Está en la página 1de 20

GRUPO ASD

PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA


ANEXO 2. MATRIZ DE VALORACIN ISO 27002

Resumen de cumplimiento

Controles Aprobados
131

2
Controles No aprobados

Controles Aprobados
Controles No
aprobados

131
Controles no aplicables
0

Dominio

Tabla de Calificaciones

Aprobados

NO Aprobados

Porcentaje Cumplimiento

50%

Cada uno de los requerimientos de la hojas de los DOMINIOS ha sido calificado en una escala del 1 al 5
(Siendo 1 debilidad y 5 fortaleza)

NOTA: Para cumplir con un proceso de auditora satisfactoria, cada requerimiento debera
obtener por lo menos una calificacin de 3

Poltica de Seguridad Corporativa

11

96%

Clasificacin y Control de Componentes Crticos

71%

Seguridad del Recurso Humano

77%

Seguridad Fsica y Ambiental

13

86%

Administracin de Operaciones y Comunicaciones

29

69%

Control de Acceso

25

56%

No existen controles efectivos Deficiencias considerables con respecto a lo esperado


10% para el requerimiento

Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin

16

52%

Controles Bsicos Deficiencias menores con respecto a lo esperado para el


50% requerimiento

Administracin de Incidentes de Seguridad Informtica

27%

90%

Administracin de Continuidad del Negocio

34%

95%

Cumplimiento y Normatividad Legal

10

53%

100%

Cumplimiento

Efectivida
d

Califcaci
n

Estructura Organizacional de Seguridad Informtica

Con respecto al control, es un control debil, cumple o excede las expectativas

0%

No est definido ningn tipo de control

El Requerimiento se Cumple en forma Efecitva


Controles Comprehensivos
Optimizado Implementacin que mejora el estndar

Distribucion de Controles por Nivel de Madurez

100%
90%
80%

No est definido ningn tipo de control

70%

8%

2%

16%

No existen controles efectivos Deficiencias


considerables con respecto a lo esperado pa
requerimiento

60%
96%

50%
40%
30%

71%

77%

86%

42%

69%
56%

50%

20%

27%

Controles Bsicos Deficiencias menores co


respecto a lo esperado para el requerimient

El Requerimiento se Cumple en forma Efecit

53%

52%

33%

Controles Comprehensivos

34%

Optimizado Implementacin que mejora e


estndar

10%
0%
1

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

10

11

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 1 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 1 - Poltica de Seguridad Corporativa


Item

ISO Ref

1.1

5.1

1.1.1

5.1.1

Requerimiento

Estado del cliente

Cumplimiento

Oportunidad de mejora

Observaciones

Poltica de Seguridad de la Informacin

Documento de la
poltica de seguridad
de la Informacin
1.1.2

Aplica (SI/NO)

Si

5.1.2
Revisin y evaluacin

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Si

Existen polticas de seguridad de la informacin sobre temas


puntuales. Se encuentran en desarrollo y socializacin otras
polticas de seguridad.

Se realizan actualizaciones de las Polticas actuales por


requerimiento. Se encuentra en proceso la implementacin
de un SGSI adecuado

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 2 de 20

Documentar e implementar la poltica de seguridad de


la informacin incluyendo todos los dominios de
seguridad, un alcance definido y el compromiso de las
directivas.

Al complementar el documento de poltica e


implementar un SGSI, se deber dejar explcita la
tarea peridica de revisin y evaluacin en unas
fechas formales.

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica


Item

ISO Ref

Requerimiento

2.1

6.1

Organizacin Interna

2.1.1

6.1.1

Compromiso de las
Directivas con la
seguridad de la
informacin

2.1.2

2.1.3

Estado del cliente

Si

Existe el compromiso y la voluntad por parte de las directivas a nivel


del rea de Tecnologa. La implementacin de algunos controles
depende de entes superiores. Falta un poco de conciencia de
seguridad de la informacin

Si

Existe un grupo de seguridad de la informacin plenamente


identificado por los usuarios, con tareas definidas y el apoyo
necesario para la implementacin de un SGSI.

Si

Existen funciones definidas con respecto a las responsabilidades


sobre la informacin manejada y los activos que la soportan. El rea
de seguridad de la informacin tiene claras sus responsabilidades

6.1.3
Asignacin de
responsabilidades

Oportunidad de mejora

Observaciones

41%

6.1.2
Coordinacin de la
Seguridad

Cumplimiento

Aplica (SI/NO)

Un programa de conciencia en seguridad de la


informacin que reuna a todos los directivos a nivel
Ministerio, sera el escenario ideal para concretar un
esquema completo de seguridad de la informacin.

Fortalecer esquemas de capacitacin en segurdad


para el grupo, en temas especializados. Fortalecer el
grupo y la toma de decisiones al implementar un
comit interdisciplinario de seguridad en el SGSI

0.5

0.9

Complementar los manuales de funciones con las


actividades especficas de clasificacin de la
informacin y administracin de activos de
informacin.
0.9

2.1.4

Son claras las funciones del rea de seguridad de la informacin, en


la evaluacin y autorizacin de actividades en el procesamiento de
datos o proteccin de la informacin

6.1.4
Proceso de
Autorizacin a reas
de procesamiento de
informacin

Si

Reforzar los esquemas de mantenimiento de


documentos de auditoras de seguridad, como
administracin de Logs, revisin de bitcoras y
monitoreo de incidentes en reas de procesamiento de
datos
0.9

2.1.5

6.1.5
Acuerdos de
confidencialidad

Se realizan acuerdos especficos de confidencialidad tanto para la


contratacin como para la manipulacin especfica de datos o
actividades en areas de procesamiento de datos
Si

Por la naturaleza de la organizacin, este punto tiene


una especial madurez, incluyendo esquemas de
estudios de seguridad y sanciones claramente
especificadas

Por la naturaleza de la organizacin, se cuenta con


contactos directos con autoridades competentes y
expertas en diversas disciplinas concernientes a la
seguridad.

0.95
2.1.6

6.1.6
Contacto con las
autoridades

Se mantiene un contacto permanente con los entes militares y


fuerzas especiales, de acuerdo a la criticidad de la informacin
manejada.
Si

1
2.1.7

6.1.7
Contacto con grupos
de especial inters

El rea de seguridad se mantiene en constante contacto con grupos


de inters en seguridad tanto por sus capacitaciones internas como
por su interaccin con proveedores especializados en los temas.
Si

Inscribir a los miembros del grupo de seguridad de la


informacin en listas de correo especializadas e
incrementar el contacto con los grupos de inteligencia
3

0.9
2.1.8

6.1.8

Se realizan auditoras internas de seguimiento al rea a nivel de


calidad y cumplimiento sobre las normativas. (Este paso es
consecuencia de la implementacin de un SGSI)
Auditora interna

Si

Capacitar a los auditores internos y enfocar las


auditoras para que incluyan el SGSI y los indicadores
de seguridad de la informacin.
2

0.5
2.2

6.2

Terceros

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

45%

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 3 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

82%

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 2 - Estructura Organizacional de Seguridad Informtica


Item

2.2.1

ISO Ref

Requerimiento

6.2.1
Identificacin de
riesgos

2.2.2

Aplica (SI/NO)

Si

El acceso fsico y lgico a terceros es regulado de forma contractual


y de polticas de seguridad a nivel general. Se conocen los riesgos
de acceso a reas de procesamiento por parte de terceros

SI

El propsito de la organizacin es garantizar la seguridad a los


ciudadanos (clientes) para lo cual mantiene altos estndares de
aproximacin a la seguridad.

Si

Se realizan acuerdos de confidencialidad especficos para la labor


con terceros que implican la manipulacin de informacin y el
ingreso a areas de procesamiento de datos

6.2.2
Aproximacin a la
seguridad al tratar
con clientes

Estado del cliente

Cumplimiento

Oportunidad de mejora

Alinear con la implementacin del SGSI, todos los


anlisis de riesgo externos e internos sobre los activos
e informacin. Esto permitir inclurlos en los
indicadores de seguridad.

Observaciones

0.9
0.9

Certificar la entidad en ISO 27001 o mostrar el


cumplimiento sobre la norma, reiterara y dara amplia
fuerza al concepto de seguridad de la informacin que
tienen los clientes.
0.9

2.2.3

6.2.3

Aproximacin a la
seguridad en
acuerdos con
terceros

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Inclur la poltica de seguridad en los acuerdos y


contratos con terceros.
3
0.9

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 4 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 3 - Clasificacin y Control de Componentes Crticos


Item ISO Ref

3.1

7.1

3.1.1

7.1.1

3.1.2

3.1.3

7.1.2

Requerimiento

Aplica (SI/NO)

Inventario de activos
tecnolgicos

Si

La Organizacin cumple satisfactoriamente con este control

Responsables de los
activos tecnolgicos

Si

La Organizacin cumple satisfactoriamente con este control

Inclur las responsabilidades sobre los activos de


informacin en el manual de funciones de los
empleados.

7.2
7.2.1

Si

Se mantienen controles automatizados adecuados para el uso


correcto de tecnologas informticas como correo electrnico y
navegacin en internet,

0.5

0.5

0.5

46%

Si

Se tienen claramente identificados 6 niveles para caracterizar la


informacin. Este estandar es concistente a lo largo de la
organizacin.

Las normas de clasificacin son claramente existentes.


Se debe madurar el etiquetado y manejo de las
clasificaciones
0.95

3.2.2

7.2.2

Identificacin y
Manejo de la
informacin

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

0.5

Inclur el uso aceptable de los activos tecnolgicos en


el manual de funciones de los empleados y el SGSI

Clasificacin de la Informacin
Normas para
clasificacin de la
informacin

Observaciones

25%
Centralizar el inventario de todos los activos en un
listado maestro, enmarcado en un procedimiento y
asignado a u responsable por su mantenimiento.

Uso aceptable de los


activos tecnolgicos

3.2.1

Oportunidad de mejora

Responsabilidad por Recursos Ctricos

7.1.3

3.2

Cumplimiento

Estado del cliente

Si

Existe la descripcin del tratamiento de la informacin segn su


clasificacin, asi como los responsables por su manejo

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 5 de 20

El esquema de manejo de la informacin debe estar


apoyado por un SGSI concistente a lo largo de toda la
organizacin y respetarse de esta manera, las normas
de manejo de la informacin.

0.9

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.925

Ministerio de Defensa Nacional


PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 4 - Seguridad del Recurso Humano


Item ISO Ref

4.1

8.1

4.1.1

8.1.1

Requerimiento

Estado del cliente

Si

Existe una definicin de responsabilidades para cada rol dentro de la


organizacin pero an no se ha includo el detalle del tema de
seguridad de la informacin. Algunos roles son repartidos entre otros
perfiles

Oportunidad de mejora

Previo a la contratacin

Roles y responsabilidades

4.1.2

Cumplimiento

Aplica (SI/NO)

27%

Si

La Organizacin cumple satisfactoriamente con este control


incluyendo estudios de seguridad

Contar con los perfiles mnimos para cumplir los roles


faltantes necesarios. (Por ejemplo DBA). Inclur las
responsabilidades de seguridad en el SGSI
0.5

8.1.2
Investigacin del personal
que va a ser contratado

Observaciones

0.8166666667

Mantener el control implementado y describir el


procedimiento dentro del SGSI
1

4.1.3

Se cumple con el control y las descripciones de responsabilidades de


seguridad dentro de los contratos y acuerdos

8.1.3
Trminos y condiciones

Si

Mantener el control implementado y describir el


procedimiento dentro del SGSI
4
0.95

4.2

8.2

4.2.1

8.2.1

Durante el empleo

Supervisin de las
obligaciones

4.2.2

25%

Si

Se realizan constantes recordatorios sobre esquemas y controles de


seguridad a travs de medios tecnolgicos, pero no existe un plan
formal de entrenamiento o conciencia en seguridad.

8.2.2
Conciencia de la
seguridad, educacin y
entrenamiento

Las Directivas exigen a empleados, contratistas y usuarios de


terceras partes aplicar la seguridad en concordancia con las polticas
y los procedimientos establecidos de la organizacin.

Si

La participacin en seguridad de las directivas se


realiza ms que por su intencin en el fortalecimiento
de la seguridad, por requerimiento y regulaciones.
Esto puede mejorar con un plan de conciencia a nivel
directivo

0.9

0.7666666667

Realizar el plan de concientizacin, el entrenamiento


adecuado a los usuarios y la campaa completa de
divulgacin del SGSI
2

0.5
4.2.3

Son claros los descargos disciplinarios cuando se producen brechas


de seguridad

8.2.3
Procesos disciplinarios

Si

inclur el detalle de procesos disciplinarios y


descargos, dentro del manual de funciones, y en el
SGSI
3

0.9
4.3

8.3

4.3.1

8.3.1

Terminacin del contrato o cambio de empleo

Responsabilidades en la
terminacin del contrato

25%
Inclur el proceso en el SGSI cuando haya sido
implamentado

Si

La Organizacin cumple satisfactoriamente con este control

3
0.9

4.3.2

8.3.2

0.7666666667

Inclur el proceso en el SGSI cuando haya sido


implementado
Devolucin de activos
tecnolgicos

Si

La Organizacin cumple satisfactoriamente con este control

3
0.9

4.3.3

8.3.3
Eliminacin de permisos
sobre los activos

Si

Se elilminan los permisos bajo requerimiento de Talento Humano

Si bien se realizan las actividades de control sobre los


privilegiuos ya no necesarios, no es una actividad
formalizada. Debe establecerse un procedimiento
formal y concistente dentro del SGSI
0.5

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 6 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 5 - Seguridad Fsica y Ambiental


Item ISO Ref

5.1

9.1

5.1.1

9.1.1

5.1.2

9.1.2

5.1.3

9.1.3

5.1.4

Requerimiento

Estado del cliente

Cumplimiento

Oportunidad de mejora

No descuidar la revisin peridica del funcionamiento


de estos procedimientos y controles

Observaciones

Areas Restringidas
Permetro de
Seguridad Fsica
Controles fsicos de
entrada
Aseguramiento de
oficinas, cuartos e
instalaciones

43%

Si

La Organizacin cumple satisfactoriamente con este control

0.95
Si

La Organizacin cumple satisfactoriamente con este control

Si

Todas las reas dentro de las instalaciones se encuentran


controladas y monitoreadas. Se mantienen cerradas las puertas de
las oficinas.

4
0.95

Inclur la descripcin de las precauciones de seguridad


en oficinas en el SGSI. Algunas reas de
procesamiento son visibles desde el exterior ya que no
tienen cortinas o persianas

Algunas oficinas quedan muy cerca de los baos, lo


que puede generer incomodidad en el personal.
Algunas oficinas no cuentan con cortinas o persianas,
lo que eleva la temperatura sobre los activos de
informacin y las personas

Si

Actualmente no hay unos esquemas definidos en el area de TI para


garantizar que se generen afectaciones por parte de amenazas
externas o ambientales.

9.1.5
Trabajo en reas
restringidas

0.85

Mantener el esquema.

9.1.4
Proteccin contra
amenazas externas y
ambientales

5.1.5

Aplica (SI/NO)

Si

La Organizacin cumple satisfactoriamente con este control

No descuidar los controles de acompaamiento y


registro de todos los usuarios que ingresan a reas
restringidas

Inclur poticas de acceso por reas de carga y


descarga en el SGSI

0.9

0.5

0.9
5.1.6

9.1.6

5.2

9.2

5.2.1

9.2.1

Acceso pblico,
envos y reas de
carga

Si

La Organizacin cumple satisfactoriamente con este control

0.9

Seguridad de los Componentes Tecnolgicos

Ubicacin y
proteccin de equipos
tecnolgicos

Si

43%

Se ubican los equipos tecnolgicos buscando mantener el menor


nivel de exposicin a terceros o visitantes

Debe reforzarse el esquema estableciendo una


directiva explicita o una poltica dentro del SGSI que
requiera la proteccin y ubicacin de los equipos
tecnolgicos en areas protegidas a la vista (cortinas o
persianas y puertas cerradas)
0.50

5.2.2

5.2.3

5.2.4

9.2.2

9.2.3

Seguridad en el
suministro de
electricidad
Seguridad en el
cableado

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema. Se debe tambin eliminar todo


cableado obsoleto o en desuso lo antes posible.

0.90
Si

La Organizacin cumple satisfactoriamente con este control

0.90

9.2.4
Mantenimiento

5.2.5

Si

Se debe mantener el esquema de UPSs y plantas


elctricas en optimas condiciones

Si

9.2.5
Seguridad de equipos
fuera de las reas
seguras

La Organizacin cumple satisfactoriamente con este control

Se mantienen controles extrictos sobre la salida de equipos e


informacin.
Si

Se debe mantener el esquema de contratos de


mantenimiento
constantes
sobre
los
equipos
tecnolgicos.

0.95

El SGSI debe dictaminar las polticas de uso de equipos


de cmputo fuera de las instalaciones de la
organizacin que permitan a directivos y altos rangos,
conocer los requerimientos de seguridad para el uso
de estos elementos
0.90

5.2.6

9.2.6

Destruccin y
reutilizacin de
equipos

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

SI

El rea de soporte interno se encarga del manejo adecuado de los


medios fijos o removibles de almacenamiento

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 7 de 20

Se debe reforzar la prctica de disposicin de medios


de almacenamiento y reutilizacin de equipos
mediante una poltica fuerte dentro dels SGSI que no
discrimine ningn caso.

0.90

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.86

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 5 - Seguridad Fsica y Ambiental


Item ISO Ref
5.2.7

Requerimiento

Aplica (SI/NO)

Extraccin de activos
informticos

Si

Estado del cliente

Cumplimiento

Oportunidad de mejora

Este esquema debe revisarse y monitorearse


constantemente para corregir posibles fallas en los
controles.

9.2.7
La Organizacin cumple satisfactoriamente con este control

Observaciones

0.95

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 8 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item ISO Ref

6.1

10.1

6.1.1

10.1.1

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Oportunidad de mejora

Los
manuales
deben
inclur
procedimientos
contingentes del era, as como las actividades en
casos de emergencia. Todo debeestar alineado o
includo en el SGSI

Los registros de control de cambios deben inclur los


elementos de seguridad necesarios, la proteccin y
revisin de los mismos y su inclusin en el SGSI

Observaciones

Procedimientos Operacionales y Responsabilidades

Documentacin de
procesos operativos

Si

4%

Se mantienen manuales operativos sobre los procesos


fundamentales del rea.

0.50
6.1.2

10.1.2
Control de Cambios

Si

Se encuentran formatos y registros de control de cambios de


paso a produccin por medio del correo electrnico

Si

Se evidenciaron fallas importantes en el esquema de


segregacin de funciones. Especficamente en el manejo de
bases de datos y archivos de los sistemas de Talento
Humano. Falta el Rol de Administrador de Base de Datos. Se
vieron casos similares como los Desarrolladores,
administradores de algunas plataformas y operadores, en
que sin su presencia no puede seguir funcionando el
proceso.

69.0%

0.40

0.50
6.1.3

10.1.3
Segregacin de
funciones

6.1.4

10.1.4

6.2

10.2

6.2.1

10.2.1

Separacin de los
ambientes de
Desarrollo, prueba y
produccin

0.10

Los controles y proteccin de los datos deben ser


iguales tanto para produccin como para desarrollo y
pruebas dado que son los mismos. El SGSI debera
inclur lineamientos de manejo de los datos en
Desarrollo y Pruebas.

Administracin de Servicios de terceros

Prestacin de servicios
6.2.2

Si

Se cuentan con ambientes de Produccin y Desarrollo


separados. Los datos en el ambiente de desarrollo y pruebas
son datos reales de produccin

La informacin debe mantener un esquema estructural


para que los sitemas de informacin funcionen segura
y coordinadamente. Se requiere al menos un DBA
dedicado a estas funciones con el fin de inclur los
controles mnimos de seguridad sobre los datos y
mantener la segregacipn de funciones.

Si

La Organizacin cumple satisfactoriamente con este control

10.2.2
Monitoreo y revisin de
servicios de terceros

Si

0.50
8%

La Organizacin cumple satisfactoriamente con este control

Adems de la parte contractual y acuerdos de nivel de


servicio, debe mantenerse el registro y polticas de
seguridad sobre terceros.

0.90

0.77

Se debe aprender de las auditoras realizadas a los


contratos de los terceros y revisar los controles
implementados para cada contrato con el fin de
mejorar en el siguiente ciclo del SGSI
0.90

6.2.3

10.2.3
Administracin de
cambios a servicios de
terceros

Si

La Organizacin cumple satisfactoriamente con este control

A pesar de que se cumple satisfactoriamente con el


control es necesario que se reevalen los riesgos y
revisen las polticas con terceros, al cumplir con la
revisin del SGSI peridicamente.
0.50

6.3

10.3

6.3.1

10.3.1

Planeamiento y aceptacin de sistemas

Administracin de la
capacidad

Si

9%

La Organizacin cumple satisfactoriamente con este control

Se manrtienen los controles de monitoreo sobre


capacidad de recursos, sin embargo la migracin a los
nuevos recursos toma mas tiempo del esperado.
0.90

6.3.2

10.3.2
Aceptacin de sistemas

Si

La Organizacin cumple satisfactoriamente con este control

0.90

Algunos sistemas ya aceptados para migracin, se han


demorado en su puesta en produccin (Nueva nmina,
Sistemas operativos, Bases de datos)
0.90

6.4

10.4

Proteccin contra cdigo malicioso y mvil

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

5%

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 9 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item ISO Ref
6.4.1

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

10.4.1
Controles contra cdigo
malicioso

Si

La Organizacin cumple satisfactoriamente con este control

Oportunidad de mejora

Observaciones

Mantener el esquema de revisin a toda la red,


incrementar los controles manualmente a equipos
detectados con infeccin. Realizar una revisin
completa cada cierto periodo de tiempo, se
recomienda cada mes para activos crticos, cada 3
meses para el resto.
0.90

6.4.2

10.4.2
Controles contra cdigo
mvil

Si

No se realizan controles adecuados para detener cdigo


malicioso mvil (gusanos, troyanos, etc.), ms que las
definiciones includas en el antivirus.

0.50

El control mas adecuado para la primera lnea de


defensa en contra de este tipo de malware es la
segmentacin de la red. Control que no se encuentra
adecuadamente implementado.
0.10

6.5

10.5

6.5.1

10.5.1

Copias de seguridad

Respaldo de la
informacin.

9.5%

Si

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema de backups y extenderlo a


sistemas de informacin alterantivos como son los
usuarios finales.
0.95

6.6

10.6

6.6.1

10.6.1

Administracin de la seguridad de la red

Controles de la Red

Si

1%
A pesar de contar con los elementos necesarios para el
monitoreo de la red, no se realizan controles adecuados
sobre trfico, conexiones o revisin de anomalas.

Se debe replantear la arquitectura de seguridad en la


red LAN, para ubicar y configurar correctamente todos
los elementos de seguridad y monitoreo en la red. Esto
debe esta acompaado de una poltica de seguridad
en el SGSI
0.10

6.6.2

10.6.2
Seguridad de los
Servicios de Red

Si

La red interna no se encuentra correctamente segmentada


por lo que es posible acceder directamente a los servicios de
red en todos los servidores, el nico control realizado es
atravs de los usuarios del dominio.

0.10

Segmentar de forma lgica la red, para mantener un


adecuado control sobre todos los servicios de red.
1
0.10

6.7

10.7

6.7.1

10.7.1

Manipulacin de mdios

6%
Existe una poltica estricta sobre el
removibles dentro de la organizacin

Administracin de
medios removibles

uso

de medios

Si

Mantener el control e inclur la poltica


excepciones, documentada en el SGSI

sus

4
0.95

6.7.2

10.7.2
Destruccin de medios

Si

La organizacin cuenta con elementos de destruccin


documental, y realiza la disposicin segura de medios
cuando es requerido por parte de soporte interno.

0.61

Es necesario establecer una poltica rigurosa en el


SGSI acompaada de un procedimiento para la
destruccin de medios especficamente identificados.
0.50

6.7.3

10.7.3
Procedimientos de
manejo de la
informacin

En la definicin de tipos de informacin se menciona el uso


adecuado de la misma en cada caso.
Si

Se debe fortalecer el esquema de manejo de tipos de


informacin, estableciendo dentro del SGSI y en una
poltica formal, la forma adecuada del manejo de la
informacin.
0.50

6.7.4

10.7.4
Seguridad de la
documentacin de los
sistemas

6.8

10.8

Si

La Organizacin cumple satisfactoriamente con este control

Los manuales de uso de los sistemas son almacenados


por parte de los responsables de los mismos. Sin
embargo no hay una formalidad en el almacenamiento
de procedimientos e inventario de manuales y otros
documentos

Intercambio de informacin

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

0.50
5%

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 10 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item ISO Ref
6.8.1

6.8.2

10.8.1

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Si

Los lineamientos con respecto a intercambio de informacin


son includos a nivel de contrataciones y de acuerdos con
entes reguladores, sin embargo no hay una formalidad en
cuanto al manejo segn el tipo de informacin a
intercambiar.

Polticas y
procedimientos del
intercambio de
informacin

10.8.2
Acuerdos para el
intercambio

6.8.3

10.8.3

0.50

No se conoce una prctica formal de proteccin para los


medios en movimiento.
Medios fsicos en
movimiento

Si

Observaciones

Inclur en el SGSI una poltica y procedimientos claros


del intercambio de informacin

Ademas de los acuerdos de confidencialidad, no se hacen


controles adicionales sobre el intercambio de informacin.
Si

Oportunidad de mejora

El manejo de informacin y su intercambio con


terceros debera inclur acuerdos sobre su transporte y
almacenamiento seguros al tratar y manipular la
informacin (por ejemplo comprimir y cifrar la
informacin)

0.50

0.50

En los casos en que sea necesario transportar


informacin, debe exigirse el cumplimiento de una
poltica de proteccin para esta informacin. La
poltica y procedimientos deben ser estrictas e
includas en el SGSI
0.10

6.8.4

10.8.4
Mensajera Electrnica

Si

El correo electrnico es el medio principal de comunicacin


de la organizacin. Tambin se utiliza como repositorio de
registros, actas, y otro tipo de constancias auditables.

Se debe mantener el esquema de seguridad sobre el


correo a nivel de contingencias, antivirus, antispam y
revisar peridicamente la efectividad de todos los
controles
0.90

6.8.5

10.8.5

6.9

10.9

6.9.1

10.9.1

6.9.2

6.9.3

Sistemas de
informacion de
negocios

Si

0.50
9%
N/A

Comercio Electrnico

No

Transacciones en Lnea

No

Informacin pblica

6.9.1

10.1.0.1

Si

N/A

No se prestan servicios de
este tipo

N/A

No se prestan servicios de
este tipo

N/A

10.9.3

10.10

Los controles sobre las plataformas del proceso son


adecuados pero hace falta la documentacin y
polticas formales implementadas en un SGSI

Servicios de Comercio Electrnico

10.9.2

9.1

La Organizacin cumple satisfactoriamente con este control.


En este caso la lnea de negocio hace referencia al proceso
de talento humano.

Las pginas informativas de la orgnizacin se encuentran


adecuadamente estructuradas en cuanto a la seguridad de
su contenido. Se encontraron algunas vulnerabilidades
menores asociadas con los servidores donde se encuentra
dicha informacin.

Asegurar los servidores donde est contenida la


informacin pblica. Revisar las recomendaciones del
informe de pruebas externas.
0.90

Monitoreo

Auditora de registros

8%

Si

La Organizacin cumple satisfactoriamente con este control

Si

Los sitemas de monitoreo son adecuados pero deben


utilizarse ms estricta y formalmente en la red

Mantener el esquema
implementado. Realizar
revisiones peridicas a los registros y determinar un
poltica de almacenamiento que detalle los trminos y
responsabilidades, as como los mecanismos de
seguridad para tales registros.
0.90

6.9.2

6.9.3

10.1.0.2

Uso de sistemas de
monitoreo

10.1.0.3
Proteccin de registros
de monitoreo

Si

La Organizacin cumple satisfactoriamente con este control

Los registros de los sistemas de monitoreo deben ser


revisados peridicamente en busca de mejoras en su
implementacin y uso.

0.77

0.90

El acceso a los registros debe ser exclusivo para los


auditores, administradores de la plataforma y oficial de
seguridad.
0.90

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 11 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 6 - Administracin de Operaciones y Comunicaciones


Item ISO Ref
6.9.4

6.9.5

10.1.0.4

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Oportunidad de mejora

Registros de monitoreo
de administradores y
operadores

Si

La Organizacin cumple satisfactoriamente con este control

Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
reaccin a incidentes.

Realizar
las
revisiones
peridicas,
definir
el
procedimieto de monitoreo y su relacin con el de
atencion de incidentes.

0.90

10.1.0.5
Registro de fallas

Observaciones

Si

La Organizacin cumple satisfactoriamente con este control

0.90
6.9.6

10.1.0.6
Sincrona

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Si

No se tienen registros sobre la sincrona de sistemas en la


organizacin.

Se debe disear e implementar un procedimiento de


sincronizacin de todos los Sistemas y Aplicaciones,
con un sistema unificado para toda la plataforma
tecnolgica de la organizacin.

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 12 de 20

0.10

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

Oportunidad de mejora

Observaciones
14.20

7.1

11.1

7.1

11.1.1

7.2

11.2

7.2.1

11.2.1

Control de acceso a la informacin de acuerdo a las necesidades del negocio.


Poltica de Control de
Acceso

7%

No existe poltica formalmente definida y divulgada


SI

Disear e implementar una poltica de control de


acceso de usuarios que incluya los procesos
necesarios para autorizacin y control de acceso a los
SI

0.50

Administracin de acceso de los usuarios

Registro de Usuarios

SI

10%
Se realiza un proceso de registro de usuarios para cada individuo
con perfiles y permisos asignados segn justifique el caso. No se
realiza un seguimiento peridico y formal a los usuarios en desuso
del sistema. Se revisan usuarios bajo requerimiento

Disear e implementar una poltica de control de


acceso de usuarios que incluya los procesos
necesarios para autorizacin y control de acceso a los
SI, inclur en el proceso, la periodicidad y rigurosidad
de la revisin de los usuarios creados.
0.90

7.2.2

11.2.2
Administracin de
privilegios

7.2.3

SI

La Organizacin cumple satisfactoriamente con este control

3*

11.2.3
Administracin de
Contraseas

SI

Se tienen directivas sobre el uso y administracin de contraseas,


sin embargo hace falta una formalidad en el procedimiento y
auditoras al uso de las mismas.

Mantener el esquema implementado. Sin embargo el


esquema sobre Bases de Datos debe ser revisado ya
que no existe un control formal ni un responsable por
su administracin.

0.70

* Este valor se encuentra


en 0 para el caso de bases
de datos
0.90

Documentar dentro del SGSI una poltica de


administracin de contraseas formal que incluya
manejo, almacenamiento, cambio y construccin de
contraseas.
0.50

7.2.4

11.2.4

7.3

11.3

7.3.1

11.3.1

Revisin de los
permisos asignados a
los usuarios

SI

No se realiza la tarea periodicamente con el detalle requerido para


identificar inconvenientes con los perfiles.

Definir la periodicidad y detalle del procedimiento de


revisin de privilegios.
0.50

Responsabilidades de los usuarios

Uso de las
contraseas

SI

9%
Los usuarios utilizan contraseas triviales, a pesar de las polticas
electrnicamente definidas para crear contraseas.

Realizar el plan de concientizacin y entrenamiento


debidos con respecto al tema
0.50

7.3.2

11.3.2
Equipos desatendidos

SI

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema implementado. Fortalecer el


esquema con charlas de conciencia en seguridad.

Realizar el plan de concientizacin y entrenamiento


debidos con respecto al tema

0.63

0.90
7.3.3

11.3.3

7.4

11.4

7.4.1

11.4.1

Poltica de escritorios
y pantallas limpias

7.4.3

11.4.2

SI

0.50

Control de acceso a la red de datos

7%
No existe poltica formalmente definida

Polticas para el uso


de los servicios de la
red de datos
7.4.2

No se realiza una prctica efectiva sobre este tipo de control.

Autenticacin de
usuarios para
conexiones externas

SI

SI

La Organizacin cumple satisfactoriamente con este control

Disear e implementar una poltica de uso de los


servicios de red que especifique la intencin de uso de
excllusivamente los servicios necesarios. Implementar
los procedimientos de autorizacin y control
necesarios.

No se permiten accesos remotos a los sistemas. Si se


requiere habilitar a un usuario en este esquema, se
deber formalizar una poltica estricta.

11.4.3
Identificacin de
equipos en la red

SI

Se cuenta con herramientas para la identificacin de equipos en la


red, pero no se mantienen controles sobre equipos de terceros

0.50

0.90

Implementar un procedimiento de control de equipos


conectados a la red, empleando herramientas
tecnolgicas o polticas de conexin e inventariado.
0.50

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 13 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.50

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

Oportunidad de mejora

Observaciones
14.20

7.4.4

7.4.5

11.4.4

Diagnstico remoto y
proteccin de la
configuracin de
puertos

Todos los puertos de diagnstico se encuentran protegidos


fsicamente por las directivas de acceso al centro de cmputo.
SI

0.90

11.4.5

No se hace segmentacin de la red.


Segregacin en la red

Si bin se cuenta con la proteccin de los sistemas y


su acceso a los mismos, debe hacerse explcito un
control sobre los puertos de diagnstico a los
sistemas.

SI

Debe implementarse inmediatamente una poltica y un


plan de segmentacin de la red.
0.10

7.4.6

11.4.6
Control de conexin a
la red

7.4.7

SI

11.4.7
Control de
enrutamiento de la
red

No se tiene un adecuado control de equipos a la red

Ya que no hay segmentacin de la red, no hay control de las rutas en


la red.
SI

Ademas de no tener un control de conexiones a la red


por puerto, se facilita la conexin al mantener un
esquema de DHCP. Se recomienda despus de
segmentar la red, implementar controles como Filtrado
por MAC, ACLs, y deshabilitado de puertos en reas
comunes entre otros.

0.50

Deben establecerse rutas claras y puntos de control de


entrada y salida entre las diversas subredes.
1
0.10

7.5

11.5

7.5.1

11.5.1

Control de acceso a los sistemas operativos

Procedimientos para
inicio de sesin de las
estaciones de trabajo

12%
Implementar mtodos alternativos al servicio Terminal
Services, que utilice cifrado en sus conexiones.

SI

La Organizacin cumple satisfactoriamente con este control

3
0.90

7.5.2

7.5.3

7.5.4

11.5.2

11.5.3

Identificacin y
autenticacin de los
usuarios.
Sistema de
administracin de
contraseas.

SI

La Organizacin cumple satisfactoriamente con este control

0.90

SI

La Organizacin cumple satisfactoriamente con este control


(Polticas del directorio activo)

Mantener el esquema implementado. Extender el


esquema a aplicaciones
0.90

11.5.4
Uso de las utilidades
del sistema

Durante la campaa de concientizacin, exponer los


riesgos al compartir el usuario de red.

SI

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema implementado. Extender las


restricciones en el dominio para todos los usuarios
finales.
0.90

7.5.5

11.5.5
Time-out para las
estaciones de trabajo.

7.5.6

7.6

11.5.6

11.6

Limitacin en los
periodos de tiempo
de conexin a
servicios y
aplicaciones

SI

La Organizacin cumple satisfactoriamente con este control, en las


estaciones de trabajo empleando bloqueo de pantalla automtico.

Para las estaciones de administracin, los tiempos


deben ser ms cortos y automticamente deben
terminar la sesin activa en caso de inactividad, desde
una terminal remota.

0.90

Todos los servicios de administracin, especialmente


los remotos, deben inclur una limitante en los tiempos
y horario de acceso. Para los servicios de Carga y
Recoleccin de datos debera regularse el horario de
conexiones.

0.50

Se realiza el control en la mayora de casos. Para otros sistemas, la


tecnologa no lo permite.
SI

Control de acceso a las aplicaciones

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

7%

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 14 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.83

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 7 - Control de Acceso


Item ISO Ref

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

Oportunidad de mejora

Observaciones
14.20

7.6.1

11.6.1
Restriccin de acceso
a los sistemas de
informacin

SI

La Organizacin cumple satisfactoriamente con este control

Extender los controles a las aplicacionoes que ya no lo


permiten por medio de controles adicionales como el
Directorio activo o un Firewall de Host.

0.90
7.6.2

11.6.2
Aislamiento de
sistemas sensibles

SI

No se cuenta con un esquema de aislamiento de sistemas sensibles.


Todo se reune en la misma red.

50%

Los sistemas ms crticos como bases de datos y


servidores de aplicaciones se encuentran aislados en
una granja de servidores, sin embargo es necesario
hacer lo mismo con los servidores de desarrollo o
pruebas que manejan la misma informacin.
0.10

7.8

11.7

7.8.1

11.7.1

Computacin Mvil y Teletrabajo

4%
No existe una poltica formal sobre el uso de computacin mvil

Computacin Mvil y
comunicacioines

SI

Disear e implementar una poltica de control de


computacin mvil, acompaada del procedimiento
adecuado de control a ciertos equipos.
0.10

7.8.2

11.7.2

No existe una poltica formal sobre actividades de teletrabajo. Sin


embargo tampoco se permite el teletrabajo en el rea.
Teletrabajo

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

SI

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 15 de 20

Disear e iplementar una poltica deTeletrabajo,


acompaada del procedimiento adecuado de control
que incluya las prcticas permitidas y los mecanismos
de control, y los escenarios eventuales en que es
permitida la prctica.

0.50

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.30

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin


Item ISO Ref

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

Oportunidad de mejora

Observaciones
16.6

8.1

12.1

Requerimientos de seguridad para los sistemas de informacin

8.1.1

12.1.1

Anlisis y
especificaciones de
los requerimientos de
seguridad

8.2

12.2

Procesamiento correcto en aplicaciones

12.2.1

Validacin de los
datos de entrada

12.2.2

Control del
procesamiento
interno

8.2.1

Si

8%

Si bin se hacen recomendaciones puntuales a nivel de seguridad,


no se cuenta con una gua formal de implementacin de seguridad a
nuevos sistemas.

Debe implementarse una gua con lineamientos claros,


alineada al SGSI,que exija unos mnimos lineamientos
en el desarrollo y puesta en marcha de nuevos
sistemas de informacin.
0.5

Si

3%

No se cuenta con un estndar para el desarrollo seguro de


aplicaciones

Implementar un estndar de desarrollo seguro de


aplicaciones que cumpla con las polticas especficas
de
seguridad,
en
la
revisin
de
entradas,
procesamiento y salidas de informacin.
0.1

8.2.2

8.2.3

12.2.3

Integridad de los
mensajes

Si

Si

No se cuenta con un estndar para el desarrollo seguro de


aplicaciones

Los controles de integridad estn sujetos al usuario que origina los


datos

Implementar un estndar de desarrollo seguro de


aplicaciones que cumpla con las polticas especficas
de
seguridad,
en
la
revisin
de
entradas,
procesamiento y salidas de informacin.

0.2

0.1

Implementar mecanismos de cifrado de canales, de


certificados digitales o de no repudio en la entrada de
datos, almacenamiento temporal y autenticacin sobre
las aplicaciones de carga y procesamiento de datos.
0.5

8.2.4

12.2.4

Validacin de los
datos de salida

8.3

12.3

Controles Criptogrficos

8.3.1

12.3.1

Si

No se cuenta con un estndar para el desarrollo seguro de


aplicaciones

Implementar un estndar de desarrollo seguro de


aplicaciones que cumpla con las polticas especficas
de
seguridad,
en
la
revisin
de
entradas,
procesamiento y salidas de informacin.
0.1

Poltica para el uso de


controles
criptogrficos
8.3.2

5%
La organizacin emplea controles criptogrficos bajo requerimiento
y en casos particulares.
Si

12.3.2
Administracin de
llaves

No hay una poltica formal en el rea para la administracin de


llaves de encripcin.
Si

Los esquemas criptogrficos deben ser obligatorios


para el manejo y transporte de informacin por encima
de "reservada" dentro de la clasificacin de
informacin. Este esquema debe ser formalmente
descrito en una poltica dentro del SGSI

0.5

0.3

una vez implementados los controles criptogrficos, es


necesario definir e implementar una poltica y
procedimiento
de
administracin
de
llaves
criptogrficas.
0.1

8.4

12.4

8.4.1

12.4.1

Seguridad en los archivos del sistema (System Files)

Control del software


operacional
8.4.2

Si

13%

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema implementado de revisin de


sistemas y de puesta en produccin. No se debe
permitir en ningn caso la instalacin de software sin
el permiso adecuado.

Implementar esquemas de proteccin de los datos de


produccin,
cambiandolos
o
eliminando
completamente los mismos al terminar las pruebas.
Este escenario cambiara el esquema actual de usar el
servidor de pruebas y desarrollo como contingencia de
produccin.

12.4.2

Proteccin de los
datos en sistemas de
prueba

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Si

Se utilizan datos del ambiente de produccin en el ambiente de


pruebas

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 16 de 20

0.9

0.7666666667

0.5

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 8 - Desarrollo, Mantenimiento y adquisicin de Sistemas de Informacin


Item ISO Ref

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Oportunidad de mejora

Mantener el esquema implementado. Debe hacerse


explcito el procedimiento, alineado a un SGSI y
divulgado.

Observaciones
16.6

8.4.3

12.4.3
Control de acceso a
las libreras de cdigo
fuente

8.5

12.5

8.5.1

12.5.1

8.5.4

0.9
15%
Mantener el esquema implementado.
Si

La Organizacin cumple satisfactoriamente con este control

3
0.9

12.5.2

Mantener el esquema implementado.


Revisin tcnica de
aplicaciones despues
de cambios al sistema
operativo

8.5.3

La Organizacin cumple satisfactoriamente con este control

Seguridad en el desarrollo y en los procesos de soporte tcnico


Procedimientos para
el control de cambios

8.5.2

Si

12.5.3

Restricciones a
cambios en paquetes
de software

Si

La Organizacin cumple satisfactoriamente con este control

3
0.9
Mantener el esquema implementado.

Si

La Organizacin cumple satisfactoriamente con este control

3
0.9

12.5.4
Si

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema implementado. Dada la


criticidad de la informacin, y aunque el esquema es
satisfactorio para la norma ISO, debe fortalecerse el
esquema de proteccin contra fugas de informacin
empleando todos los controles necesarios (tcnicos,
polticas, acuerdos, etc.)

Fuga de informacin
8.5.5

12.5.5

8.6

12.6

8.6.1

12.6.1

Desarrollo de
software por parte de
Outsourcing

0.9
Si

La Organizacin cumple satisfactoriamente con este control

Mantener el esquema implementado. Sin embargo se


debe crear una gua fundamental de principios de
seguridad a tener en cuenta por parte de los terceros.

Administracin Tcnica de Vulnerabilidades

Si

0.9
8%

La Organizacin realiza pruebas de vulnerabilidad a sus sistemas


crticos bajo requerimiento.

Control tcnico de
vulnerabilidades

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Este aspecto debe ser


fortalecido notablemnente
con un SGSI maduro y
consistente

Dada la critricidad de la informacin, denbera


implementarse un esquema de pruebas internas (ya
sea por capacitacin de un funcionario o por un
sistema) que permita una revisin peridica interna al
respecto
0.5

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 17 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.9

Grupo ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 9 - Administracin de Incidentes de Seguridad Informtica


Item ISO Ref

9.1

9.1.1

13.1

13.1.1

Requerimiento

Aplica (SI/NO)

Cumplimiento

Estado del cliente

Oportunidad de mejora

Observaciones

Reporte de eventos de seguridad informtica y de sus debilidades

Reporte de eventos
de Seguridad de la
informacin.

Si

15%

Hace falta la identificacin de los incidentes concernientes a la


seguridad de la informacin. Se hacen actividades de reporte en la
mesa de ayuda pero no se cuenta con un estandar alineado a un
SGSI

Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente los incidentes
relacionados con la seguridad de la informacin y su
reporte. La caracterizacin debe traducirse en la forma
como se hace seguimiento en la mesa de ayuda y
dentro del grupo de seguridad
0.50

Hace falta la identificacin de las debilidades concernientes a la


seguridad en todos los aspectos (anlisis de riesgos de seguridad de
la informacin interno y peridico)

9.1.2

13.1.2

Reporte de
debilidades de
seguridad

9.2

13.2

Administracin de incidentes de seguridad informtica y de su mejoramiento

Si

0.30

Durante
la
campaa
de
concientizacion
y
entrenamiento, identificar claramente las debilidades
relacionados con la seguridad de la informacin y su
reporte. Adicionalmente con la implementacin del
SGSI, este tema se har formal y maduro
0.10

9.2.1

13.2.1

Responsabilidades y
procedimientos

Si

12%

No hay un documento formal y divulgado sobre las


responsabilidades de cada rol en un incidente de seguridad de la
informacin.

Documentar y divulgar formalmente


implementado dentro del marco del SGSI

el

proceso

1
0.10

9.2.2

9.2.3

13.2.2

13.2.3

Aprendizaje a partir
de los incidentes de
seguridad

Recoleccin de
evidencia

Si

Si

Se realizan estudios de algunos incidentes de seguridad. Los


eventos ms importantes e impactantes son revisados.

No se tiene la conciencia de la gravedad de un incidente de


seguridad (a nivel de usuarios finales) lo que hace lento el proceso
de recoleccin de evidencia.

Adems de tipificar esta labor como parte de las


actividades del oficial de seguridad, definir el
procedimiento adecuado en el SGSI y realizar la
revisin a todos los repotes de incidentes e inclurlos
en el plan de mejoramiento

0.50

Disear e implemetnar el procedimiento detallado de


recoleccin de evidencia que permita de forma
efectiva obtener toda la informacin necesaria.
0.10

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 18 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.23

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 10 - Administracin de Continuidad del Negocio Business Continuity Planning & Disaster Recovery Planning (BCP-DRP)
Item ISO Ref

10.1

14.1

10.1.1 14.1.1

Requerimiento

Aplica (SI/NO)

Consideraciones para la administracin de la continuidad del negocio


Inclusin de
No existe una poltca de seguridad definida dentro de un SGSI, que
seguridad de la
incluya directivas en cuanto a la administracin de continuidad del
informacin en el
negocio. (para todos los sistemas)
proceso de
Si
administracin de la
continuidad del
negocio

10.1.2 14.1.2
Continuidad del
negocio y anlisis de
impacto
10.1.3 14.1.3

10.1.4 14.1.4

10.1.5 14.1.5

Estado del cliente

Desarrollo e
implementacin de
planes de continuidad
Marco de planeacin
para la continuidad
del negocio
Pruebas,
mantenimiento y
revisin de los planes
de continuidad del
negocio

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

Si

Si

Si

El estudio y anlisis del riesgo para el desarrollo de los planes de


continuidad del negocio, se encuentran desactualizados, o en
algunos casos no existen.

No se han implementado los planes de continuidad del negocio en


todos los procesos crticos

Se debera mantener un esquema nico de planes de continuidad


del negocio para garantizar que dichos planes son consistentes,
para tratar los requisitos de seguridad y para identificar las
prioridades de prueba y mantenimiento.

Cumplimiento

Oportunidad de mejora

Una vez implementada la poltica de seguridad,


inclurla en el desarrollo de los planes de continuidad
del negocio y establecer planes para todos los
procesos crticos.

34%

0.34
0.5

No se realizan revisiones a los planes de continuidad del negocio


Si

Observaciones

Debe existir un anlisis peridico de tipo BIA y anlisis


de riesgos que haga particular detalle en las amenazas
inherentes a la organizacin. Esta actividad se
madurar con cada ciclo del SGSI
Una vez afinados y probados los planes de
continuidad, realizar la divulgacin e implementacin
respectiva y obligatoria.
Unificar los trminos de anlisis para el impacto y los
riesgos evaluados en los planes de continuidad del
negocio.

0.5

0.5

0.1

Realizar el seguimiento y revisin apropiados a los


planes de continuidad una vez hayan sido
implementados.
0.1

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 19 de 20

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

GRUPO ASD
PROYECTO DE SEGURIDAD INFORMTICA - ANLISIS DE BRECHA
MATRIZ DE VALORACIN ISO 27002

CAPTULO 11 - Cumplimiento y Normatividad Legal


Item ISO Ref

11.1

15.1

Requerimiento

Aplica (SI/NO)

Estado del cliente

Cumplimiento

Oportunidad de mejora

Extender la investigacin de legislaciones aplicables a


los temas de seguridad de la informacin.

Cumplimiento con requerimientos legales

26%

11.1.1 15.1.1
Identificacin de
leyes aplicables

Si

La Organizacin cumple satisfactoriamente con este control

0.95

11.1.2 15.1.2
Si

La Organizacin cumple satisfactoriamente con este control

3
0.9

11.1.3 15.1.3

Los registros organizacionales son administrados de la misma forma


que el resto de la informacin operacional de la organizacin
Si

11.1.5 15.1.5

11.1.6 15.1.6

10.2

15.2

Salvaguardar los
registros de la
organizacin
Proteccin de los
datos y privacidad de
la informacin
personal
Prevencin mal uso
de los componentes
tecnolgicos
Regulacin
decontroles
criptogrficos

Establecer procedimientos especiales de seguridad El control es satisfactorio


para los registros organizacionales.
por
la
adecuada
clasificacin de informacin
que se tiene y su manejo,
pero debe fortalecerse para
este tipo de datos.
0.9

Si

La Organizacin cumple satisfactoriamente con este control

Si

La Organizacin cumple satisfactoriamente con este control

Si

No se tienen identificados o aplicados los lineamientos especficos


sobre uso de controles criptogrficos a la innformacin

Extender la investigacin de legislaciones aplicables a


los temas de propiedad intelectual y personal, as
como derecho a la intimidad.
Establecer controles adems de la conciencia
corporativa, que permitan administrar y monitorear el
uso de los componentes tecnolgicos.
Debe realizarse la adecuada revisin de cuales
regulaciones afectan el uso de controles criptogrficos
y considerarlos para su implementacin

Revisin de la poltica de seguridad y cumplimiento tcnico

10.2.1 15.2.1
Cumplimiento de los
diferentes
requerimientos y
controles establecidos
por la poltica de
seguridad

Si

0.5

Si

Proteccin de las
herramientas para
auditora del sistema

Proyecto de Seguridad Informica


Anlisis de Riesgos
02/03/2015

0.5

Reforzar las revisiones a los planes de mejoramiento y


pruebas de vulnerabilidad a los SI.
2
0.5

Consideraciones relacionadas con la auditora interna

10.3.1 15.3.1

10.3.2 15.3.2

0.1

No existe poltica de seguridad formalmente establecida dentro del


marco de un SGSI

Controles para
auditora del sistema

0.9

Una vez establecida e implementada la poltica de


seguridad, realizar los controles al cumplimiento de la
misma

Chequeo del
cumplimiento tcnico
15.3

0.9

17%

No existe poltica de seguridad formalmente establecida dentro del


marco de un SGSI

10.2.2 15.2.2

10.3

0.775

Mantener el esquema implementado


Derechos de autor y
propiedad intelectual

11.1.4 15.1.4

Observaciones

10%

Si

Las auditoras se realizan sobre los registros y evidencias y no sobre


los sistemas de informacin.

Si

No se tienen identificadas herramientas particulares de auditora de


sistemas a nivel de seguridad de la informacin.

Documentar e implementar dentro del SGSI, los casos


y controles a tener en cuenta para las actividades de
auditora sobre sistemas en produccin.

Implementar la poltica de auditora de sistemas en


trminos de seguridad de la informacin y especificar
cuales son las herramientas para la actividad y sus
protecciones

CONFIDENCIAL
Este Documento Contiene 20 Pginas
Pgina 20 de 20

0.5

0.1

Referencia Interna de Digiware


FGT-07-02 V1
05/11/04
REV: D.C.
APR: C.C.

0.3