PLAN DE MEJORA EN SEGURIDAD.

NORMA ISO 270002

EMPRESA: Online S.A

SECTOR: Informática y telecomunicaciones.

CONSIDERACIÓN ASPECTOS CRITICOS:

Se realizo auditoria en la seguridad de activos de la empresa y se determinó los aspectos críticos o de mejora que se
consideran aquellos debajo del valor de incumplimiento de la política de seguridad de la información.
Valor de incumplimiento: 60

DOMINIOS: 11
OBJETIVOS DE CONTROL: 39
CONTROLES: 133
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo Escala visual de la valoración del control
NC.O Nivel de cumplimineto del dominio
PC Peso del control Alto Mas del 70% de cumplimiento
NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30%

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la
norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también
se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles.
 Objetivos % de cumplimiento de la norma
Dominios de Controles NC. NC.
Control Orientación Descripción PD PO NC. O PC Escala
D C
1 2 Política de Seguridad 1,5 70 100
2 Política de Seguridad de la Información 100 70
5
1 1 Debe Documento de la política de seguridad de la información 50 70 70
2 Debe Revisión de la política de seguridad de la información 50 70 70
2 11 Estructura organizativa para la seguridad 8,27 70 100
8 Organización Interna 72,73 50,91
1 Debe Comité de la dirección sobre seguridad de la información 9,09 70 70
2 Debe Coordinación de la seguridad de la información 9,09 70 70
3 Debe Asignación de responsabilidades para la de seguridad de la información 9,09 70 70
Proceso de autorización para instalaciones de procesamiento de
1
4 Debe información 9,09 70 70

6 5 Debe Acuerdos de confidencialidad 9,09 70 70

6 Puede Contacto con autoridades 9,09 70 70
7 Puede Contacto con grupos de interés 9,09 70 70
8 Puede Revisión independiente de la seguridad de la información 9,09 70 70
3 Terceras partes 27,27 19,09
1 Debe Identificación de riesgos por el acceso de terceras partes 9,09 70 70
2
2 Debe Temas de seguridad a tratar con clientes 9,09 70 70
3 Debe Temas de seguridad en acuerdos con terceras partes 9,09 70 70
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
2 5 Clasificación y control de activos 3,76 55 100
3 Responsabilidad sobre los activos 60 33
7 1 Debe Inventario de activos 20 60 60
1
2 Debe Propietario de activos 20 50 50
3 Debe Uso aceptable de los activos 20 55 55
 2 Clasificación de la información 40 22
2 1 Debe Guías de clasificación 20 60 60
2 Debe Etiquetado y manejo de la información 20 50 50
3 9 Seguridad en el personal 6,77 46,9 100
3 Antes del empleo 33,33 18,89
1 Debe Roles y responsabilidades 11,1 50 50
1
2 Debe Verificación 11,1 60 60
3 Debe Términos y condiciones de empleo 11,1 60 60
3 Durante el empleo 33,33 14,22
8 1 Debe Responsabilidades de la gerencia 11,1 50 50
2
2 Debe Educación y formación en seguridad de la información 11,1 40 40
3 Debe Procesos disciplinarios 11,1 38 38
3 Terminación o cambio del empleo 33,33 13,78
1 Debe Responsabilidades en la terminación 11,1 35 35
3
2 Debe Devolución de activos 11,1 40 40
3 Debe Eliminación de privilegios de acceso 11,1 49 49
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
2 13 Seguridad física y del entorno 9,77 58,5 100
6 Áreas Seguras 46,15 27,07
1 Debe Perímetro de seguridad física 7,69 65 65
2 Debe Controles de acceso físico 7,69 65 65
1 3 Debe Seguridad de oficinas, recintos e instalaciones 7,69 67 67
9
4 Debe Protección contra amenazas externas y ambientales 7,69 65 65
5 Debe Trabajo de áreas seguras 7,69 50 50
6 Puede Áreas de carga, entrega y áreas públicas 7,69 40 40
7 Seguridad de los Equipos 53,85 31,39
2
1 Debe Ubicación y protección del equipo 7,69 50 50
 2 Debe Herramientas de soporte 7,69 69 69
3 Debe Seguridad del cableado 7,69 65 65
4 Debe Mantenimiento de equipos 7,69 69 69
5 Debe Seguridad del equipamiento fuera de las instalaciones 7,69 65 65
6 Debe Seguridad en la reutilización o eliminación de equipos 7,69 50 50
7 Debe Movimientos de equipos 7,69 40 40
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
10 32 Gestión de comunicaciones y operaciones 24,1 43 100
4 Procedimientos operacionales y responsabilidades 12,5 5,31
1 Debe Procedimientos de operación documentados 3,13 40 40
1 2 Debe Control de cambios 3,13 35 35
3 Debe Separación de funciones 3,13 40 40
4 Debe Separación de las instalaciones de desarrollo y producción 3,13 55 55
3 Administración de servicios de terceras partes 9,38 4,22
1 Puede Entrega de servicios 3,12 40 40
2
2 Puede Monitoreo y revisión de servicios de terceros 3,12 45 45
3 Puede Manejo de cambios a servicios de terceros 3,12 50 50
10
2 Planificación y aceptación del sistema 6,25 2,81
3 1 Debe Planificación de la capacidad 3,13 40 40
2 Debe Aceptación del sistema 3,13 50 50
2 Protección contra software malicioso y móvil 6,25 2,97
4 1 Debe Controles contra software malicioso 3,13 50 50
2 Debe Controles contra código móvil 3,13 45 45
1 Copias de seguridad 3,13 1,25
5
1 Debe Información de copias de seguridad 3,13 40 40
2 Administración de la seguridad en redes 6,25 2,5
6
1 Debe Controles de redes 3,13 40 40
 2 Debe Seguridad de los servicios de red 3,13 40 40
4 Manejo de medios de soporte 12,5 5,63
1 Debe Administración de los medios de computación removibles 3,13 50 50
7 2 Debe Eliminación de medios 3,13 50 50
3 Debe Procedimientos para el manejo de la información 3,13 40 40
4 Debe Seguridad de la documentación del sistema 3,13 40 40
5 Intercambio de información 15,63 6,88
1 Debe Políticas y procedimientos para el intercambio de información 3,13 40 40
2 Puede Acuerdos de intercambio 3,13 40 40
8
3 Puede Medios físicos en transito 3,13 50 50
4 Puede Mensajes electrónicos 3,13 40 40
5 Puede Sistemas de información del negocio 3,13 50 50
3 Servicios de comercio electronico 9,38 3,44
1 Puede Comercio electronico 3,13 30 30
9
2 Puede Transacciones en línea 3,13 45 45
3 Puede Información públicamente disponible 3,13 35 35
6 Monitoreo y supervisión 18,75 7,97
1 Debe Logs de auditoria 3,13 30 30
2 Debe Monitoreo de uso de sistema 3,13 35 35
10 3 Debe Protección de los logs 3,13 40 40
4 Debe Registro de actividades de administrador y operador del sistema 3,13 45 45
5 Debe Fallas de login 3,13 50 50
6 Puede Sincronización del reloj 3,13 55 55
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
7 25 Control de accesos 18,8 50,6 100
11 1 Requisitos de negocio para el control de acceso 4 1,4
1
1 Debe Política de control de accesos 4 35
 4 Administración de acceso de usuarios 16 8
1 Debe Registro de usuarios 4 50
2 2 Debe Administración de privilegios 4 50
3 Debe Administración de contraseñas 4 50
4 Debe Revisión de los derechos de acceso de usuario 4 50
3 Responsabilidades de los usuarios 12 6,6
1 Debe Uso de contraseñas 4 55
3
2 Puede Equipos de cómputo de usuario desatendidos 4 55
3 Puede Política de escritorios y pantallas limpias 4 55
7 Control de acceso a redes 28 16,8
1 Debe Política de uso de los servicios de red 4 60
2 Puede Autenticación de usuarios para conexiones externas 4 60
3 Puede Identificación de equipos en la red 4 60
4
4 Debe Administración remota y protección de puertos 4 60
5 Puede Segmentación de redes 4 60
6 Debe Control de conexión a las redes 4 60
7 Debe Control de enrutamiento en la red 4 60
6 Control de acceso al sistema operativo 24 12
1 Debe Procedimientos seguros de Log-on en el sistema 4 50
2 Debe Identificación y autenticación de los usuarios 4 50
5 3 Debe Sistema de administración de contraseñas 4 50
4 Puede Uso de utilidades de sistema 4 50
5 Debe Inactividad de la sesión 4 50
6 Puede Limitación del tiempo de conexión 4 50
2 Control de acceso a las aplicaciones y la información 8 2,8
6 1 Puede Restricción del acceso a la información 4 35
2 Puede Aislamiento de sistemas sensibles 4 35
7 2 Ordenadores portátiles y teletrabajo 8 3
 1 Puede Ordenadores portátiles y comunicaciones moviles 4 35
2 Puede Teletrabajo 4 40
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
6 16 Desarrollo y mantenimiento de sistemas 12 75,3 100
1 Requerimientos de seguridad de sistemas de información 6,25 4,38
1
1 Debe Análisis y especificaciones de los requerimientos de seguridad 6,25 70 70
4 Procesamiento adecuado en aplicaciones 25 18,75
1 Debe Validación de los datos de entrada 6,25 75 75
2 2 Puede Controles de procesamiento interno 6,25 75 75
3 Puede Integridad de mensajes 6,25 75 75
4 Puede Validación de los datos de salida 6,25 75 75
2 Controles criptográficos 12,5 10
3 1 Puede Política de utilización de controles criptográficos 6,25 80 80
2 Puede Administración de llaves 6,25 80 80
12 3 Seguridad de los archivos del sistema 18,75 13,44
1 Debe Control del software operacional 6,25 70 70
4
2 Puede Protección de los datos de prueba del sistema 6,25 75 75
3 Debe Control de acceso al código fuente de las aplicaciones 6,25 70 70
5 Seguridad en los procesos de desarrollo y soporte 31,25 24,38
1 Debe Procedimientos de control de cambios 6,25 70 70
2 Debe Revisión técnica de los cambios en el sistema operativo 6,25 80 80
5
3 Puede Restricciones en los cambio a los paquetes de software 6,25 80 80
4 Debe Fugas de información 6,25 80 80
5 Debe Desarrollo externo de software 6,25 80 80
1 Gestión de vulnerabilidades técnicas 6,25 4,38
6
1 Debe Control de vulnerabilidades técnicas 100 70 70
 Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
2 5 Gestión de incidentes de la seguridad de la información 3,76 70 100
2 Notificando eventos de seguridad de la información y debilidades 40 28
1 1 Debe Reportando eventos de seguridad de la información 20 70 70
2 Puede Reportando debilidades de seguridad 20 70 70
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 42
1 Debe Procedimientos y responsabilidades 20 70 70
2
2 Puede Lecciones aprendidas 20 70 70
3 Debe Recolección de evidencia 20 70 70
1 5 Gestión de la continuidad del negocio 3,76 80 100
Aspectos de seguridad de la información en la gestión de continuidad del
5 negocio 100 80

Inclusión de seguridad de la información en el proceso de gestión de la

1 Debe continuidad del negocio 20 80 80
14 2 Debe Continuidad del negocio y análisis del riesgo 20 80 80
1
Desarrollo e implementación de planes de continuidad incluyendo
3 Debe seguridad de la información 20 80 80
4 Debe Marco para la planeación de la continuidad del negocio 20 80 80
Prueba, mantenimiento y reevaluación de los planes de continuidad del
5 Debe negocio 20 80 80
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
3 10 Cumplimiento 7,52 46,9 100
6 Cumplimiento con los requisitos legales 60 43,5
1 Debe Identificación de la legislación aplicable 10 75 75
15 2 Debe Derechos de propiedad intelectual (dpi) 10 75 75
1
3 Debe Protección de los registros de la organización 10 75 75
4 Debe Protección de datos y privacidad de la información personal 10 70 70
Prevención del uso inadecuado de los recursos de procesamiento de
5 Debe información 10 70 70
 6 Debe Regulación de controles para el uso de criptografía 10 70 70
Cumplimiento con las políticas y estándares de seguridad y cumplimiento
2 técnico 20 16
2
1 Debe Cumplimiento con las políticas y procedimientos 10 80 80
2 Debe Verificación de la cumplimiento técnico 10 80 80
2 Consideraciones de la auditoria de sistemas de información 20 15
3 1 Debe Controles de auditoria a los sistemas de información 10 70 70
2 Debe Protección de las herramientas de auditoria de sistemas 10 80 80
DOMINIO OBJETIVOS CRITICOS
CONTROL
Inventario de activos
Propietario de activos Uso aceptable
de los activos
7 Guías de clasificación Etiquetado y
manejo de la información
Roles y responsabilidades
Verificación
Términos y condiciones de empleo
Responsabilidades de la gerencia
Educación y formación en seguridad
de la información
Procesos disciplinarios
Terminación o cambio del empleo
8 Responsabilidades en la terminación
Devolución de activos
Eliminación de privilegios de acceso
Perímetro de seguridad física
Controles de acceso físico
VALOR PROPUESTA DE MEJORA
Elaborar formato de inventario de activos,
según su clasificación, confidencialidad,
proceso y responsable como: equipos de
cómputo, discos duros, archivos, base de
40 datos.
Elaborar formato de roles según su
responsabilidad se da los privilegios de
acceso a la información.
Capacitar al personal en seguridad de la
información.
50 Establecer medidas disciplinarias al
personal por incumplimiento de
confidencialidad de la información, como su
terminación de contrato.
Realizar informe mensual de entrega de
activos de información o recursos y cuando
se dé terminado el contrato.
Actualizar los permisos de acceso a la
información según el rol en la empresa.
Asignar los equipos en sitios adecuados.
Asignar controles de acceso físico para
personal no autorizado.
 Seguridad de oficinas, recintos e
instalaciones
9 Protección contra amenazas externas
y ambientales
Trabajo de áreas seguras
Áreas de carga, entrega y áreas
públicas
Procedimientos operacionales y
10 responsabilidades
Administración de servicios de
terceras partes
Planificación y aceptación del sistema
Protección contra software malicioso y
móvil
Copias de seguridad
Administración de la seguridad en
redes
Manejo de medios de soporte
Intercambio de información
Servicios de comercio electrónico
Monitoreo y supervisión
Establecer controles en el manejo y acceso
de la información en la base de datos.
45
Desarrollar plan de emergencia, evacuación
y protección contra amenazas externas y
ambientales de los activos físicos y lógicos
en la información.
55 Desarrollar políticas del manejo de la
información interna y externa, como la
transferencia de datos.
Documentar los procesos de control cuando
se realizan cambios en la configuración de
los equipos, manejo de incidentes, código
malicioso.
Realizar copias de seguridad diarias.
Implementar software que prevengan virus
malvare hasta en la nube
Realizar y documentar monitoreo en la red,
los accesos, transferencia de datos.
11 Requisitos de negocio para el control
de acceso
Administración de acceso de usuarios
Responsabilidades de los usuarios
Control de acceso a redes
Control de acceso al sistema
operativo
Control de acceso a las aplicaciones y
la información
Ordenadores portátiles y teletrabajo
60 Monitorizar el control de acceso a las
aplicaciones, base de datos de la empresa.
Definir roles y asignar contraseña a los
usuarios según su responsabilidad en la
empresa.
Definir políticas de registro al sistema.