcnica Control de Vulnerabilidades Tcnicas

9.Gestin de los Incidentes de Seguridad 9.1 13.1 Reporte sobre los eventos y las debilidades de la seguridad de la informacion 9.1.1 13.1.1 Reporte Sobre los Eventos de Seguridad de la Informacion

9.1.2

13.1.2

Reporte sobre las debilidades de seguridad Gestin de los Incidentes y las mejoras en Seguridad de la Informacin Responsabilidades y Procedimientos

9.2 9.2.1

13.2 13.2.1

9.2.2

13.2.2

Aprendizaje debido a los incidentes de seguridad de la informacion

9.2.3

13.2.3

Recoleccin de Evidencias

10.Gestin de la Continuidad del Negocio 10.1 14.1 Aspectos de Seguridad de la informacion en la Gestin de la Continuidad del Nego

cualquier vaina

10.1.1

14.1.1

10.1.2

14.1.2

Inclusion de la Seguridad de la informacion en el Proceso de Gestin de Continuidad del Negocio Continuidad del Negocio y Evaluacin de Riesgos Desarrollo e Implementacin de Planes de Continuidad incluyendo Seguridad de la Informacin

10.1.3

14.1.3

10.1.4

14.1.4

Estructura para la planificacion de la continuidad del negocio Prueba, Mantenimiento y Reevaluacion de los Planes de Continuidad del Negocio

10.1.5

14.1.5

11.Cumplimiento 11.1 15.1 11.1.1 15.1.1

Cumplimiento de los Requerimientos Legales Identificacin de Legislacin Aplicable Derechos de Propiedad Intelectual

11.1.2

15.1.2

11.1.3

15.1.3

Proteccin de los Registros de la Organizacin

11.1.4

15.1.4

Proteccin de los Datos y privacidad de los datos personales

cualquier vaina

11.1.5

15.1.5

Prevencion del uso inadecuado de los servicios de procesamiento de informacion

11.1.6

15.1.6

Reglamentacion de los controles criptograficos Cumplimiento de las politicas y las normas de seguridad y cumplimiento tecnico Cumplimiento con Polticas y Normas de Seguridad

11.2 11.2.1

15.2 15.2.1

11.2.2

15.2.2

Verificacion de Cumplimiento Tcnico

11.3 11.3.1

15.3 15.3.1

Consideraciones de Auditora de los Sistemas de informacion Controles de Auditora de los Sistemas de Informacin Proteccion de las herramientas de auditoria de los sistemas de informacion

11.3.2

15.3.2

cualquier vaina

Area de Auditora, objectivo y pregunta

Pregunta de Auditora

Resulta
Estado (%)

uridad de Informacin Existe una Poltica de Seguridad de la Informacin, que es aprobada por la direccin, publicada y comunicada a todos los empleados? Establecen las polticas un compromiso de las Gerencias con relacin al mtodo de la organizacin para la gestin de la seguridad de la informacin? Las polticas de seguridad son revisadas a intervalos regulares, o cuando hay cambios significativos para asegurar su efectividad? Las polticas de Seguridad de la Informacin tienen un propietario aprobado por la gerencia, para la gestin, el desarrollo, revisin y evaluacin de la poltica de seguridad? Existen procedimientos de revisin de las polticas de seguridad y estos incluyen requerimientos para el manejo de su revisin? Se obtiene la aprobacin de la alta gerencia con relacin a las polticas revisadas?

50

10

erna La gerencia demuestra soporte activo a las medidas de seguridad dentro de la organizacin.? Las actividades de seguridad de informacin son coordinadas por representantes de distintas partes de la organizacin, con sus roles pertinentes y responsabilidades? Estn establecidas las responsabilidades de proteccin de activos individuales y llevan a cabo procesos de seguridad especficos que estn claramente identificados y definidos? 10

30

50

El proceso de gestin de autorizacin de nuevos servicios de procesamiento de informacion est definido e implementado?

90

Se identifican y revisan los requisitos de confidencialidad y propiedad de la informacion?

60

cualquier vaina

Existe algn procedimiento que describa cuando y quienes deben contactar a las autoridades competentes, departamento de bomberos, etc y cmo deben reportarse los incidentes?

90

Existen los contactos apropiados con grupos especiales de inters, foros de seguridad o asociaciones profesionales relacionadas con la seguridad?

20

La direccion implementa revisiones independientes de la gestion de la seguridad de la informacion a intervalos planificados?

10

Los riesgos inherentes a equipos o sistemas de informacin de terceros son identificados y luego implementadas medidas de control apropiadas antes de permitir el acceso? Son identificados todos los requerimientos de seguridad y que sean cumplidos antes de conceder acceso a los clientes a los activos de la organizacin?

30

20

Los acuerdos con terceros incluyen accesos, procesamiento, comunicaciones, manejo de la informacin o equipos que involucren almacenamiento de informacin que cumplan con todos los requerimientos de seguridad? por Activos Son los activos debidamente identificados e inventariados ? Dicho inventario contiene informacion como tipo, formato, ubicacin, valor para el negocio?

20

50

Los activos de la organizacin tienen designado un propietario dentro de la organizacin?(Proceso, area)

80

cualquier vaina

Son identificadas, documentadas e implementadas todas las reglas con respecto al uso aceptable de informacin y activos asociados con el procesamiento de informacin? la Informacin La informacin es clasificada en terminos de su valor, requerimientos legales, sensibilidad y criticidad para la organizacin?

80

10

Son definidos conjuntos de procedimientos para etiquetado y manejo de la informacin en concordancia con el esquema de clasificacin atoptado por la organizacin?

30

o Estn claramente definidos y documentados de acuerdo a las polticas de seguridad de informacin de la organizacin los roles y responsabilidades de los empleados, contratistas y terceros? Son los roles y responsabilidades definidos previamente, comunicados claramente a los candidatos a empleo durante el proceso de pre empleo? 50

Los controles de verificacin de antecedentes para todos los candidatos a empleo, contratistas y terceros, son llevados a cabo de acuerdo a los reglamentos leyes pertinentes? Incluye la verificacin referencias sobre la confirmacin de titulos acadmicos, cualidades profesionales y chequeos independientes de identidad? Son firmados con los empleados, contratistas y terceros, acuerdos de confidencialidad y acuerdos de no divulgacin como parte inicial de los trminos y condiciones de contratos de trabajo? Estos acuerdos y contratos cubren las responsabilidades de seguridad de informacin de la organizacin, los empleados, contratistas y terceros?

90

90

eo

cualquier vaina

La direccion exige a los empleados, contratistas y terceros que apliquen la seguridad en concordancia con las Polticas y Procedimientos establecidos en la Organizacin?

50

Los empleados, contratistas y terceros reciben la apropiada sensibilizacin, educacin y formacin permanente sobre la Seguridad de Informacin con respecto a sus funciones laborales especficas? Existe un proceso disciplinario para aquellos empleados que incumplen las polticas de seguridad? ambio de Empleo Las responsabilidades de procedimiento de terminacin o cambio de empleo estn claramente definidas y asignadas? Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas y terceros devuelvan los activos de la organizacin que estn en su poder al terminar el contrato de empleo?

20

30

90 90

Son removidos los derechos de acceso de todos los empleados, contratistas y terceros a los sistemas de informacin al terminar el empleo en caso de que cambien de funcin?

70

Existen perimetros de seguridad para proteger las areas que contienen informacion y servicios de procesamiento de informacion?(Paredes, Puertas, Mostradores) Existen controles de acceso de tal modo que solo las personas autorizadas puedan ingresar a las distintas areas de la organizacin? Dichos accesos son registrados con hora y fecha de entrada y salida? (Tarjetas, Biometricos) Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), estn apropiadamente resguardadas bajo llave o en cabinas con llave?

60

40

50

cualquier vaina

Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores, explosiones, manifestaciones y otras formas de desastres naturales o provocadas por el hombre? Se tienen procedimientos designados e implementados sobre como trabajar en las areas seguras? Retriccion de ingreso de camaras, celulares, memorias, alimentos? Con respecto a las zonas de acceso pblico, entrega, descarga donde personas no autorizadas pueden acceder, las zonas de procesamiento de informacin y equipos delicados son aislados y asegurados para prevenir el acceso no autorizado?

90

20

70

s Equipos Los equipos son protegidos para reducir los riesgos de daos ambientales y oportunidades de acceso no autorizado? Los equipos son protegidos contra fallas elctricas y otras fallas en los servicios de suministro? Los cables de suministro elctrico y comunicaciones son debidamente protegidos contra intercepcin y/o daos? 70

60 60

Se realiza mantenimiento peridico de los equipos de modo a asegurar la continua disponibilidad e integridad? En la realizacin de mantenimientos, son respetados los intervalos y recomendaciones de los fabricantes? Los mantenimientos son realizados unicamente por personal capacitado y autorizado? Los logs de alertas de los equipos, son revisados periodicamente para detectar y corregir posibles fallas en los mismos? (principalmente fallas en discos) Se aplican los controles adecuados cuando se envan los equipos fuera de la organizacin?(Cambios por garantias donde toque enviar el equipo a reparar fuera de la empresa) Todos los equipos estn cubiertos por plizas de seguro y los requerimientos de la Compaa de Seguros estn apropiadamente realizados? Existen mecanismos de control y mitigacin de riesgos implementados con relacin a equipos utilizados fuera de la organizacin? (encripcin de discos de las notebooks, seguro, etc.) En caso de utilizacin de equipos fuera de la organizacin, estos cuentan con la autorizacin respectiva de las gerencias?

40

10

cualquier vaina

Cuando se disponga la reutilizacin de equipos o cuando sean dados de baja, son verificados los medios de almacenamiento con respecto a datos y software licenciado y luego destruidos totalmente antes de su entrega? Existen controles implementados con respecto a que ningn equipo, informacin y software sea sacado de la organizacin sin la autorizacin respectiva?

10

40

ones operacionales y responsabilidades Los procedimientos operativos son documentados, actualizados y estn disponibles para todos los usuarios que puedan necesitarlos? Dichos procedimientos son tratados como documentos formales y cualquier cambio en los mismos necesita la autorizacin pertinente?

10

Son controlados todos los cambios en los sistemas y equipos de procesamiento de informacin? Son separadas las tareas y responsabilidades de modo a reducir las oportunidades de modificacin o mal uso de los sistemas de informacin? Los equipos de desarrollo y pruebas estn separados de los equipos operacionales? Por ejemplo desarrollo de software debe estar en un equipo separado del de produccin. Cuando sea necesario, incluso deben estar en segmentos de red distintos unos del otro. estacion del servicio por terceras partes Se garantiza que los controles de seguridad, las definiciones del servicio y los niveles de prestacion del servicio incluidos en el acuerdo sean implementados, mantenidos y operados por el tercero? Son los servicios, reportes y registros provedos por teceros regularmente monitoreados y revisados? Se gestionan los cambios en la prestacion de servicios de los terceros?

50 40

60

70

70 70

ceptacion del sistema La capacidad de procesamiento de los sistemas son monitoreados en base a la demanda y proyectados en base a requerimientos futuros, de modo a asegurar que la capacidad de proceso y almacenamiento estn disponibles? Ejemplo: Monitoreo de espacio en disco, Memoria RAM, CPU en los servidores crticos.

50

cualquier vaina

Son establecidos criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones? Son realizadas pruebas antes de la aceptacin de los mismos?

80

ra cdigos maliciosos y mvil Existen controles para deteccin, prevencin y recuperado contra cdigo malicioso y son desarrollados e implementados procedimientos apropiados de advertencia a los usuarios? En caso de necesitarse cdigo mvil, este solo debe utilizarse una vez que haya sido autorizado. Las configuraciones del cdigo mvil autorizado deben realizarse y operarse de acuerdo a las Polticas de Seguridad.La ejecucin del cdigo mvil no autorizado, debe prevenirse. (Cdigo Mvil es cdigo de software que se transfiere de una computadora a otra y que se ejecuta automticamente. Realiza una funcin especfica con muy poca o casi ninguna intervencin del usuario. El cdigo mvil est asociado a un gran nmero de servicios de middleware)

70

10

Se realizan copias de respaldo de la informacin y software y son testeados regularmente en conconrdancia con las polticas de backup? Toda la informacin y el software esencial puede ser recuperado en caso de ocurrencia de un desastre o fallo de medios?

50

guridad de las redes Se cuentan con controles que garanticen la seguridad de la informacion sobre las redes y la proteccion de los servicios conectados contra el acceso no autorizado? Se consideran los requisitos de seguridad, niveles de servicio de los servicios contratados para la gestion de la red?

20

20

os Existen procedimientos para el manejo de medios removibles como cintas, diskettes, tarjetas de memoria, lectores de CD, pendrives, etc.? Los procedimientos y niveles de autorizacin estn claramente definidos y documentados? En caso de que los medios ya no sean requeridos, estos son eliminados de forma segura bajo procedimientos formalmente establecidos? 10

10

cualquier vaina

Existen procedimientos para el manejo del almacenamiento de la informacin? Aborda este procedimiento temas como: proteccin de la informacin contra acceso no autorizado o mal uso? La documentacin de los sistemas est protegida contra acceso no autorizado?

30

30

a Informacin Existe una poltica formal, procedimientos y/o controles aplicados para asegurar la proteccin a la informacin? Estos procedimientos y controles cubren el uso de equipos de comunicacin electrnica en el intercambio de informacin?

40

Existen acuerdos de intercambio de informacin y software entre la organizacin y partes externas? El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y criticidad de la informacin de negocio envuelta en el proceso? Los medios fsicos que contengan informacin es protegida contra acceso no autorizado, mal uso o corrupcin de datos durante el transporte entre las organizaciones? La informacin que se enva por mensajera electrnica es bien protegida? (Mensajera Electrnica incluye pero no es restringida solamente a email, intercambio electrnico de datos, mensajera instantanea, etc.) Las polticas y procedimientos son desarrolladas y tendientes a fortalecer la proteccin de informacin asociada con la interconexin de sistemas de negocio? mercio Electrnico En los controles de seguridad son tenidos en cuenta la aplicacin de controles criptogrficos? El comercio electrnico entre los socios comerciales incluyen un acuerdo, que compromete a ambas partes a la negociacin de los trminos convenidos, incluidos los detalles de las cuestiones de seguridad? La informacin envuelta en transacciones en lnea est protegida contra transmisiones incompletas, mal ruteo, alteracin de mensajera, divulgacin no autorizada, duplicacin no autorizada o replicacin?(Certificados digitales) La integridad de la informacin disponible publicamente est protegida contra modificacin no autorizada?

10

10

40

40

10

10

40

cualquier vaina

Los registros de auditora que guardan la actividad de los usuarios, excepciones, eventos de seguridad de informacin que ocurren, se guardan por un periodo razonable de tiempo de tal modo a poder realizar investigaciones futuras y monitoreo de acceso? Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos? El resultado de la actividad de monitoreo es revisada regularmente de forma peridica? Se aplican actividades de monitoreos exigidos por la ley? Los equipos que contienen los registros y logs de auditora son bien protegidos contra posibles manipulaciones y acceso no autorizado?

30

20

30

Las actividades de los Administradores y Operadores de sistemas son registradas en los logs? Son revisados regularmente los logs? Las fallas reportadas por usuarios o por los sistemas son registradas y luego analizadas y se toman acciones al respecto?

30

40

Los relojes de todos los sistemas de informacin estn sincronizados en base a una misma fuente de tiempo exacta acordada? (La correcta sincronizacin de los relojes es importante para asegurar la cronologa de eventos en los logs)

20

egocio para el control de acceso Las polticas de control de acceso son desarrolladas y revisadas basadas en los requerimientos de seguridad del negocio? Los controles de acceso tanto fsico como lgico son tenidos en cuenta en las polticas de control de acceso? Tanto a los usuarios como a los proveedores de servicios se les dio una clara declaracin de los requisitos de la empresa en cuanto a control de acceso?

60

eso de usuarios Existe algn procedimiento formal de altas/bajas de usuarios para acceder a los sistemas?

60

cualquier vaina

La asignacin y uso de privilegios en los sistemas de informacin, es restringida y controlada en base a las necesidades de uso y dichos privilegios son solo otorgados bajo un esquema formal de autorizacin? Existe un proceso formal de asignacion de contraseas? Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password? Existe un procedimiento formal de revision periodica de derechos de acceso de los usuarios?

40

20

20

des de Usuarios Existe alguna prctica de seguridad en el sitio para guiar a la seleccin y mantenimiento de contraseas seguras? Se concientiza a los usuarios sobre los requisitos y los procedimientos de seguridad para proteger los equipos desatendidos? Por ejemplo: Salir del sistema cuando las sesiones son terminadas o configurar terminacin automtica de sesiones por tiempo de inactividad, etc. La organizacin ha adoptado una poltica de escritorio limpio con relacin a los papeles y dispositivos de almacenamiento removibles? La organizacin ha adoptado una poltica de pantalla limpia con relacin a los equipos de procesamiento de informacin? so a las Redes Se le provee a los usuarios acceso unicamente a los servicios de red a los cuales han sido autorizados especficamente? Existen polticas de seguridad relacionadas con la red y los servicios de red? Son utilizados mecanismos apropiados de autenticacin para controlar el acceso remoto de los usuarios? La identificacin automtica es considerada para autenticar conexiones desde equipos y direcciones especficas? Los accesos fsicos y lgicos a puertos de diagnstico estn apropiadamente controlados y protegidos por mecanismos de seguridad?

20 10

10

10

50

80 40

cualquier vaina

Los grupos de servicios de informacin, usuarios y sistemas de informacin son segregados en la red? La red (desde donde asociados de negocios o terceros necesitan acceder a los sistemas de informacin) es segregada utilizando mecanismos de seguridad perimetral como firewalls? En la segregacin de la red son hechas las consideraciones para separar las redes wireles en internas y privadas? Existe una poltica de control de acceso que verifique conexiones provenientes de redes compartidas, especialmente aquellas que se extienden mas all de los lmites de la organizacin?

20

40

Existen polticas de control de acceso que establezcan los controles que deben ser realizados a los ruteos implementados en la red? Los controles de ruteo, estn basados en mecanismos de identificacin positiva de origen y destino? ceso al Sistema Operativo Los accesos a sistemas operativos son controlados por procedimientos de log-on seguro? Un nico identificador de usuario (user ID) es provedo a cada usuario incluyendo operadores, administradores de sistemas y otros tcnicos? Se eligen adecuadas tcnicas de autenticacin para demostrar la identidad declarada de los usuarios? El uso de cuentas de usuario genricas son suministradas slo en circunstancias especiales excepcionales, donde se especifcan los beneficios claros de su utilizacin. Controles adicionales pueden ser necesarios para mantener la seguridad. Existe un sistema de gestin de contraseas que obliga al uso de controles como contrasea individual para auditora, periodicidad de caducidad, complejidad mnima, almacenamiento encriptado, no despliegue de contraseas por pantalla, etc.? En caso de existir programas utilitarios capaces de saltarse los controles de aplicaciones de los sistemas, estos estn restringidos y bien controlados? Las aplicaciones son cerradas luego de un periodo determinado de inactividad? (Un tiempo determinado de inactividad puede ser determinado por algunos sistemas, que limpian la pantalla para prevenir acceso no autorizado, pero no cierra la aplicacin o las sesiones de red)

40

20

40

20

10

10

cualquier vaina

Existen restricciones limitando el tiempo de conexin de aplicaciones de alto riesgo? Este tipo de configuraciones debe ser considerada para aplicaciones sensitivas cuyas terminales de acceso se encuentran en lugares de riesgo. so a las Aplicaciones y a la Informacin El acceso a la informacin y los sistemas de aplicaciones por parte los usuarios y personal de soporte, est restringido en concordancia con las polticas de control de acceso definidas? Aquellos sistemas considerados sensibles, estn en ambientes aislados, en computadoras dedicadas para el efecto, con recursos compartidos con aplicaciones seguras y confiables, etc?

10

50

30

vil y Teletrabajo Existe una poltica formal y medidas apropiadas de seguridad adoptadas para protegerse contra el riesgo de utilizacin de computacin y equipos de comunicacin movil? Se desarrollan e implementan polticas, planes operativos y procedimientos con respecto a tareas de teletrabajo? nto de Sistemas de Informacion de Seguridad de los Sistemas de Informacin Los requerimientos de seguridad para nuevos sistemas de informacin y fortalecimiento de los sistemas existentes, especifican los requerimientos para los controles de seguridad? Los requerimientos para la seguridad de informacin de los sistemas y procesos son integrados en las primeras etapas de los proyectos de sistemas?

10

10

50

Correcto en Aplicaciones Los datos introducidos a los sistemas, son validados para asegurar que son correctos y apropiados? Los controles tales como: Diferentes tipos de mensajes de error para datos mal ingresados, Procedimientos para responder a los errores de validacin, definicin de responsabilidades para todo el personal envuelto en la carga de datos, etc. son considerados? Son incorporadas validaciones en las aplicaciones para detectar/prevenir que puedan ser ingresados datos no vlidos por error o deliberadamente? Se tiene en cuenta en el diseo y la implementacin de las aplicaciones que el riesgo de fallas en el procesamiento que conduzcan a perdida de integridad de datos sea minimizado? Los requerimientos para aseguramiento y proteccin de la integridad de los mensajes en las aplicaciones, son debidamente identificados e implementados los controles necesarios?(Criptografia)

60

60

20

cualquier vaina

Los sistemas validan los datos de salida para asegurar que el procesamiento de la informacion almacenada es correcta? La organizacin posee polticas de uso de controles criptogrficos para proteccin de la informacin? Estas polticas son implementadas con xito?

70

ogrficos 10

La administracin de claves se utiliza efectivamente para apoyar el uso de tcnicas criptogrficas en la organizacin? Las claves criptogrficas estn protegidas correctamente contra modificacin, prdida y/o destruccin? Las claves pblicas y privadas estn protegidas contra divulgacin no autorizada? Los equipos utilizados para generar o almacenar claves, estn fsicamente protegidos? s Archivos del Sistema Existen procedimientos para controlar la instalacin de software en los sistemas operativos (Esto es para minimizar el riesgo de corrupcin de los sistemas operativos) Los datos de pruebas se seleccionan, protegen y contran cuidadosamente? Existen controles estrictos de modo a restringir el acceso al cdigo fuente? (esto es para prevenir posibles cambios no autorizados)

10

70

10 40

s procesos de desarrollo y soporte Existen procedimientos de control estricto con respecto a cambios en los sistemas de informacin? (Esto es para minimizar la posible corrupcin de los sistemas de informacin) Estos procedimientos aborda la necesidad de evaluacin de riesgos, anlisis de los impactos de los cambios? Existen procesos a seguir o procedimientos para revisin y testeo de las aplicaciones crticas de negocio y seguridad, luego de cambios en el Sistema Operativo? Peridicamente, esto es necesario cada vez que haya que hacer un parcheo o upgrade del sistema operativo. Las modificaciones a los paquetes de software, son desalentadas o limitadas extrictamente a los cambios mnimos necesarios? Todos los cambios son estrictamente controlados? Existen controles para prevenir la fuga de informacin? Controles tales como escaneo de dispositivos de salida, monitoreo regular del personal y actividades permitidas en los sistemas bajo regulaciones locales, monitoreo de recursos, son considerados?

60

30

50

20

cualquier vaina

El desarrollo de software tercerizado, es supervisado y monitoreado por la organizacin? Puntos como: Adquisicin de licencias, acuerdos de garanta, requerimientos contractuales de calidad asegurada, testeo antes de su instalacin definitiva, revisin de cdigo para prevenir troyanos, son considerados? lnerabilidad Tcnica Se obtiene informacin oportuna en tiempo y forma sobre las vulnerabilidades tcnicas de los sistemas de informacin que se utilizan? La organizacin evala e implementa medidas apropiadas de mitigacin de riesgos a las vulnerabilidades a las que est expuesta? d os eventos y las debilidades de la seguridad de la informacion Los eventos de seguridad de informacin, son reportados a travs de los canales correspondientes? Son desarrollados e implementados procedimientos formales de reporte, respuesta y escalacin en incidentes de seguridad?

80

10

30

Existen procedimientos que aseguren que todos los empleados deben reportar cualquier vulnerabilidad en la seguridad en los servicios o sistemas de informacin? ncidentes y las mejoras en Seguridad de la Informacin Estn claramente establecidos los procedimientos y responsabilidades de gestin para asegurar una rpida, efectiva y ordenada respuesta a los incidentes de seguridad de informacin? Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes de seguridad? Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo de los incidentes de seguridad? La informacin obtenida de la evaluacin de incidentes de seguridad que ocurrieron en el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir errores?

10

10

30

Las medidas de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin implica una accin legal (ya sea civil o penal)? Se cuenta con procedimientos internos para recolectar y presentar evidencias?

30

o guridad de la informacion en la Gestin de la Continuidad del Negocio

cualquier vaina

Se cuenta con un proceso de gestion de la continuidad del negocio en toda la compaa que trata los requisitos de seguridad de la informacion? Los eventos que puedan causar interrupcin al negocio, son identificados sobre la base de probabilidad, impacto y posibles consecuencias para la seguridad de informacin? Son desarrollados planes para mantener y restaurar las operaciones de negocio, asegurar disponibilidad de informacin dentro de un nivel aceptable y en el rango de tiempo requerido siguiente a la interrupcin o falla de los procesos de negocio? Considera el Plan, la identificacin y acuerdo de responsabilidades, identificacin de prdida aceptable, implementacin de procedimientos de recuperacin y restauracin, documentacin de procedimientos y testeo peridico realizado regularmente? Existe un marco nico del Plan de Continuidad de Negocios?Este marco, es mantenido regularmente para asegurarse que todos los planes son consistentes e identifican prioridades para testeo y mantenimiento? Los Planes de Continuidad del Negocio, son probados regularmente para asegurarse de que estn actualizados y son efectivos?

10

30

10

30

10

e los Requerimientos Legales Todas las leyes relevantes, regulaciones, requerimientos contractuales y organizacionales son tenidos en cuenta ? Existen procedimientos para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales sobre el uso de materiales y software que estn protegidos por derechos de propiedad intelectual? Controles tales como: Poltica de Cumplimiento de Derechos de Propiedad Intelectual, Procedimientos de Adquisicin de Software, Poltica de concientizacin, Mantenimiento de Prueba de la Propiedad, Cumplimiento con Trminos y Condiciones, son consideradas? Los registros importantes de la organizacin estn protegidos contra prdida, destruccin y falsificacin en concordancia con los requerimientos legales, regulatorios, contractuales y de negocio? Se protegen los datos y la privacidad de acuerdo con la legislacion?

60

60

40

20

cualquier vaina

El uso de instalaciones de proceso de informacin para cualquier propsito no autorizado o que no sea del negocio, sin la aprobacin pertinente, es tratada como utilizacin impropia de las instalaciones? Es realizado un asesoramiento jurdico, antes de aplicar cualquier procedimiento de monitoreo y control? Los controles criptogrficos son usados en cumplimiento de los acuerdos contractuales establecidos, leyes y regulaciones?

20

10

e las politicas y las normas de seguridad y cumplimiento tecnico Los Administradores se aseguran que todos los procedimientos dentro de su area de responsabilidad, se llevan a cabo correctamente para lograr el cumplimiento de las normas y polticas de seguridad? Los sistemas de informacin son regularmente revisados con respecto al cumplimiento de estndares de seguridad? La verificacin tcnica es llevada a cabo por, o bajo la supervisin de, personal tcnico competente y autorizado? s de Auditora de los Sistemas de informacion Las actividades de auditoria sobre los sistemas de informacion se planifican cuidadosamente para minimizar el riesgo de interrupciones de procesos del negocio? La informacin a la que se accede por medio de las herramientas de auditora, ya sean software o archivos de datos, estn protegidos para prevenir el mal uso o fuga no autorizada? El ambiente de auditora est separado de los ambientes operacionales y de desarrollo, a penos que haya un nivel apropiado de proteccin?

50

30

50

50

ISO 27001 Compliance Checklist Dominio

1.Poltica de Seguridad 2.Organization de la Seguridad 3.Administracin de Activos

Objetivos
Polticas de Seguridad de Informacin Organizacin Interna Partes Externas Responsabilidad por Activos Clasificacin de Informacin Previo al Empleo Durante al Empleo Terminacin o Cambio de empleo Areas Seguras Seguridad en los equipos Procedimientos operacionales y responsabilidades Gestion de la prestacion del servicio por terceras partes Planificacion y aceptacion del sistema Proteccin contra Cdigo Malicioso y Mvil Respaldo Gestion de la seguridad de las redes Manejo de Medios Intercambio de Informacin Servicios de Comercio Electrnico Monitoreo Requerimientos del Negocio para Control de Acceso Gestion del acceso de usuarios Responsabilidades de Usuarios Control de Acceso a las Redes Controles de Acceso al Sistema Operativo Control de Acceso a las Aplicaciones y a la Informacin Computacin Mvil y Teletrabajo Requerimientos de Seguridad de los Sistemas de Informacin Procesamiento Correcto en Aplicaciones Controles Criptogrficos Seguridad de los Archivos de Sistemas Seguridad en los procesos de desarrollo y soporte Gestin de la Vulnerabilidad Tcnica Reporte sobre los eventos y las debilidades de la seguridad de la informacion Gestin de los Incidentes y las mejoras en Seguridad de la Informacin

4.Seguridad de RRHH

5. Seguridad Fisica y del Entorno

6.Gestin de Comunicaciones y Operaciones

7.Control de Acceso

8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion

9.Gestin de los Incidentes de Seguridad

Vinod Kumar vinodjis@hotmail.com

Page 33

10/30/2013

ISO 27001 Compliance Checklist

10.Gestin de la Continuidad del Negocio

Aspectos de Seguridad de la informacion en la Gestin de la Continuidad del Negocio Cumplimiento de los Requerimientos Legales Cumplimiento de las politicas y las normas de seguridad y cumplimiento tecnico Consideraciones de Auditora de los Sistemas de informacion

11.Cumplimiento

Vinod Kumar vinodjis@hotmail.com

Page 34

10/30/2013

ISO 27001 Compliance Checklist Estado (%)

30% 45% 23% 70% 20% 77% 33% 83% 0% 41% 40% 70% 65% 40% 50% 20% 20% 28% 20% 28% 60% 35% 13% 40% 18% 40% 10% 50% 53% 10% 40% 48% 10% 20% 23%

Vinod Kumar vinodjis@hotmail.com

Page 35

10/30/2013

ISO 27001 Compliance Checklist

18% 35% 40% 50%

Vinod Kumar vinodjis@hotmail.com

Page 36

10/30/2013

ISO 27001 Compliance Checklist Dominio

1.Poltica de Seguridad 2.Organization de la Seguridad 3.Administracin de Activos 4.Seguridad de RRHH 5. Seguridad Fisica y del Entorno 6.Gestin de Comunicaciones y Operaciones 7.Control de Acceso 8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion 9.Gestin de los Incidentes de Seguridad 10.Gestin de la Continuidad del Negocio 11.Cumplimiento Total

Estado (%)
30% 34% 45% 64% 21% 38% 31% 35% 22% 18% 42% 35%

Vinod Kumar vinodjis@hotmail.com

Page 37

10/30/2013

Diagnstico ISO 27001 - Junio de 2013

1.Poltica de Seguridad
100%

11.Cumplimiento

90% 80% 70% 60%

2.Organization de la Seguridad

10.Gestin de la Continuidad del Negocio

50% 40% 30% 20% 10% 0%

3.Administracin de Activos

Series1

9.Gestin de los Incidentes de Seguridad

4.Seguridad de RRHH

8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion 7.Control de Acceso

5. Seguridad Fisica y del Entorno 6.Gestin de Comunicaciones y Operaciones

Periodo 2013-I 2013-II 2014-I 2014-II

Calificacion 35% 30% 50% 40%

60% 50% 40% 30% 20% 10% 0% Series1 2013-I 35% 2013-II 30% 2014-I 50%

2014-II 40%

ISO 27001 Compliance Checklist

Chequeo de Cumplimiento Un formato condicional ha sido provedo sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado
Escala No Aplica Inexistente % N/A 0

Inicial

20

Repetible

40

Definido

60

Gestionado

80

Optimizado

100

1 to 25 26 to 75 76 to 100

En el campo "Observaciones" comente la evidencia que usted vi o los comentarios sobre la implementacin En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particu

Cumplimiento por Control Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada Objetivo de Cumplimiento" Cumplimiento por Dominio

Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada dominio en Representacin Grfica Esto le proporcionar una representacin grfica del estado por dominio, el cual puede ser incorporado a su

Vinod Kumar vinodjis@hotmail.com

Page 41

10/30/2013

ISO 27001 Compliance Checklist

cional ha sido provedo sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%)" y se menciona abajo:
Descripcin No aplica. Falta de un proceso reconocible. La Organizacin no ha reconocido que hay un problema a tratar. No se aplican controles. Se evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. Sin embargo, no hay procesos estandarizados. La implementacin de un control depende de cada individuo y es muchas veces es reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no estn formalizados, ni hay comunicacin formal sobre los procedimientos desarrollados. Hay un alto grado de confianza en los conocimientos de cada persona. Los procesos y los controles se documentan y se comunican. No se han establecido mecanismos de monitoreo, para una deteccin de desviaciones efectiva. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

servaciones" comente la evidencia que usted vi o los comentarios sobre la implementacin ado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular no es aplicable para la organizacin.

a sido programada para mostrar automticamente el estado pertinente por cada Objetivo de control en base al estado que se carga en la h

a sido programada para mostrar automticamente el estado pertinente por cada dominio en base al estado que se carga en la hoja "Chequ

nar una representacin grfica del estado por dominio, el cual puede ser incorporado a su presentacin a las Gerencias

Vinod Kumar vinodjis@hotmail.com

Page 42

10/30/2013

ISO 27001 Compliance Checklist

e menciona abajo:

aplicable para la organizacin.

en base al estado que se carga en la hoja "Chequeo de

estado que se carga en la hoja "Chequeo de Cumplimiento".

cin a las Gerencias

Vinod Kumar vinodjis@hotmail.com

Page 43

10/30/2013

Fecha

Auditado Jefes Procesos Jefe Servicios Administrativos Analista Soporte Jefe Talento Humano Analista Redes Subgerente Desarrollo Administrador de sistemas Analista Convenios OyM Analista Desarrollo Jefe Juridica Auditor de Sistemas