Anda di halaman 1dari 19

GRUPO ASD PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA ANEXO 2.

MATRIZ DE VALORACIN ISO 27002

Resumen de cumplimiento
Controles Aprobados
131

Controles No aprobados
2

Controles Aprobados Controles No aprobados Controles no aplicables 131


0

Controles no aplicables

Dominio Poltica de Seguridad Corporativa Estructura Organizacional de Seguridad Informtica Clasificacin y Control de Componentes Crticos Seguridad del Recurso Humano Seguridad Fsica y Ambiental Administracin de Operaciones y Comunicaciones Control de Acceso Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin Administracin de Incidentes de Seguridad Informtica Administracin de Continuidad del Negocio Cumplimiento y Normatividad Legal

Aprobados 2 11 5 9 13 29 25 16 5 5 10

NO Aprobados 0 0 0 0 0 2 0 0 0 0 0

Porcentaje Cumplimiento 50% 96% 71% Calificacin 77% 86% 69% 56% 52% 27% 34% 53% Efectividad

Tabla de Calificaciones
Cada uno de los requerimientos de la hojas de los DOMINIOS ha sido calificado en una escala del 1 al 5 (Siendo 1 debilidad y 5 fortaleza)

NOTA: Para cumplir con un proceso de auditora satisfactoria, cada requerimiento debera obtener por lo menos una calificacin de 3

Cumplimiento
Con respecto al control, es un control debil, cumple o excede las expectativas No est definido ningn tipo de control

0 1 2 3 4 5

0%

No existen controles efectivos Deficiencias considerables con respecto a lo esperado 10% para el requerimiento Controles Bsicos Deficiencias menores con respecto a lo esperado para el 50% requerimiento 90% 95% 100% El Requerimiento se Cumple en forma Efecitva Controles Comprehensivos Optimizado Implementacin que mejora el estndar

Distribucion de Controles por Nivel de Madurez


100% 90% 80% 70% 60%
50% 40% 30% 20% 27% 10% 0% 1 2 3 4 5 6 7 8 9 10 11 50% 96% 10

0 2
21

86% 71% 77% 69%


56%

56

43

52% 34%

53%

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 1 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 2 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 1 - Poltica de Seguridad Corporativa


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

1.1 1.1.1

5.1 5.1.1

Poltica de Seguridad de la Informacin Documento de la poltica de seguridad de la Informacin Existen polticas de seguridad de la informacin sobre temas puntuales. Se encuentran en desarrollo y socializacin otras polticas de seguridad. Documentar e implementar la poltica de seguridad de la informacin incluyendo todos los dominios de seguridad, un alcance definido y el compromiso de las directivas.

Si

1.1.2

5.1.2 Revisin y evaluacin Si

Se realizan actualizaciones de las Polticas actuales por requerimiento. Se encuentra en proceso la implementacin de un SGSI adecuado

Al complementar el documento de poltica e implementar un SGSI, se deber dejar explcita la tarea peridica de revisin y evaluacin en unas fechas formales.

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 3 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente Oportunidad de mejora Observaciones

Cumplimiento

2.1 2.1.1

6.1 6.1.1

Organizacin Interna Compromiso de las Directivas con la seguridad de la informacin Coordinacin de la Seguridad Existe el compromiso y la voluntad por parte de las directivas a nivel del rea de Tecnologa. La implementacin de algunos controles depende de entes superiores. Falta un poco de conciencia de seguridad de la informacin Existe un grupo de seguridad de la informacin plenamente identificado por los usuarios, con tareas definidas y el apoyo necesario para la implementacin de un SGSI. Existen funciones definidas con respecto a las responsabilidades sobre la informacin manejada y los activos que la soportan. El rea de seguridad de la informacin tiene claras sus responsabilidades Un programa de conciencia en seguridad de la informacin que reuna a todos los directivos a nivel Ministerio, sera el escenario ideal para concretar un esquema completo de seguridad de la informacin. Fortalecer esquemas de capacitacin en segurdad para el grupo, en temas especializados. Fortalecer el grupo y la toma de decisiones al implementar un comit interdisciplinario de seguridad en el SGSI Complementar los manuales de funciones con las actividades especficas de clasificacin de la informacin y administracin de activos de informacin.

41%

Si

0.5

82%

2.1.2

6.1.2 Si

0.9

2.1.3

6.1.3 Asignacin de responsabilidades Si

0.9 2.1.4 6.1.4 Proceso de Autorizacin a reas de procesamiento de informacin 2.1.5 6.1.5 Acuerdos de confidencialidad Si Si Son claras las funciones del rea de seguridad de la informacin, en la evaluacin y autorizacin de actividades en el procesamiento de datos o proteccin de la informacin Reforzar los esquemas de mantenimiento de documentos de auditoras de seguridad, como administracin de Logs, revisin de bitcoras y monitoreo de incidentes en reas de procesamiento de datos 0.9 Se realizan acuerdos especficos de confidencialidad tanto para la contratacin como para la manipulacin especfica de datos o actividades en areas de procesamiento de datos Por la naturaleza de la organizacin, este punto tiene una especial madurez, incluyendo esquemas de estudios de seguridad y sanciones claramente especificadas

0.95 2.1.6 6.1.6 Contacto con las autoridades Si Se mantiene un contacto permanente con los entes militares y fuerzas especiales, de acuerdo a la criticidad de la informacin manejada. 5 Por la naturaleza de la organizacin, se cuenta con contactos directos con autoridades competentes y expertas en diversas disciplinas concernientes a la seguridad.

1 2.1.7 6.1.7 Contacto con grupos de especial inters Si El rea de seguridad se mantiene en constante contacto con grupos de inters en seguridad tanto por sus capacitaciones internas como por su interaccin con proveedores especializados en los temas. Inscribir a los miembros del grupo de seguridad de la informacin en listas de correo especializadas e incrementar el contacto con los grupos de inteligencia

0.9 2.1.8 6.1.8 Se realizan auditoras internas de seguimiento al rea a nivel de calidad y cumplimiento sobre las normativas. (Este paso es consecuencia de la implementacin de un SGSI) Auditora interna Si 2 Capacitar a los auditores internos y enfocar las auditoras para que incluyan el SGSI y los indicadores de seguridad de la informacin.

0.5 2.2 2.2.1 6.2 6.2.1 Identificacin de riesgos Si Terceros El acceso fsico y lgico a terceros es regulado de forma contractual y de polticas de seguridad a nivel general. Se conocen los riesgos de acceso a reas de procesamiento por parte de terceros Alinear con la implementacin del SGSI, todos los anlisis de riesgo externos e internos sobre los activos e informacin. Esto permitir inclurlos en los indicadores de seguridad. 0.9 45%

0.9

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 4 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica


Item
2.2.2

ISO Ref
6.2.2

Requerimiento

Aplica (SI/NO)

Estado del cliente


El propsito de la organizacin es garantizar la seguridad a los ciudadanos (clientes) para lo cual mantiene altos estndares de aproximacin a la seguridad.

Cumplimiento

Oportunidad de mejora
Certificar la entidad en ISO 27001 o mostrar el cumplimiento sobre la norma, reiterara y dara amplia fuerza al concepto de seguridad de la informacin que tienen los clientes.

Observaciones

Aproximacin a la seguridad al tratar con clientes 2.2.3 6.2.3

SI

0.9 Aproximacin a la seguridad en acuerdos con terceros Se realizan acuerdos de confidencialidad especficos para la labor con terceros que implican la manipulacin de informacin y el ingreso a areas de procesamiento de datos Inclur la poltica de seguridad en los acuerdos y contratos con terceros.

Si

0.9

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 5 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 3 - Clasificacin y Control de Componentes Crticos


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

3.1 3.1.1

7.1 7.1.1

Responsabilidad por Recursos Ctricos Inventario de activos tecnolgicos Responsables de los activos tecnolgicos Si La Organizacin cumple satisfactoriamente con este control 3 Centralizar el inventario de todos los activos en un listado maestro, enmarcado en un procedimiento y asignado a u responsable por su mantenimiento. Inclur las responsabilidades sobre los activos de informacin en el manual de funciones de los empleados. Inclur el uso aceptable de los activos tecnolgicos en el manual de funciones de los empleados y el SGSI 3

25%

0.5

0.5

3.1.2

7.1.2

Si

La Organizacin cumple satisfactoriamente con este control Se mantienen controles automatizados adecuados para el uso correcto de tecnologas informticas como correo electrnico y navegacin en internet,

0.5

3.1.3

7.1.3 Uso aceptable de los activos tecnolgicos Si

0.5

3.2 3.2.1

7.2 7.2.1

Clasificacin de la Informacin Se tienen claramente identificados 6 niveles para caracterizar la informacin. Este estandar es concistente a lo largo de la organizacin. Si 4 Las normas de clasificacin son claramente existentes. Se debe madurar el etiquetado y manejo de las clasificaciones

46%

Normas para clasificacin de la informacin 3.2.2 7.2.2 Identificacin y Manejo de la informacin

0.95 Existe la descripcin del tratamiento de la informacin segn su clasificacin, asi como los responsables por su manejo El esquema de manejo de la informacin debe estar apoyado por un SGSI concistente a lo largo de toda la organizacin y respetarse de esta manera, las normas de manejo de la informacin.

0.925

Si

0.9

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 6 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

Ministerio de Defensa Nacional


PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 4 - Seguridad del Recurso Humano


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

4.1 4.1.1

8.1 8.1.1

Previo a la contratacin Existe una definicin de responsabilidades para cada rol dentro de la organizacin pero an no se ha includo el detalle del tema de seguridad de la informacin. Algunos roles son repartidos entre otros perfiles Contar con los perfiles mnimos para cumplir los roles faltantes necesarios. (Por ejemplo DBA). Inclur las responsabilidades de seguridad en el SGSI

27%

Roles y responsabilidades 4.1.2 8.1.2 Investigacin del personal que va a ser contratado 4.1.3 8.1.3 Trminos y condiciones

Si

0.5 La Organizacin cumple satisfactoriamente con este control incluyendo estudios de seguridad Se cumple con el control y las descripciones de responsabilidades de seguridad dentro de los contratos y acuerdos Si 4 0.95 4.2 4.2.1 8.2 8.2.1 Supervisin de las obligaciones 4.2.2 8.2.2 Conciencia de la seguridad, educacin y entrenamiento Si Si Durante el empleo Las Directivas exigen a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin. La participacin en seguridad de las directivas se realiza ms que por su intencin en el fortalecimiento de la seguridad, por requerimiento y regulaciones. Esto puede mejorar con un plan de conciencia a nivel directivo 0.9 Se realizan constantes recordatorios sobre esquemas y controles de seguridad a travs de medios tecnolgicos, pero no existe un plan formal de entrenamiento o conciencia en seguridad. Realizar el plan de concientizacin, el entrenamiento adecuado a los usuarios y la campaa completa de divulgacin del SGSI 2 25% Mantener el control implementado y describir el procedimiento dentro del SGSI 1 Mantener el control implementado y describir el procedimiento dentro del SGSI

0.816666667

Si

0.766666667

0.5 4.2.3 8.2.3 Procesos disciplinarios Si Son claros los descargos disciplinarios cuando se producen brechas de seguridad 3 inclur el detalle de procesos disciplinarios y descargos, dentro del manual de funciones, y en el SGSI

0.9 4.3 4.3.1 8.3 8.3.1 Responsabilidades en la terminacin del contrato 4.3.2 8.3.2 Devolucin de activos tecnolgicos Si La Organizacin cumple satisfactoriamente con este control 3 Si La Organizacin cumple satisfactoriamente con este control 3 0.9 Inclur el proceso en el SGSI cuando haya sido implementado 0.766666667 Terminacin del contrato o cambio de empleo Inclur el proceso en el SGSI cuando haya sido implamentado 25%

0.9 4.3.3 8.3.3 Eliminacin de permisos sobre los activos Si Se elilminan los permisos bajo requerimiento de Talento Humano 2 Si bien se realizan las actividades de control sobre los privilegiuos ya no necesarios, no es una actividad formalizada. Debe establecerse un procedimiento formal y concistente dentro del SGSI 0.5

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 7 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 5 - Seguridad Fsica y Ambiental


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

5.1 5.1.1

9.1 9.1.1

Areas Restringidas Permetro de Seguridad Fsica Controles fsicos de entrada Aseguramiento de oficinas, cuartos e instalaciones Proteccin contra amenazas externas y ambientales Si La Organizacin cumple satisfactoriamente con este control 4 No descuidar la revisin peridica del funcionamiento de estos procedimientos y controles

43%

0.95 Mantener el esquema. Si La Organizacin cumple satisfactoriamente con este control Todas las reas dentro de las instalaciones se encuentran controladas y monitoreadas. Se mantienen cerradas las puertas de las oficinas. 4 0.95 Si 3 Inclur la descripcin de las precauciones de seguridad en oficinas en el SGSI. Algunas reas de procesamiento son visibles desde el exterior ya que no tienen cortinas o persianas 0.9 Algunas oficinas quedan muy cerca de los baos, lo que puede generer incomodidad en el personal. Algunas oficinas no cuentan con cortinas o persianas, lo que eleva la temperatura sobre los activos de informacin y las personas 0.5 No descuidar los controles de acompaamiento y registro de todos los usuarios que ingresan a reas restringidas 0.9

0.85

5.1.2

9.1.2

5.1.3

9.1.3

5.1.4

9.1.4 Si Actualmente no hay unos esquemas definidos en el area de TI para garantizar que se generen afectaciones por parte de amenazas externas o ambientales. 2

5.1.5

9.1.5 Trabajo en reas restringidas Si La Organizacin cumple satisfactoriamente con este control 3

5.1.6

9.1.6

Acceso pblico, envos y reas de carga

Si

La Organizacin cumple satisfactoriamente con este control

Inclur poticas de acceso por reas de carga y descarga en el SGSI 0.9 43% Debe reforzarse el esquema estableciendo una directiva explicita o una poltica dentro del SGSI que requiera la proteccin y ubicacin de los equipos tecnolgicos en areas protegidas a la vista (cortinas o persianas y puertas cerradas) 0.50 0.86 Se debe mantener el esquema de UPSs y plantas elctricas en optimas condiciones 0.90 Mantener el esquema. Se debe tambin eliminar todo cableado obsoleto o en desuso lo antes posible. 0.90 Se debe mantener el esquema de contratos de mantenimiento constantes sobre los equipos tecnolgicos. 0.95 El SGSI debe dictaminar las polticas de uso de equipos de cmputo fuera de las instalaciones de la organizacin que permitan a directivos y altos rangos, conocer los requerimientos de seguridad para el uso de estos elementos 0.90 Se debe reforzar la prctica de disposicin de medios de almacenamiento y reutilizacin de equipos mediante una poltica fuerte dentro dels SGSI que no discrimine ningn caso. 0.90 Este esquema debe revisarse y monitorearse constantemente para corregir posibles fallas en los controles. 0.95

5.2 5.2.1

9.2 9.2.1

Seguridad de los Componentes Tecnolgicos

Ubicacin y proteccin de equipos tecnolgicos

Si

Se ubican los equipos tecnolgicos buscando mantener el menor nivel de exposicin a terceros o visitantes

5.2.2

9.2.2

Seguridad en el suministro de electricidad Seguridad en el cableado

Si

La Organizacin cumple satisfactoriamente con este control

5.2.3

9.2.3 Si La Organizacin cumple satisfactoriamente con este control 3

5.2.4

9.2.4 Mantenimiento Si La Organizacin cumple satisfactoriamente con este control Se mantienen controles extrictos sobre la salida de equipos e informacin. Seguridad de equipos fuera de las reas seguras Si 3 4

5.2.5

9.2.5

5.2.6

9.2.6 Destruccin y reutilizacin de equipos SI

El rea de soporte interno se encarga del manejo adecuado de los medios fijos o removibles de almacenamiento

5.2.7

9.2.7 Extraccin de activos informticos Si La Organizacin cumple satisfactoriamente con este control 4

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 8 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

6.1 6.1.1

10.1 10.1.1

Procedimientos Operacionales y Responsabilidades Los manuales deben inclur procedimientos contingentes del era, as como las actividades en casos de emergencia. Todo debeestar alineado o includo en el SGSI

4%

69.0%

Documentacin de procesos operativos

Si

Se mantienen manuales operativos sobre los procesos fundamentales del rea.

0.50 6.1.2 10.1.2 Control de Cambios 6.1.3 10.1.3 Si Se encuentran formatos y registros de control de cambios de paso a produccin por medio del correo electrnico Se evidenciaron fallas importantes en el esquema de segregacin de funciones. Especficamente en el manejo de bases de datos y archivos de los sistemas de Talento Humano. Falta el Rol de Administrador de Base de Datos. Se vieron casos similares como los Desarrolladores, administradores de algunas plataformas y operadores, en que sin su presencia no puede seguir funcionando el proceso. Se cuentan con ambientes de Produccin y Desarrollo separados. Los datos en el ambiente de desarrollo y pruebas son datos reales de produccin 2 Los registros de control de cambios deben inclur los elementos de seguridad necesarios, la proteccin y revisin de los mismos y su inclusin en el SGSI 0.50 La informacin debe mantener un esquema estructural para que los sitemas de informacin funcionen segura y coordinadamente. Se requiere al menos un DBA dedicado a estas funciones con el fin de inclur los controles mnimos de seguridad sobre los datos y mantener la segregacipn de funciones. 0.10 2 Los controles y proteccin de los datos deben ser iguales tanto para produccin como para desarrollo y pruebas dado que son los mismos. El SGSI debera inclur lineamientos de manejo de los datos en Desarrollo y Pruebas. 8% Adems de la parte contractual y acuerdos de nivel de servicio, debe mantenerse el registro y polticas de seguridad sobre terceros. Se debe aprender de las auditoras realizadas a los contratos de los terceros y revisar los controles implementados para cada contrato con el fin de mejorar en el siguiente ciclo del SGSI 0.90 6.2.3 10.2.3 Administracin de cambios a servicios de terceros Si La Organizacin cumple satisfactoriamente con este control 2 A pesar de que se cumple satisfactoriamente con el control es necesario que se reevalen los riesgos y revisen las polticas con terceros, al cumplir con la revisin del SGSI peridicamente. 0.50 6.3 6.3.1 10.3 10.3.1 Administracin de la capacidad 6.3.2 10.3.2 Aceptacin de sistemas Si La Organizacin cumple satisfactoriamente con este control 3 Si La Organizacin cumple satisfactoriamente con este control 3 Planeamiento y aceptacin de sistemas Se manrtienen los controles de monitoreo sobre capacidad de recursos, sin embargo la migracin a los nuevos recursos toma mas tiempo del esperado. 0.90 Algunos sistemas ya aceptados para migracin, se han demorado en su puesta en produccin (Nueva nmina, Sistemas operativos, Bases de datos) 0.90 6.4 6.4.1 10.4 10.4.1 Controles contra cdigo malicioso Si La Organizacin cumple satisfactoriamente con este control 3 Proteccin contra cdigo malicioso y mvil Mantener el esquema de revisin a toda la red, incrementar los controles manualmente a equipos detectados con infeccin. Realizar una revisin completa cada cierto periodo de tiempo, se recomienda cada mes para activos crticos, cada 3 meses para el resto. 0.90 5% 9%

0.40

Segregacin de funciones

Si

6.1.4

10.1.4

Separacin de los ambientes de Desarrollo, prueba y produccin Administracin de Servicios de terceros

Si

0.50

6.2 6.2.1

10.2 10.2.1

Prestacin de servicios 6.2.2 10.2.2 Monitoreo y revisin de servicios de terceros

Si

La Organizacin cumple satisfactoriamente con este control

0.90

0.77

Si

La Organizacin cumple satisfactoriamente con este control

0.90

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 9 de 19

0.50 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item
6.4.2

ISO Ref
10.4.2

Requerimiento

Aplica (SI/NO)

Estado del cliente


No se realizan controles adecuados para detener cdigo malicioso mvil (gusanos, troyanos, etc.), ms que las definiciones includas en el antivirus.

Cumplimiento

Oportunidad de mejora
El control mas adecuado para la primera lnea de defensa en contra de este tipo de malware es la segmentacin de la red. Control que no se encuentra adecuadamente implementado.

Observaciones

Controles contra cdigo mvil

Si

0.10 6.5 6.5.1 10.5 10.5.1 Respaldo de la informacin. 6.6 6.6.1 10.6 10.6.1 Controles de la Red Si Administracin de la seguridad de la red A pesar de contar con los elementos necesarios para el monitoreo de la red, no se realizan controles adecuados sobre trfico, conexiones o revisin de anomalas. Se debe replantear la arquitectura de seguridad en la red LAN, para ubicar y configurar correctamente todos los elementos de seguridad y monitoreo en la red. Esto debe esta acompaado de una poltica de seguridad en el SGSI 0.10 6.6.2 10.6.2 Seguridad de los Servicios de Red Si La red interna no se encuentra correctamente segmentada por lo que es posible acceder directamente a los servicios de red en todos los servidores, el nico control realizado es atravs de los usuarios del dominio. Segmentar de forma lgica la red, para mantener un adecuado control sobre todos los servicios de red. 1 0.10 6.7 6.7.1 10.7 10.7.1 Administracin de medios removibles Si Manipulacin de mdios Existe una poltica estricta sobre el uso de medios removibles dentro de la organizacin 4 0.95 6.7.2 10.7.2 Destruccin de medios Si La organizacin cuenta con elementos de destruccin documental, y realiza la disposicin segura de medios cuando es requerido por parte de soporte interno. En la definicin de tipos de informacin se menciona el uso adecuado de la misma en cada caso. Si 2 Es necesario establecer una poltica rigurosa en el SGSI acompaada de un procedimiento para la destruccin de medios especficamente identificados. 0.50 6.7.3 10.7.3 Procedimientos de manejo de la informacin 6.7.4 10.7.4 Seguridad de la documentacin de los sistemas 6.8 6.8.1 10.8 10.8.1 Polticas y procedimientos del intercambio de informacin 6.8.2 10.8.2 Acuerdos para el intercambio Si Si Intercambio de informacin Los lineamientos con respecto a intercambio de informacin son includos a nivel de contrataciones y de acuerdos con entes reguladores, sin embargo no hay una formalidad en cuanto al manejo segn el tipo de informacin a intercambiar. Ademas de los acuerdos de confidencialidad, no se hacen controles adicionales sobre el intercambio de informacin. 2 Inclur en el SGSI una poltica y procedimientos claros del intercambio de informacin 2 0.50 El manejo de informacin y su intercambio con terceros debera inclur acuerdos sobre su transporte y almacenamiento seguros al tratar y manipular la informacin (por ejemplo comprimir y cifrar la informacin) 0.50 0.50 Si La Organizacin cumple satisfactoriamente con este control 2 Se debe fortalecer el esquema de manejo de tipos de informacin, estableciendo dentro del SGSI y en una poltica formal, la forma adecuada del manejo de la informacin. 0.50 Los manuales de uso de los sistemas son almacenados por parte de los responsables de los mismos. Sin embargo no hay una formalidad en el almacenamiento de procedimientos e inventario de manuales y otros documentos 0.50 5% 0.61 Mantener el control e inclur la poltica y sus excepciones, documentada en el SGSI 6% 0.10 Si La Organizacin cumple satisfactoriamente con este control 4 Copias de seguridad Mantener el esquema de backups y extenderlo a sistemas de informacin alterantivos como son los usuarios finales. 0.95 1% 9.5%

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 10 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item
6.8.3

ISO Ref
10.8.3

Requerimiento

Aplica (SI/NO)

Estado del cliente


No se conoce una prctica formal de proteccin para los medios en movimiento.

Cumplimiento

Oportunidad de mejora
En los casos en que sea necesario transportar informacin, debe exigirse el cumplimiento de una poltica de proteccin para esta informacin. La poltica y procedimientos deben ser estrictas e includas en el SGSI

Observaciones

Medios fsicos en movimiento 6.8.4 10.8.4 Mensajera Electrnica

Si

0.10 El correo electrnico es el medio principal de comunicacin de la organizacin. Tambin se utiliza como repositorio de registros, actas, y otro tipo de constancias auditables. Se debe mantener el esquema de seguridad sobre el correo a nivel de contingencias, antivirus, antispam y revisar peridicamente la efectividad de todos los controles 0.90 6.8.5 10.8.5 Sistemas de informacion de negocios 6.9 6.9.1 10.9 10.9.1 Comercio Electrnico 6.9.2 10.9.2 Transacciones en Lnea 6.9.3 10.9.3 Informacin pblica Si No Las pginas informativas de la orgnizacin se encuentran adecuadamente estructuradas en cuanto a la seguridad de su contenido. Se encontraron algunas vulnerabilidades menores asociadas con los servidores donde se encuentra dicha informacin. No N/A Asegurar los servidores donde est contenida la informacin pblica. Revisar las recomendaciones del informe de pruebas externas. 0.90 9.1 6.9.1 10.10 10.1.0.1 Monitoreo Mantener el esquema implementado. Realizar revisiones peridicas a los registros y determinar un poltica de almacenamiento que detalle los trminos y responsabilidades, as como los mecanismos de seguridad para tales registros. 8% Servicios de Comercio Electrnico N/A N/A N/A No se prestan servicios de este tipo Si La Organizacin cumple satisfactoriamente con este control. En este caso la lnea de negocio hace referencia al proceso de talento humano. 2 Los controles sobre las plataformas del proceso son adecuados pero hace falta la documentacin y polticas formales implementadas en un SGSI 0.50 9%

Si

No se prestan servicios de este tipo

Auditora de registros

Si

La Organizacin cumple satisfactoriamente con este control

0.90 6.9.2 10.1.0.2 Uso de sistemas de monitoreo Si Los sitemas de monitoreo son adecuados pero deben utilizarse ms estricta y formalmente en la red 3 Los registros de los sistemas de monitoreo deben ser revisados peridicamente en busca de mejoras en su implementacin y uso. El acceso a los registros debe ser exclusivo para los auditores, administradores de la plataforma y oficial de seguridad. 0.90 6.9.4 10.1.0.4 Registros de monitoreo de administradores y operadores Si La Organizacin cumple satisfactoriamente con este control 3 Realizar las revisiones peridicas, definir el procedimieto de monitoreo y su relacin con el de reaccin a incidentes. 0.90 Si La Organizacin cumple satisfactoriamente con este control 3 Realizar las revisiones peridicas, definir el procedimieto de monitoreo y su relacin con el de atencion de incidentes. 0.90 6.9.6 10.1.0.6 Sincrona Si No se tienen registros sobre la sincrona de sistemas en la organizacin. 1 Se debe disear e implementar un procedimiento de sincronizacin de todos los Sistemas y Aplicaciones, con un sistema unificado para toda la plataforma tecnolgica de la organizacin.

0.77

0.90

6.9.3

10.1.0.3 Proteccin de registros de monitoreo Si La Organizacin cumple satisfactoriamente con este control 3

6.9.5

10.1.0.5 Registro de fallas

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014

0.10 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

Este Documento Contiene 19 Pginas Pgina 11 de 19

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones
14.20

7.1 7.1

11.1 11.1.1

Control de acceso a la informacin de acuerdo a las necesidades del negocio. Poltica de Control de Acceso No existe poltica formalmente definida y divulgada SI 2 Disear e implementar una poltica de control de acceso de usuarios que incluya los procesos necesarios para autorizacin y control de acceso a los SI

7%

0.50 10%

7.2 7.2.1

11.2 11.2.1

Administracin de acceso de los usuarios Se realiza un proceso de registro de usuarios para cada individuo con perfiles y permisos asignados segn justifique el caso. No se realiza un seguimiento peridico y formal a los usuarios en desuso del sistema. Se revisan usuarios bajo requerimiento Disear e implementar una poltica de control de acceso de usuarios que incluya los procesos necesarios para autorizacin y control de acceso a los SI, inclur en el proceso, la periodicidad y rigurosidad de la revisin de los usuarios creados. Mantener el esquema implementado. Sin embargo el esquema sobre Bases de Datos debe ser revisado ya que no existe un control formal ni un responsable por su administracin. Documentar dentro del SGSI una poltica de administracin de contraseas formal que incluya manejo, almacenamiento, cambio y construccin de contraseas. * Este valor se encuentra en 0 para el caso de bases de datos

Registro de Usuarios

SI

0.90

0.70

7.2.2

11.2.2 Administracin de privilegios SI La Organizacin cumple satisfactoriamente con este control 3*

0.90

7.2.3

11.2.3 Administracin de Contraseas SI Se tienen directivas sobre el uso y administracin de contraseas, sin embargo hace falta una formalidad en el procedimiento y auditoras al uso de las mismas. No se realiza la tarea periodicamente con el detalle requerido para identificar inconvenientes con los perfiles. 2

0.50 7.2.4 11.2.4 Revisin de los permisos asignados a los usuarios Responsabilidades de los usuarios Los usuarios utilizan contraseas triviales, a pesar de las polticas electrnicamente definidas para crear contraseas. Realizar el plan de concientizacin y entrenamiento debidos con respecto al tema 0.50 7.3.2 11.3.2 Equipos desatendidos 7.3.3 11.3.3 SI La Organizacin cumple satisfactoriamente con este control No se realiza una prctica efectiva sobre este tipo de control. SI 2 3 Mantener el esquema implementado. Fortalecer el esquema con charlas de conciencia en seguridad. 0.90 Poltica de escritorios y pantallas limpias Control de acceso a la red de datos No existe poltica formalmente definida Polticas para el uso de los servicios de la red de datos 7.4.2 11.4.2 Autenticacin de usuarios para conexiones externas Identificacin de equipos en la red SI 2 Disear e implementar una poltica de uso de los servicios de red que especifique la intencin de uso de excllusivamente los servicios necesarios. Implementar los procedimientos de autorizacin y control necesarios. 0.50 SI La Organizacin cumple satisfactoriamente con este control 3 No se permiten accesos remotos a los sistemas. Si se requiere habilitar a un usuario en este esquema, se deber formalizar una poltica estricta. Implementar un procedimiento de control de equipos conectados a la red, empleando herramientas tecnolgicas o polticas de conexin e inventariado. 0.50 0.50 Realizar el plan de concientizacin y entrenamiento debidos con respecto al tema 0.50 7% 0.63 SI 2 Definir la periodicidad y detalle del procedimiento de revisin de privilegios. 0.50 9%

7.3 7.3.1

11.3 11.3.1

Uso de las contraseas

SI

7.4 7.4.1

11.4 11.4.1

0.90

7.4.3

11.4.3 SI Se cuenta con herramientas para la identificacin de equipos en la red, pero no se mantienen controles sobre equipos de terceros 2

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 12 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref
7.4.4 11.4.4

Requerimiento

Aplica (SI/NO)

Estado del cliente


Todos los puertos de diagnstico se encuentran protegidos fsicamente por las directivas de acceso al centro de cmputo.

Cumplimiento

Oportunidad de mejora
Si bin se cuenta con la proteccin de los sistemas y su acceso a los mismos, debe hacerse explcito un control sobre los puertos de diagnstico a los sistemas.

Observaciones
14.20

Diagnstico remoto y proteccin de la configuracin de puertos

SI

0.90 7.4.5 11.4.5 Segregacin en la red 7.4.6 11.4.6 Control de conexin a la red SI No se tiene un adecuado control de equipos a la red 2 SI No se hace segmentacin de la red. 1 Debe implementarse inmediatamente una poltica y un plan de segmentacin de la red. 0.10 Ademas de no tener un control de conexiones a la red por puerto, se facilita la conexin al mantener un esquema de DHCP. Se recomienda despus de segmentar la red, implementar controles como Filtrado por MAC, ACLs, y deshabilitado de puertos en reas comunes entre otros. Deben establecerse rutas claras y puntos de control de entrada y salida entre las diversas subredes. 1 0.10 7.5 7.5.1 11.5 11.5.1 Procedimientos para inicio de sesin de las estaciones de trabajo 7.5.2 11.5.2 SI La Organizacin cumple satisfactoriamente con este control 3 0.90 Identificacin y autenticacin de los usuarios. Sistema de administracin de contraseas. SI La Organizacin cumple satisfactoriamente con este control 3 Durante la campaa de concientizacin, exponer los riesgos al compartir el usuario de red. 0.90 La Organizacin cumple satisfactoriamente con este control (Polticas del directorio activo) Mantener el esquema implementado. Extender el esquema a aplicaciones 0.90 7.5.4 11.5.4 Uso de las utilidades del sistema 7.5.5 11.5.5 Time-out para las estaciones de trabajo. 7.5.6 11.5.6 Limitacin en los periodos de tiempo de conexin a servicios y aplicaciones Control de acceso a las aplicaciones SI La Organizacin cumple satisfactoriamente con este control, en las estaciones de trabajo empleando bloqueo de pantalla automtico. Se realiza el control en la mayora de casos. Para otros sistemas, la tecnologa no lo permite. 3 SI La Organizacin cumple satisfactoriamente con este control 3 Mantener el esquema implementado. Extender las restricciones en el dominio para todos los usuarios finales. 0.90 Para las estaciones de administracin, los tiempos deben ser ms cortos y automticamente deben terminar la sesin activa en caso de inactividad, desde una terminal remota. 0.90 Todos los servicios de administracin, especialmente los remotos, deben inclur una limitante en los tiempos y horario de acceso. Para los servicios de Carga y Recoleccin de datos debera regularse el horario de conexiones. 0.83 Control de acceso a los sistemas operativos Implementar mtodos alternativos al servicio Terminal Services, que utilice cifrado en sus conexiones. 12%

0.50

7.4.7

11.4.7 Control de enrutamiento de la red SI

Ya que no hay segmentacin de la red, no hay control de las rutas en la red.

7.5.3

11.5.3

SI

SI

0.50 7%

7.6

11.6

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 13 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref
7.6.1 11.6.1 Restriccin de acceso a los sistemas de informacin 7.6.2 11.6.2 Aislamiento de sistemas sensibles SI No se cuenta con un esquema de aislamiento de sistemas sensibles. Todo se reune en la misma red. 1 SI La Organizacin cumple satisfactoriamente con este control 3

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Oportunidad de mejora
Extender los controles a las aplicacionoes que ya no lo permiten por medio de controles adicionales como el Directorio activo o un Firewall de Host.

Observaciones
14.20

0.90 Los sistemas ms crticos como bases de datos y servidores de aplicaciones se encuentran aislados en una granja de servidores, sin embargo es necesario hacer lo mismo con los servidores de desarrollo o pruebas que manejan la misma informacin. 0.10 7.8 7.8.1 11.7 11.7.1 Computacin Mvil y comunicacioines 7.8.2 11.7.2 Teletrabajo SI SI Computacin Mvil y Teletrabajo No existe una poltica formal sobre el uso de computacin mvil 1 Disear e implementar una poltica de control de computacin mvil, acompaada del procedimiento adecuado de control a ciertos equipos. 0.10 No existe una poltica formal sobre actividades de teletrabajo. Sin embargo tampoco se permite el teletrabajo en el rea. 2 Disear e iplementar una poltica deTeletrabajo, acompaada del procedimiento adecuado de control que incluya las prcticas permitidas y los mecanismos de control, y los escenarios eventuales en que es permitida la prctica. 0.50 4%

50%

0.30

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 14 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones
16.6

8.1

12.1

Requerimientos de seguridad para los sistemas de informacin Anlisis y especificaciones de los requerimientos de seguridad Si bin se hacen recomendaciones puntuales a nivel de seguridad, no se cuenta con una gua formal de implementacin de seguridad a nuevos sistemas. Debe implementarse una gua con lineamientos claros, alineada al SGSI,que exija unos mnimos lineamientos en el desarrollo y puesta en marcha de nuevos sistemas de informacin.

8%

8.1.1

12.1.1

Si

0.5 3% Implementar un estndar de desarrollo seguro de aplicaciones que cumpla con las polticas especficas de seguridad, en la revisin de entradas, procesamiento y salidas de informacin. 0.1 0.2

8.2

12.2

Procesamiento correcto en aplicaciones

8.2.1

12.2.1

Validacin de los datos de entrada

Si

No se cuenta con un estndar para el desarrollo seguro de aplicaciones

8.2.2

12.2.2

Control del procesamiento interno

Si

No se cuenta con un estndar para el desarrollo seguro de aplicaciones

Implementar un estndar de desarrollo seguro de aplicaciones que cumpla con las polticas especficas de seguridad, en la revisin de entradas, procesamiento y salidas de informacin. 0.1 Implementar mecanismos de cifrado de canales, de certificados digitales o de no repudio en la entrada de datos, almacenamiento temporal y autenticacin sobre las aplicaciones de carga y procesamiento de datos. 0.5 Implementar un estndar de desarrollo seguro de aplicaciones que cumpla con las polticas especficas de seguridad, en la revisin de entradas, procesamiento y salidas de informacin. 0.1

8.2.3

12.2.3

Integridad de los mensajes

Si

Los controles de integridad estn sujetos al usuario que origina los datos

8.2.4

12.2.4

Validacin de los datos de salida

Si

No se cuenta con un estndar para el desarrollo seguro de aplicaciones

8.3 8.3.1

12.3 12.3.1

Controles Criptogrficos La organizacin emplea controles criptogrficos bajo requerimiento y en casos particulares. Si 2 Los esquemas criptogrficos deben ser obligatorios para el manejo y transporte de informacin por encima de "reservada" dentro de la clasificacin de informacin. Este esquema debe ser formalmente descrito en una poltica dentro del SGSI una vez implementados los controles criptogrficos, es necesario definir e implementar una poltica y procedimiento de administracin de llaves criptogrficas.

5%

Poltica para el uso de controles criptogrficos 8.3.2 12.3.2 Administracin de llaves

0.5

0.3

No hay una poltica formal en el rea para la administracin de llaves de encripcin. Si 1

0.1 8.4 8.4.1 12.4 12.4.1 Control del software operacional 8.4.2 12.4.2 Si Proteccin de los datos en sistemas de prueba 8.4.3 12.4.3 Control de acceso a las libreras de cdigo fuente Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Si La Organizacin cumple satisfactoriamente con este control 3 Se utilizan datos del ambiente de produccin en el ambiente de pruebas 2 Si La Organizacin cumple satisfactoriamente con este control 3 Seguridad en los archivos del sistema (System Files) Mantener el esquema implementado de revisin de sistemas y de puesta en produccin. No se debe permitir en ningn caso la instalacin de software sin el permiso adecuado. 0.9 Implementar esquemas de proteccin de los datos de produccin, cambiandolos o eliminando completamente los mismos al terminar las pruebas. Este escenario cambiara el esquema actual de usar el servidor de pruebas y desarrollo como contingencia de produccin. Mantener el esquema implementado. Debe hacerse explcito el procedimiento, alineado a un SGSI y divulgado. 0.9 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C. 0.766666667 13%

0.5

CONFIDENCIAL
Este Documento Contiene 19 Pginas Pgina 15 de 19

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones
16.6

8.5 8.5.1

12.5 12.5.1

Seguridad en el desarrollo y en los procesos de soporte tcnico Procedimientos para el control de cambios Revisin tcnica de aplicaciones despues de cambios al sistema operativo Mantener el esquema implementado. Si La Organizacin cumple satisfactoriamente con este control 3

15%

0.9 Mantener el esquema implementado. Si La Organizacin cumple satisfactoriamente con este control 3 0.9 Mantener el esquema implementado. Si La Organizacin cumple satisfactoriamente con este control 3 0.9 Mantener el esquema implementado. Dada la criticidad de la Este aspecto debe ser informacin, y aunque el esquema es satisfactorio para la fortalecido notablemnente con norma ISO, debe fortalecerse el esquema de proteccin contra un SGSI maduro y consistente fugas de informacin empleando todos los controles necesarios (tcnicos, polticas, acuerdos, etc.) 0.9 Si La Organizacin cumple satisfactoriamente con este control 3 Mantener el esquema implementado. Sin embargo se debe crear una gua fundamental de principios de seguridad a tener en cuenta por parte de los terceros.

0.9

8.5.2

12.5.2

8.5.3

12.5.3 Restricciones a cambios en paquetes de software

8.5.4

12.5.4 Si Fuga de informacin La Organizacin cumple satisfactoriamente con este control 3

8.5.5

12.5.5 Desarrollo de software por parte de Outsourcing

0.9 8%

8.6 8.6.1

12.6 12.6.1

Administracin Tcnica de Vulnerabilidades Dada la critricidad de la informacin, denbera implementarse un esquema de pruebas internas (ya sea por capacitacin de un funcionario o por un sistema) que permita una revisin peridica interna al respecto

Si Control tcnico de vulnerabilidades

La Organizacin realiza pruebas de vulnerabilidad a sus sistemas crticos bajo requerimiento.

0.5

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 16 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 9 - Administracin de Incidentes de Seguridad Informtica


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

9.1

13.1

Reporte de eventos de seguridad informtica y de sus debilidades Hace falta la identificacin de los incidentes concernientes a la seguridad de la informacin. Se hacen actividades de reporte en la mesa de ayuda pero no se cuenta con un estandar alineado a un SGSI Durante la campaa de concientizacion y entrenamiento, identificar claramente los incidentes relacionados con la seguridad de la informacin y su reporte. La caracterizacin debe traducirse en la forma como se hace seguimiento en la mesa de ayuda y dentro del grupo de seguridad

15%

9.1.1

13.1.1

Reporte de eventos de Seguridad de la informacin.

Si

0.50 Hace falta la identificacin de las debilidades concernientes a la seguridad en todos los aspectos (anlisis de riesgos de seguridad de la informacin interno y peridico) Durante la campaa de concientizacion y entrenamiento, identificar claramente las debilidades relacionados con la seguridad de la informacin y su reporte. Adicionalmente con la implementacin del SGSI, este tema se har formal y maduro

0.30

9.1.2

13.1.2

Reporte de debilidades de seguridad

Si

0.10 12%

9.2

13.2

Administracin de incidentes de seguridad informtica y de su mejoramiento Documentar y divulgar formalmente el proceso implementado dentro del marco del SGSI

9.2.1

13.2.1

Responsabilidades y procedimientos

Si

No hay un documento formal y divulgado sobre las responsabilidades de cada rol en un incidente de seguridad de la informacin.

1 0.10 0.23

9.2.2

13.2.2

Aprendizaje a partir de los incidentes de seguridad

Si

Se realizan estudios de algunos incidentes de seguridad. Los eventos ms importantes e impactantes son revisados. No se tiene la conciencia de la gravedad de un incidente de seguridad (a nivel de usuarios finales) lo que hace lento el proceso de recoleccin de evidencia.

Adems de tipificar esta labor como parte de las actividades del oficial de seguridad, definir el procedimiento adecuado en el SGSI y realizar la revisin a todos los repotes de incidentes e inclurlos en el plan de mejoramiento 0.50 Disear e implemetnar el procedimiento detallado de recoleccin de evidencia que permita de forma efectiva obtener toda la informacin necesaria. 0.10

9.2.3

13.2.3

Recoleccin de evidencia

Si

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 17 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 10 - Administracin de Continuidad del Negocio Business Continuity Planning & Disaster Recovery Planning (BCP-DRP)
Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

10.1

14.1

Consideraciones para la administracin de la continuidad del negocio Inclusin de seguridad de la informacin en el proceso de administracin de la continuidad del negocio No existe una poltca de seguridad definida dentro de un SGSI, que incluya directivas en cuanto a la administracin de continuidad del negocio. (para todos los sistemas) Una vez implementada la poltica de seguridad, inclurla en el desarrollo de los planes de continuidad del negocio y establecer planes para todos los procesos crticos.

34%

10.1.1 14.1.1

Si

0.34 0.5

10.1.2 14.1.2 Continuidad del negocio y anlisis de impacto 10.1.3 14.1.3 Desarrollo e implementacin de planes de continuidad Marco de planeacin para la continuidad del negocio Pruebas, mantenimiento y revisin de los planes de continuidad del negocio Si

El estudio y anlisis del riesgo para el desarrollo de los planes de continuidad del negocio, se encuentran desactualizados, o en algunos casos no existen.

Debe existir un anlisis peridico de tipo BIA y anlisis de riesgos que haga particular detalle en las amenazas inherentes a la organizacin. Esta actividad se madurar con cada ciclo del SGSI Una vez afinados y probados los planes de continuidad, realizar la divulgacin e implementacin respectiva y obligatoria. Unificar los trminos de anlisis para el impacto y los riesgos evaluados en los planes de continuidad del negocio.

0.5

Si

No se han implementado los planes de continuidad del negocio en todos los procesos crticos Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento. No se realizan revisiones a los planes de continuidad del negocio

0.5

10.1.4 14.1.4

Si

0.1 Realizar el seguimiento y revisin apropiados a los planes de continuidad una vez hayan sido implementados. 1 0.1

10.1.5 14.1.5 Si

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 18 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA MATRIZ DE VALORACIN ISO 27002

CAPTULO 11 - Cumplimiento y Normatividad Legal


Item ISO Ref Requerimiento Aplica (SI/NO) Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

11.1

15.1

Cumplimiento con requerimientos legales Identificacin de leyes aplicables Si La Organizacin cumple satisfactoriamente con este control 4 Extender la investigacin de legislaciones aplicables a los temas de seguridad de la informacin.

26%

11.1.1 15.1.1

0.95 Mantener el esquema implementado Si La Organizacin cumple satisfactoriamente con este control Los registros organizacionales son administrados de la misma forma que el resto de la informacin operacional de la organizacin Si 3 3 0.9 Establecer procedimientos especiales de seguridad para los El control es satisfactorio por la registros organizacionales. adecuada clasificacin de informacin que se tiene y su manejo, pero debe fortalecerse para este tipo de datos. 0.9 Si La Organizacin cumple satisfactoriamente con este control 3 Extender la investigacin de legislaciones aplicables a los temas de propiedad intelectual y personal, as como derecho a la intimidad. Establecer controles adems de la conciencia corporativa, que permitan administrar y monitorear el uso de los componentes tecnolgicos. Debe realizarse la adecuada revisin de cuales regulaciones afectan el uso de controles criptogrficos y considerarlos para su implementacin

0.775

11.1.2 15.1.2 Derechos de autor y propiedad intelectual 11.1.3 15.1.3

Salvaguardar los registros de la organizacin 11.1.4 15.1.4 Proteccin de los datos y privacidad de la informacin personal Prevencin mal uso de los componentes tecnolgicos Regulacin decontroles criptogrficos 10.2 15.2

0.9

11.1.5 15.1.5

Si

La Organizacin cumple satisfactoriamente con este control No se tienen identificados o aplicados los lineamientos especficos sobre uso de controles criptogrficos a la innformacin

0.9

11.1.6 15.1.6 Si

0.1 17%

Revisin de la poltica de seguridad y cumplimiento tcnico Cumplimiento de los diferentes requerimientos y controles establecidos por la poltica de seguridad No existe poltica de seguridad formalmente establecida dentro del marco de un SGSI Si 2 Una vez establecida e implementada la poltica de seguridad, realizar los controles al cumplimiento de la misma

10.2.1 15.2.1

0.5 No existe poltica de seguridad formalmente establecida dentro del marco de un SGSI Reforzar las revisiones a los planes de mejoramiento y pruebas de vulnerabilidad a los SI.

0.5

10.2.2 15.2.2 Chequeo del cumplimiento tcnico 10.3 15.3 Si

0.5 10% 2 Documentar e implementar dentro del SGSI, los casos y controles a tener en cuenta para las actividades de auditora sobre sistemas en produccin. Implementar la poltica de auditora de sistemas en trminos de seguridad de la informacin y especificar cuales son las herramientas para la actividad y sus protecciones

Consideraciones relacionadas con la auditora interna Si Las auditoras se realizan sobre los registros y evidencias y no sobre los sistemas de informacin. No se tienen identificadas herramientas particulares de auditora de sistemas a nivel de seguridad de la informacin.

10.3.1 15.3.1 Controles para auditora del sistema 10.3.2 15.3.2 Proteccin de las herramientas para auditora del sistema

0.5

0.3

Si

0.1

CONFIDENCIAL
Proyecto de Seguridad Informica Anlisis de Riesgos 2/6/2014 Este Documento Contiene 19 Pginas Pgina 19 de 19 Referencia Interna de Digiware FGT-07-02 V1 05/11/04 REV: D.C. APR: C.C.