Herramienta 27001 DominiosMadurez - MOD

Tabla de Escala para ISO27001 e ISO27002
Escala PUNTUACIÓN
Inexistente 0
Inicial 20
Repetible 40
Definido 60
Gestionado 80
Optimizado 100
Tabla de Escala para ISO27001 e ISO27002
Descripción
Total falta de cualquier proceso reconocible. La Organización ni
siquiera ha reconocido que hay un problema a tratar. No se aplican
controles.
Hay una evidencia de que la Organización ha reconocido

que existe un problema y que hay que tratarlo. No hay
procesos estandarizados. La implementación de un control
depende de cada individuo y es principalmente reactiva.
Los procesos y los controles siguen un patrón regular. Los procesos

se han desarrollado hasta el punto en que diferentes procedimientos
son seguidos por diferentes personas. No hay formación ni
comunicación formal sobre los procedimientos y estándares. Hay un
alto grado de confianza en los conocimientos de cada persona, por
eso hay probabilidad de errores.
Los procesos y los controles se documentan y se

comunican. Es poco probable la detección de desviaciones.
Los controles se monitorean y se miden. Es posible monitorear y

medir el cumplimiento de los procedimientos y tomar medidas de
acción donde los procesos no estén funcionando eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos han sido

redefinidos hasta el nivel de mejores prácticas, basándose en los
resultados de una mejora continua.
DOMINIOS
1. PRINCIPIO DE RESPONSABILIDAD
2. PRINCIPIO DE ESTRATEGIA
3. PRINCIPIO DE ADQUISICIÓN
4. PRINCIPIO DE DESEMPEÑO
5. PRINCIPIO DE CONFORMIDAD
6. PRINCIPIO DE COMPORTAMIENTO HUMANO
1. PRINCIPIO DE RESPONSABILIDAD 2. PRINCIPIO DE ESTRATEGIA
3.33%
49.93% 50.07%
96.67%
Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento
4. P RINCIPIO DE DESEMPEÑ O
5. PRINCIPIO DE CON FORMIDAD
Cumpl imi ento I mcumpl imiento
Cumpli miento Imcumpli mi ento
Chart Tit le Chart Title
Cumpl i miento Imcumpl i miento Cumpl i miento I mcumplimi ento

Chart Tit le Chart Title
Cumpl i miento Imcumpl i miento Cumpl i miento I mcumplimi ento
Chart Title Chart Title
Cumplimiento I mcumplimiento Cumpl imiento Imcumplimi ento
Chart Title
Cumpli miento Imcumplimiento

Resumen ejecutivo INTECON PERU SAC
Cumplimiento Imcumplimiento Madurez Estado

96.67% 3.33% 5 GESTIONADO
50.07% 49.93% 3 REPETIBLE
42.22%
57.78% 3 REPETIBLE
82.07% 17.93% 4 GESTIONADO
74.59% 25.41% 4 DEFINIDO
60.00%
40.00% 2 REPETIBLE
GIA
D
miento
Cumpl imi ento I mcumpli miento
6. PRINCIPIO DE COMPORTA
5. PRIN CIPIO DE CON FORMIDAD
6 . PRINCIPIO DE COMPORTAMIENTO HUMANO
Cumplimiento Imc umplimi ento
Cumpl i miento I mc umpl imi ento

5. PRINCIPIO D
4. PRINCIPI
3. PRINCIPIO
2. PRINCIP
1. PRINCIPIO DE R
Chart Tit le
Chart Title
Cumpl imi ento I mcumpli mi ento

Cumpl i miento I mcumpli mi ento
Chart Tit le
Chart Title
Cumpl imi ento I mcumpli mi ento

Cumpl i miento I mcumpli mi ento
Chart Title
Chart Title
Cumplimi ento Imc umplimi ento

Cumpl imiento Imcumplimi ento
Chart Title
Cumplimiento I mcumpli miento

tivo INTECON PERU SAC
APLIC
Cumpli mi ento
Priorizacion
Dominio con menor cumplimieto
Dominio con mayor cumplimiento

DOMINIOS ISO 27001 SEGUN CUMPLIMIENTO
6. PRINCIPIO DE COMPORTAMIENTO HUMANO 40.00%

5. PRINCIPIO DE CONFORMIDAD 74.59%
3. PRINCIPIO DE ADQUISICIÓN 57.78%
2. PRINCIPIO DE ESTRATEGIA 50.07%
0.00% 20.00% 40.00% 60.00% 80.00%
Average - Madurez
DOMINIOS
5. PRINCIPIO DE CONFORMIDAD
(empty)
Grado de Madurez Financiera ProEmpresa

5
4. PRINCIPIO DE DESEMP
5. PRINCIPIO DE CONFOR
6. PRINCIPIO DE COMPORTAMIEN
(empty)
APLICACIÓN DE LA ISO 27001
Cumpl imiento Imcumpl i mi ento
0.00%
96.67%
74.59%
82.07%
%
96.67%
80.00% 100.00% 120.00%
Estado VALOR
DEFINIDO GESTIONADO REPETIBLE (empty) 0
5 1
3 2
3 3
4 4
4 5
2
oEmpresa
ADQUISICIÓN
Esta do DEFINIDO
PIO DE DESEMPEÑO
GESTIONADO
REPETIBLE
(empty)
PIO DE CONFORMIDAD
COMPORTAMIENTO HUMANO
VALOR ESTADO
0.99 INEXISTENTE
1.99 INICIAL
2.99 REPETIBLE
3.99 DEFINIDO
4.99 GESTIONADO
5 OPTIMIZADO
PREGUNTA ESTADO ACTUAL
DIRIGIR
¿Los planes para el negocio son elaborados con Definido

responsabilidad?
¿Las personas o grupos cumplen con sus

responsabilidades de acuerdo a lo que demande las Definido
Tecnologias de Informacion ?
MONITORIZAR
¿Cuales son los mecanismos establecidos para el

cumplimiento de Gestionado
las responsabilidades de los empleados?
¿Los empleados entienden sus responsabilidades y roles Gestionado

asignados?
MONITORIZAR
¿Se evalua la asignacion de las responsabilidades de los

empleados Gestionado
cada que tiempo?
¿Se evalua las competencias que se da entre los Gestionado

empleados?
VALOR SUBTOTAL (%) TOTAL (%)
100
100.00%
5.1.DIRECCIÓN DE GESTIÓ
100
CUMPL
100
100.00%
96.67%
100
100
90.00%
80
96.67%
CUMPLIMIENTO INCUMPLIMIENTO
96.67% 3.33%
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
3.33%
96.67%
ESTADO ACTUAL Count - VALOR

Definido 2 5.1.DIRECCIÓN DE GESTIÓN DE L
Gestionado 4
Total Result 6
Definido
Total Result;
50.00%
DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Definido; 16.67% Definido

Gestionado
Total Result; Tota l Resul t
50.00%
Gestionado;
33.33%
6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1. ORGANIZACIÓN INTERNA
PREGUNTAS ESTADO ACTUAL VALOR SUBTOTAL (%)
6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN

¿Quién se encarga de definir las Gestionado 80
responsabilidades la gestión de riesgo?
¿Qué grupos reciben las responsabilidades

del análisis para designar los roles y Gestionado 80
responsabilidades de seguridad de
información? 73.33%
¿Qué criterio utilizan para designar al

adecuado personal a recibir la Definido 60
responsabilidad?
6.1.2.SEGREGACIÓN DE FUNCIONES
¿Qué medidas se realiza para evitar la

modificación no autorizada, accidental o mal Gestionado 80
uso de los activos de la seguridad debido a un
cruce de deberes contradictorios entre áreas?
¿Quiénes otorgan la autorización para Gestionado 80 66.67%

acceder ,modificar, utilizar los bienes?
¿En caso de no poder tener autorización de

uso o acceso inmediatamente, que acción se Repetible 40
debe realizar para evitar el mal uso de los
activos de la organización?
6.1.3.CONTACTO CON AUTORIDADES
¿A quien reportan la ocurrencia de incidentes Gestionado 80

en la organización?
¿Qué criterio utilizan para designar la

persona adecuada a presentarla como Inexistente 0
contacto para quien presentar el reporte?
44.00%
¿Qué medidas toman para lograr que el
reporte sobre incidente sea atendido de Definido 60
manera oportuna?
44.00%
¿Qué planes de contingencia tienen ante esos

incidentes para mantener la continuidad del Gestionado 80
negocio?
¿Qué medidas se toman ante cambios en el Inexistente 0

entorno como leyes y reglamentos?
6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Poseen grupos de interes especial, foros de
seguridad especial u asociaciones Inexistente 0
profesionales como contactos?
¿Bajo que criterios se forman estos grupos? Inexistente 0
20.00%
¿Qué acciones toman para mejorar el

conocimiento de información de seguridad y Definido 60
mantener un criterio de mejores prácticas?
6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
¿Los objetivos de la seguridad de la

información estan basados en los objetivos Definido 60
de proyectos?
¿Consideran la seguridad de la información 46.67%

en todas las fases de la metodologia del Repetible 40
proyecto?
¿Qué medidas se toman para que el

desarrollo de proyecto se lleve a cabo con la Repetible 40
seguridad adecuada otorgada por los
controles?
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO
PREGUNTAS ESTADO ACTUAL VALOR SUBTOTAL (%)
6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES
¿Posee un enunciado relacionado dispositivos

moviles dentro de su política de seguridad de Definido 60
información?
33.33%
¿De qué manera se mantiene actualizado Repetible 40
sobre este tipo de riesgo de moviles?
¿Cuentan con criterios de separación de Inexistente 0

grupos de usuarios de los servicios moviles?
6.2.2.TELETRABAJO
¿Qué medida de seguridad se emplea para
proteger el acceso a información que puede Definido 60
ser procesada?
¿Bajo que criterio se selecciona la 66.67%

Definido 60
información a proteger?
¿Con que frecuencia se evalua la

vulnerabilidade de este metodo de Gestionado 80
protección de la información?
50.07%
N
TOTAL (%) 50.13% 49.87%

49.87% 50.13%
50.13%
50.13%

Definido 4
Gestionado 6
Inexistente 4
Repetible 3
Total Result 17
TOTAL (%)
Definido 3
Gestionado 1
Inexistente 1
Repetible 1
Total Result 6
50.00%
50.00%
CUMPLIMIENTO
50.00%
A 6.2.DISPOSITIVOS MÓVILES Y TELETRA
50.13%
50.00%
Definido; 11.76%
Gestionado; 17.65%
Total Result; 50.00%
Inexistente; 11.76%
Repetible; 8.82%
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO
Definido; 25.00%

Gestionado; 8.33%
Inexistente; 8.33%
Repetible; 8.33%
Gestionado; 8.33%
Inexistente; 8.33%
Repetible; 8.33%
INCUMPLIMIENTO
50.00%
VOS MÓVILES Y TELETRABAJO
LIMIENTO INCUMPLIMIENTO
50.00%
CIÓN INTERNA
76%
Defini do
Gestionado
onado; 17.65% Inexi stente
Repetibl e
Total Res ul t
nte; 11.76%
2%
ÓVILES Y TELETRABAJO
nido; 25.00% Defini do

Gestionado
Inexi stente
Repetibl e
Total Res ul t
estionado; 8.33%
stente; 8.33%
8.33%
Inexi stente
Repetibl e
Total Res ul t
estionado; 8.33%
stente; 8.33%
8.33%
7. SEGURIDAD DE LOS RECURSOS HUMANOS
7.1. ANTES DEL EMPLEO

ESTADO
PREGUNTAS VALOR
ACTUAL
7.1.1. SELECCIÓN
¿Los contratistas tiene la capacidad necesaria para desempeñar Definido 60

acorde a la seguridad?
¿Cuáles son las responsabilidades del contratista en la organización? Definido 60
¿La información de los candidatos al empleo estan recolectadas y Inexistente 0

manejadas de acuerdo a una legislación? Detalle
7.1.2. TERMINOS Y CONDICIONES DEL EMPLEO
¿Los empleados son informados de los terminos y condiciones del Gestionado 80

empleo a ocupar?
7.2. DURANTE EL EMPLEO

ESTADO
PREGUNTAS VALOR
ACTUAL
7.2.1. RESPONSABILIDADES DE LA GERENCIA
¿La gerencia ejecuta sus actividades en concordancia con las Definido 60

políticas de la empresa?
7.2.2. CONCIENCIA, EDUCACIÓN Y CAPACITACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
¿Los empleados estan concientes sobre la seguridad de información Repetible 40

de la empresa?
¿Los empleados estan al tanto sobre los cambios de política y Repetible 40

procedimientos de la organización?
7.2.3. PROCESOS DISCIPLINARIOS
Definido 60
¿Que procesos ejecuta cuando un empleado ha cometido una
infracción a la seguridad de información?
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO
ESTADO
PREGUNTAS VALOR
ACTUAL
7.3.1. TERMINACIÓN O CAMBIO DE RESPONSABILIDAD DEL EMPLEO
Definido 60
¿Los empleados cumplen con las responsabilidades que deben
cuando han dejado de trabajar?
Si un empleado deja de laborar en la empresa, ¿Su reemplazo sigue Definido 60

con las actividades pendientes o se le asignan nuevas tareas?
57.78%
SUBTOTAL (%) TOTAL (%) 60.00% 40.00%
40.00%
40.00%
60.00%
60.00%
80.00%
SUBTOTAL (%) TOTAL (%)
60.00%
ACIÓN Definido 2
Gestionado 1
40.00% 53.33%
Inexistente 1
Total Result 4
53.33%
60.00%
SUBTOTAL (%) TOTAL (%)

7.1. ANTES DEL E
60.00%
60.00%
Definido; 25.00

Gestionado; 1
Inexistente; 12.50%
LEO 7.2. DURANTE EL EMPLEO
ENTO CUMPLIMIENTO INCUMPLIMIENTO
46.67%
60.00%
Definido; 25.00%
Defini do
Gestiona do
t; 50.00% Inexi stente
Total Res ul t
Gestionado; 12.50%
Inexistente; 12.50%
53.33% 46.67%
7.2. DURANTE EL EMPLEO

46.67%
53.33%

Definido 2
Repetible 2
Total Result 4
7.2. DURANTE EL EMPLE
Definido; 25.00%
Defini do
Gestiona do
Inexi stente
Total Res ul t
Repetible; 25.00%
60.00% 40.00%
40.00%
60.00%
2. DURANTE EL EMPLEO
Definido; 25.00%
0%
Defini do
Repetibl e
Repetible; 25.00% Tota l Res ul t
LEO
0%

Definido 2
Total Result 2
Defini do
Total Result; 50.00% Definido; 50.00% Total Res ul
Defini do
Total Res ul t
8. GESTIÓN DE ACTIVOS
8.1. RESPONSABILIDAD POR LOS ACTIVOS
PREGUNTAS ESTADO ACTUAL VALOR
8.1.1. INVENTARIO DE ACTIVOS 8. GESTIÓN DE ACTIVOS
¿La empresa cuenta con un inventario de todos los activos? Optimizado 100
¿El inventario de activos esta alineado con otros inventarios en la Optimizado 100
organizacion?
¿Hay documentación donde indica la importancia de cada activo? Optimizado 100
¿Cada cuánto tiempo realizan el inventario de todos los activos? (anual, Definido 60
mensual, semanal o diario)
8.1.2. PROPIEDAD DE LOS ACTIVOS
¿Existe algún responsable en la empresa que gestione los activos? Gestionado 80
¿Cuántos son los responsables de realizar el inventario de todos los Definido 60

activos?
¿La empresa cuenta con sus propios activos o tienen activos de terceros? Gestionado 80
¿El responsable de gestionar los activos lo es durante todo el ciclo de Definido 60

vidade los activos?
¿Cada cuanto tiempo se cambia el responsable de gestionar los activos? Repetible 40
Si es así, ¿A quiénes les pertenecen dichos activos? Repetible 40
8.1.3. USO ACEPTABLE DE LOS ACTIVOS

¿La empresa cuenta con reglas o normas para el correcto uso de los Definido 60
activos?
¿La empresa cuenta con reglas o normas que indiquen el buen uso que se Gestionado 80
le debe de dar a la imformación que se le entregue al empleado?
¿Se aplican dichas reglas o normas en la empresa? Definido 60
¿Se les notifica la responsabilidad que conlleva usar los activos a las Definido 60
personas que lo solicitan?
¿Cada cuánto tiempo actualizan dichas reglas o normas? (ya sea de activos Definido 60
como de la información)
8.1.4. RETORNO DE ACTIVOS
Luego de la culminación del contrato de un trabajador, ¿Este devuelve el o Definido 60
los activos que se le fueron asignados?
Si es así, ¿Quién es el responsable de recepcionar el o los activos? Definido 60
¿Existe algún documento que tiene que llenar el empleado a la hora de Gestionado 80
entregar el o los activos, para que quede como constancia?
¿Que medidas toma cuando un empleado o usuario externo usa su equipo Gestionado 80
personal y necesita la informacion de la empresa?
8.2. CLASIFICACIÓN DE LA INFORMACIÓN
8.2.1. CLASIFICACIÓN DE LA INFORMACIÓN
¿La información que cuenta la empresa es clasificada según su valor o Definido 60

importancia?
¿Cuentan con controles para clasificar una información? Definido 60
¿El nivel de proteccion del sistema esta evaluado mediante el analisis de Definido 60
confidencialidad, disponibilidad e integridad del activo?
¿Estan indicados el valor de los activos en funcion a su sensibilidad, Gestionado 80

criticidad, confidencialidad, disponiblidad e integridad ?
8.2.2. ETIQUETADO DE LA INFORMACIÓN
¿Existe algún procedimiento para el etiquetado fisico o electronico de los Definido 60

activos? Detalle
¿Se les informa a los empleados y contratistas sobre el procedimiento de Definido 60

etiquetado?
¿Cómo etiquetan la información que se le proporciona a un trabajador? Definido 60
8.2.3.MANEJO DE ACTIVOS
¿Hay acuerdo con otras organizaciones para identificar la clasificacion de Inicial 20

sus activos e interpretar las etiquetas de clasificacion?
Acorde a la clasificación que tienen o manejan, ¿Cómo realizan el manejo Definido 60

de los activos e información?
8.3. MANEJO DE MEDIOS
8.3.1. GESTIÓN DE MEDIOS REMOVIBLES
¿Cómo manejan o gestionan el tema del uso de medios removibles o Definido 60

extraíbles? (está prohibido, no hay problema, etcétera)
¿Exíste algun procedimiento para realizar dicha gestión? Definido 60
8.3.2. DISPOSICIÓN DE MEDIOS
Cuando ya no se use un medio físico, pero este cuenta con información Gestionado 80
¿Qué es lo que hacen con dicho medio?
¿Qué tan seguro es la eliminacion de los medios de almacenamiento? Gestionado 80

Detalle
8.3.3. TRANSFERENCIA DE MEDIOS FÍSICOS
¿Que personas son los que transportan los medios de almacenamiento? Repetible 40
¿Existe algun procedimiento para identificar la persona responsable de Repetible 40

transportar los medios de almacenamiento? Detalle
¿Que tipo de proteccion se le aplica a los activos? Detalle Definido 60

¿Existe algun registro donde identifique el contenido de los medios de
comunicacion asi como el registro de los tiempos de traslado y la Repetible 40
recepcion?
¿Cómo gestionan la transeferencia de medios físicos que contienen Repetible 40
información? (estan protegidos, tienen respaldo)
82.07%
SUBTOTAL (%) TOTAL CUMPLIMIENTO INCUMPLIMIENTO
55.00% 45.00%
8.1. RESPONSABILIDAD POR LOS ACTIVOS

90.00%
CUMPLIMIENTO
45.00%
55.00%
60.00%
55.00%
64.00%
Definido 9
Gestionado 5
Optimizado 3
Repetible 2
Total Result 19
70.00%
SUBTOTAL (%) TOTAL 8.1. RESPONSABILIDAD POR LOS ACTIVO
Definido; 23.68%
65.00%
Gestionado; 13.16%
Optimizado; 7.89%
Repetible; 5.26%
55.00%
60.00%
40.00%
SUBTOTAL (%) TOTAL
60.00%
80.00%
61.33%
44.00%
55.00% 45.00%
8.2. CLASIFICACIÓN DE LA INFORMACIÓN
45.00%
55.00%
Definido 7
Gestionado 1
Inicial 1
Total Result 9
ACTIVOS 8.2. CLASIFICACIÓN DE LA INFORMA
Defini do Definido; 38.89%

Gestiona do
Optimi za do Total Result; 50.00%
Repetibl e
Tota l Res ul t
Gestionado; 5.56%
Inicial; 5.56%
CUMPLIMIENTOINCUMPLIMIENTO
61.33% 38.67%
8.3. MANEJO DE MEDIOS
45.00%
55.00%
Definido 3
Gestionado 2
Repetible 4
Total Result 9
A INFORMACIÓN Total
Definido; 16.67%
nido; 38.89%
Defini do
Gestiona do
Gestionad
Inici al
Total Res ult
56% Repetible; 22.2

55.00%
Total
Definido; 16.67%
Defini do
Gestionado; 11.11%
Gestionado
Repetibl e
Total Res ul t
Repetible; 22.22%
9. CONTROL DE ACCESOS
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
SUBTOTAL
PREGUNTAS ESTADO ACTUAL VALOR (%)
9.1.1. POLÍTICA DE CONTROL DE ACCESOS
¿Se cuenta establecido los controles de acceso en la política de Gestionado 80
seguridad de información?
¿Se encuentra documentado estos controles de acceso? Gestionado 80
¿Todos los usuarios tienen los mismos controles de acceso? Gestionado 80
¿Los empleados tienen conocimiento de estos controles de acceso? Gestionado 80 77.14%
¿Bajo que criterio se otorgan se asignan estos controles de acceso? Definido 60
¿Qué tan frecuente se revisa estos controles de acceso para Gestionado 80

mantener la seguridad de información ante posibles ataques?
¿En caso de realizar modificaciones u otorgar permisos de acceso, Gestionado 80
quien autoriza estas modificaciones?
9.1.2. ACCESO A REDES Y SERVICIOS DE RED
¿Todos los usuarios tiene los mismos accesos a red y a servicios? Gestionado 80
¿Existe algun procedimiento de autorizacion que determina quien Gestionado 80

esta autorizado a que redes y servicios de red? Detalle
¿La politica sobre el uso de servicios de red es correcta con respecto Gestionado 80
a la politica de control de acceso de la organizacion?
80.00%
¿Quién solicita estos permisos y accesos? Gestionado 80
¿Quién aprueba estas solicitudes? Gestionado 80
¿Qué medidas se toman para mantener la seguridad en este tipo de Gestionado 80

casos?
9.2. GESTIÓN DE ACCESO DE USUARIO
SUBTOTAL
9.2.1. REGISTRO Y BAJA DE USUARIOS
¿Se emplea ID unico para cada usuario y asi sean responsables Gestionado 80
unicos de sus acciones?
En caso de que se compara un ID ¿Bajo que medidas se permite esta Gestionado 80

acción? ¿Quien lo aprueba? ¿Es documentado?
¿Que tan frecuente revisan, eliminan y/bloquean si hay IDs de Gestionado 80

usuarios redundantes ?
66.67%
¿Se puede asegurar que los ids redundantes son usados por los Gestionado 80
usuarios correctos?
66.67%
¿Existe una central de registros de los derechos de acceso Gestionado 80
concedidos a los id de usuarios?
¿Quién aprueba las solicitudes de registro y bajas de usuarios? Gestionado 80
¿Qué tipo de herramienta utilizan para realizar estos Repetible 40

procedimientos?
¿La herramienta seleccionada cuenta con soporte en caso de fallos? Repetible 40
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio, Repetible 40

para mantener la continuidad del servicio?
9.2.2. APROVISIONAMIENTO DE ACCESO A USUARIOS
¿Se cambian los accesos de los usuarios que han cambiado de Gestionado 80
funcion o trabajo?
¿Se remueve o bloquea los derechos de acceso de usuarios que han Gestionado 80
dejado la organizacion?
¿el nivel de acceso concedido cumple con las politicas de acceso? Gestionado 80 80.00%
Se encuentra documentado el desarrollo del proceso para brindar o Gestionado 80
quitar derechos de acceso a aplicaciones y/o servicios?
¿Los usuarios cuenta con conocimiento de la modalidad de solicitud Gestionado 80

de permisos?
9.2.3. GESTIÓN DE DERECHOS DE ACCESOS PRIVILEGIADOS
¿Qué medidas tienen para evitar el acceso a intrusos al uso de esta Gestionado 80
herramienta?
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio, Gestionado 80
para mantener la continuidad del servicio?
80.00%
¿Están identificados correctamente los derechos de acceso? Gestionado 80
¿Existen requerimientos para expirar los derechos de acceso? Gestionado 80

Detalle
9.2.4. GESTIÓN DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA DE USUARIOS
¿Se cuenta con controles de autenticación para el acceso a Gestionado 80
información personal del usuario?
¿Qué metodos y herramientas se tienen para proteger el control de Gestionado 80
autenticación y evitar que sea infringido el control?
¿Los usuarios firman una declaracion comprometiendose a Gestionado 80 80.00%
mantener las claves secretas ?
¿Como se envia la clave secreta a los usuarios? Gestionado 80
¿Es posible que 2 usuarios tengan la misma clave secreta? Gestionado 80
9.2.5. REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS
¿Que tan frecuente se revisa los derechos de acceso de un usuario? Gestionado 80
¿Se revisa y se reasigna los derechos del usuario al cambiar de una Gestionado 80
funcion a otra?
80.00%
¿Existe algun registro de los cambios para las cuentas privilegiadas? Gestionado 80 80.00%
¿Se cuenta con medidas de respaldo de la información en caso el Gestionado 80

repositorio o servicio presente fallas?
¿Solo los propietarios de los activos cuentan con acceso a ellos? Gestionado 80
9.2.6. REMOCIÓN O AJUSTE DE DERECHO DE ACCESO

¿Se cuenta con controles de actividad de uso de los servicios de los Gestionado 80
usuarios?
¿En caso de dar de baja o modificaciones a cuentas de usuarios, Gestionado 80 80.00%
quien autoriza estos procedimientos?
¿Se elimina los derechos de acceso del usuario antes o despues de Gestionado 80
la culminacion de su contrato?
9.3. RESPONSABILIDAD DE LOS USUARIOS
SUBTOTAL
9.3.1. USO DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA
¿Aparte del usuario, alguien mas conoce la clave secreta? Gestionado 80
¿Existe un registro donde se registre la clave secreta del usuario? de Gestionado 80

ser afirmativo ¿Que medidas toman para asegurar esos registros?
La clave secreta suele generarse con estos requisitos?:

-Facil de recordar
-Basada en la informacion de la persona Gestionado 80
-Contiene una palabra pronunciable 80.00%
-Caracteres consecutivos indeticos
Indique cuales si
¿Los usuarios tienen conocimientos de este tipo de control de

acceso, y las medidas de seguridad que se debe tener para aportar a Gestionado 80
proteger su información?
¿Qué medida tienen los empleados para demostrar la recepción de Gestionado 80
esta información?
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
SUBTOTAL
9.4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN
¿Los accesos y funciones del sistema de aplicaciones estan Gestionado 80 80.00%

restringidos acorde a la política de control de acceso?
9.4.2. PROCEDIMIENTOS DE INGRESO SEGURO

¿Existe alguna autenticacion extra de identidad, tokens, medios Inexistente 0
biometricos, etc?
¿Qué controles se tienen para mantener un acceso seguro a los Gestionado 80 53.33%
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad del control de Gestionado 80
acceso?
9.4.3. SISTEMA DE GESTIÓN DE CONTRASEÑAS
¿Se cuenta con medidas de control para las contraseñas de los Gestionado 80
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad de este tipo de Gestionado 80
control?
¿Se cuenta con controles en caso de fallas de contraseña en el Gestionado 80
acceso?
66.67%
¿Se intenta cumplir una contraseña de calidad? Gestionado 80
¿Los usuarios siempre deben cambiar su contraseña al iniciar sesion Gestionado 80

la primera vez?
¿Se registra las contraseñas utilizadas para evitar volverlos a Inexistente 0
reutilizar?
9.4.4. USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS
¿Existe un registro de todo el uso de un programa de servicio Gestionado 80
publico?
¿Que medidas se toma cuando un programa de servicio ya no se Definido 60
usa?
50.00%
¿Se cuenta con medidas de control para evitar se infringido por Definido 60
aplicaciones que irrumpen el control de acceso?
¿Con que frecuencia se actualiza el conocimiento de nuevas Inexistente 0
aplicaciones que amenacen la seguridad?
9.4.5. CONTROL DE ACCESO AL CÓDIGO FUENTE DE LOS PROGRAMAS
¿Las bibliotecas de programa que se usan vienen por defecto en el Gestionado 80
sistema operativo?
¿Que medidas toman al publicar el codigo fuente de un programa Gestionado 80
publicamente?
60.00%
¿Se cuenta controles para restringir el codigo fuente de los Gestionado 80
programas usados por los usuarios?
¿Con que frecuencia se actualiza estos controles para evitar las Inexistente 0
vulnerabilidades futuras?
74.59%
TOTAL CUMPLIMIENTO
78.57%
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE A
21.43%
78.57%
78.57%
TOTAL
Definido 1
Gestionado 12
Total Result 13
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE A
Definido; 3.85%

Gestionado; 46.15%
77.78%
TOTAL
80.00%
TOTAL
62.00%
INCUMPLIMIENTO
21.43%
SA PARA EL CONTROL DE ACCESOS
INCUMPLIMIENTO
78.57%
PARA EL CONTROL DE ACCESOS
Defini do
Gestionado
estionado; 46.15% Tota l Res ul t
77.78% 22.22%
22.22%
77.78%
Gestionado 28
Repetible 3
Total Result 31
Gestiona do
Gestionado; 45.16%
Total Result; 50.00% Repetibl e
Tota l Res ul t
Repetible; 4.84%
CUMPLIMIENTO
80.00%
9.3. RESPONSABILIDAD DE LOS USUARIOS
20.00%
80.00%
Gestionado 5
Total Result 5
9.3. RESPONSABILIDAD DE LOS USUA
Gestiona do
Repetibl e Total Result; 50.00% Gestionado; 50.00%
Tota l Res ul t
INCUMPLIMIENTO
20.00%
D DE LOS USUARIOS
9.4. CONTROL DE ACC
INCUMPLIMIENTO CUMPLIMI
38.00%
80.00%
ESTADO ACTUAL
Definido
Gestionado
Inexistente
Total Result
DAD DE LOS USUARIOS 9.4. CONTROL DE
Gestionado Total Result; 50.00%

Gestionado; 50.00% Tota l Res ul t
62.00% 38.00%
ONTROL DE ACCESO A SISTEMAS Y APLICACIÓN

62.00%
Count - VALOR
12
4
18
4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
Definido; 5.56%
Defini do
Gestionado; 33.33% Gestionado
Total Result; 50.00% Inexi stente
Total Res ul t
Inexistente; 11.11%
10. CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
SUBTOTAL
10.1.1. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
¿La empresa cuenta con políticas sobre el uso de controles Repetible 40
criptográficos?
De ser así, ¿Cómo está implementada? Repetible 40
Si no cuenta con alguna política, ¿Cómo protegen los Repetible 40

documentos y/o datos confidenciales?
¿Cuáles son las medidas adoptadas para la protección de la 40.00%

Definido 60
información a través de controles criptográficos?
¿Cuáles son las políticas de confidencialidad, respecto a la Definido 60

protección de la información?
En el caso de no contar con controles criptográficos, ¿Quién o Inexistente 0

que área sería la encargada de realizarlas?
10.1.2.GESTIÓN DE CLAVES
¿Hacen uso de claves criptográficas para proteger la Definido 60

confidencialidad de la información?
En el caso de contar con controles criptográficos, ¿Quién 40.00%

Definido 60
gestiona las claves criptográficas?
¿Cada cuánto tiempo realizan la gestión de las claves
criptográficas? Inexistente 0
40.00%
TOTAL CUMPLIMIENTO
40.00%
10.1. CONTROLES CRIPTOGRÁFICOS

40.0
40.00%
60.00%
INCUMPLIMIENTO
60.00%
TROLES CRIPTOGRÁFICOS
MIENTO INCUMPLIMIENTO
40.00%
Definido 4
Inexistente 2
Repetible 3
Total Result 9
Total
Definido; 22.22%

Inexistente; 11.11%
Repetible; 16.67%
Defini do
Inexi stente
Repetibl e
Total Res ul t

Herramienta 27001 DominiosMadurez - MOD

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Herramienta 27001 DominiosMadurez - MOD

Cargado por

Copyright:

Formatos disponibles

Tabla de Escala para ISO27001 e ISO27002

Hay una evidencia de que la Organización ha reconocido

Los procesos y los controles siguen un patrón regular. Los procesos

Los procesos y los controles se documentan y se

Los controles se monitorean y se miden. Es posible monitorear y

Las buenas prácticas se siguen y automatizan. Los procesos han sido

1. PRINCIPIO DE RESPONSABILIDAD 2. PRINCIPIO DE ESTRATEGIA

Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento

5. PRINCIPIO DE CON FORMIDAD

Cumpl imi ento I mcumpl imiento

Cumpli miento Imcumpli mi ento

Chart Tit le Chart Title

Cumpl i miento Imcumpl i miento Cumpl i miento I mcumplimi ento

Cumpl i miento Imcumpl i miento Cumpl i miento I mcumplimi ento

Chart Title Chart Title

Cumplimiento I mcumplimiento Cumpl imiento Imcumplimi ento

Cumpli miento Imcumplimiento

Cumplimiento Imcumplimiento Madurez Estado

Cumplimiento Imc umplimi ento

Cumpl i miento I mc umpl imi ento

Cumpl imi ento I mcumpli mi ento

Cumpl imi ento I mcumpli mi ento

Cumplimi ento Imc umplimi ento

Cumplimiento I mcumpli miento

Dominio con mayor cumplimiento

DOMINIOS ISO 27001 SEGUN CUMPLIMIENTO

6. PRINCIPIO DE COMPORTAMIENTO HUMANO 40.00%

Grado de Madurez Financiera ProEmpresa

Cumpl imiento Imcumpl i mi ento

PREGUNTA ESTADO ACTUAL

¿Los planes para el negocio son elaborados con Definido

¿Las personas o grupos cumplen con sus

¿Cuales son los mecanismos establecidos para el

¿Los empleados entienden sus responsabilidades y roles Gestionado

¿Se evalua la asignacion de las responsabilidades de los

¿Se evalua las competencias que se da entre los Gestionado

5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

ESTADO ACTUAL Count - VALOR

Definido; 16.67% Definido

PREGUNTAS ESTADO ACTUAL VALOR SUBTOTAL (%)

6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN

¿Qué grupos reciben las responsabilidades

¿Qué criterio utilizan para designar al

¿Qué medidas se realiza para evitar la

¿Quiénes otorgan la autorización para Gestionado 80 66.67%

¿En caso de no poder tener autorización de

6.1.3.CONTACTO CON AUTORIDADES

¿A quien reportan la ocurrencia de incidentes Gestionado 80

¿Qué criterio utilizan para designar la

¿Qué planes de contingencia tienen ante esos

¿Qué medidas se toman ante cambios en el Inexistente 0

6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Bajo que criterios se forman estos grupos? Inexistente 0

¿Qué acciones toman para mejorar el

6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS

¿Los objetivos de la seguridad de la

¿Consideran la seguridad de la información 46.67%

¿Qué medidas se toman para que el

PREGUNTAS ESTADO ACTUAL VALOR SUBTOTAL (%)

6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES

¿Posee un enunciado relacionado dispositivos

¿Cuentan con criterios de separación de Inexistente 0

¿Bajo que criterio se selecciona la 66.67%