Numeral Entregables Folio/Página Folio/Página Si No • Resultados de evaluación y diagnóstico, en donde se indican por cada dominio de la norma ISO/IEC 17799:2005. En los resultados del diagnóstico se deben incluir los 1.1. EVALUACIÓN Y DIAGNÓSTICO BAJO LA NORMA ISO/IEC 27001 objetivos de control y los controles de seguridad de la norma. • Resultados de evaluación y diagnóstico de revisión documental del modelo actual de seguridad de la información. • Vulnerabilidades encontradas en los sistemas expuestos a Internet y de los sistemas en la red interna, y el grado de riesgo técnico asociada con estos. Hasta donde se logró acceder en los sistemas de información y un nivel de riesgo general de la institución su exposición desde el punto de vista técnico. • Describir las clases de ataques que se utilizaran. • El reporte deberá estar acompañado de la evidencia sobre la información y accesos que se pudo obtener sobre los sistemas de información. • De igual forma se deben presentar dos Informes en español que incluyan: o Informe Ejecutivo Descripción del trabajo realizado Resumen de las actividades realizadas Descripción del informe final entregado Descripción de principales hallazgos Conclusiones 1.2. EVALUACIÓN Y DIAGNOSTICO DE LA INFRAESTRUCTURA Recomendaciones TECNOLÓGICA DE LA UTP o Informe Técnico de seguridad: Descripción de las pruebas realizadas Metodología utilizada Elemento evaluado Puertos y servicios habilitados
o Listado de vulnerabilidades encontradas en los elementos de la plataforma
tecnológica: Descripción de la vulnerabilidad Nivel de criticidad (Alto, Medio, Bajo) Riesgo asociado o impacto Recomendación Procedimiento de corrección.
• Informe de resultados del levantamiento de información.
• Inventario de activos de información de la Universidad Tecnológica de 2. INVENTARIO DE ACTIVOS DE INFORMACIÓN Pereira, junto con el proceso de inventario de activos de información y los formatos para su definición, actualización y mantenimiento. • Instructivo de clasificación de activos de información de la Universidad Tecnológica de Pereira y su nivel de clasificación, incluyendo las recomendaciones en cuanto a: o Acceso permitido. o Métodos de distribución. o Restricciones en la distribución electrónica. 3. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN o Recomendaciones a cerca de el Almacenamiento y/o archivado. o Recomendaciones a cerca de su disposición y destrucción. o Activos de información clasificados, según inventario e instructivo de clasificación.
o Matriz de valoración riesgos de seguridad de la información priorizada,
identificando los activos, las amenazas, las vulnerabilidades, impactos, los riesgos y las recomendaciones para su mitigación del nivel del riesgo residual. o Informe de identificación de procedimientos y controles necesarios para 4. ANÁLISIS, EVALUACIÓN Y TRATAMIENTO DEL RIESGO mitigar o transferir el riesgo. o Plan de tratamiento de riesgos y cronograma de implementación. o Informe de los resultados del análisis de impacto generado en los procesos por la aplicación de los controles propuestos.
o Informe de revisión de las políticas de seguridad que poseen en la
actualidad la Universidad Tecnológica de Pereira. o Políticas de seguridad corporativa, objetivos del SGSI y procedimientos para su implementación y gestión. 5. DEFINICIÓN DE POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD Y DECLARACIÓN DE APLICABILIDAD DEL SGSI o Formatos y documentos para llevar los registros necesarios y exigidos por la norma. o Declaración de aplicabilidad. o Proceso de control de documentos y de control de registros. o Indicadores de gestión base de primer nivel para el SGSI.