Herramienta 27001 ResumenEjecutivoCumplimiento

Resumen ejecuti
5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7. SEGURIDAD DE LOS RECURSOS HUMANOS
8. GESTIÓN DE ACTIVOS
9. CONTROL DE ACCESOS
10. CRIPTOGRAFÍA
11. SEGURIDAD FÍSICA Y AMBIENTAL
12. SEGURIDAD DE LAS OPERACIONES
13. SEGURIDAD DE LAS COMUNICACIONES
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
15. RELACIONES CON LOS PROVEEDORES
16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUID
18. CUMPLIMIENTO
5 .LAS P OLÍTIC A S DE SEG U RIDA D DE LA 6 .ORGAN IZAC IÓ N DE LA SEGURIDAD DE LA

IN F ORM AC IÓN IN FORMAC IÓN
5% 2%
95% 98%
Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento

7 . SEG U RIDA D DE LOS REC U RS OS 8 . G ESTIÓN DE AC TIV OS
HU M AN OS
3% 18%
97% 82%
1 1 . S EG U RIDA D F ÍSIC A Y AM BIEN TA L

10. CRIPTOGRAFÍA
33%
40%
60% 67%

Resumen ejecutivo DENSO WAVE SAC
Cumplimiento Imcumplimiento
95.00% 5.00%
98.33% 1.67%
96.67% 3.33%
82.07% 17.93%
74.59% 25.41%
40.00% 60.00%
32.87% 67.13%
67.02% 32.98%
64.38% 35.63%
65.19% 34.81%
46.67% 53.33%
78.57% 21.43%
60.00% 40.00%
66.33% 33.67%
Chart Title
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUIDAD DEL NEGOCIO
EGURIDAD DE LA
umplimiento
AC TIV OS 9 . C ON TROL DE AC C ESOS
25%
75%
umplimiento Cumplimiento Imcumplimiento
Y AM BIEN TA L 1 2 . SEG U RIDAD DE LA S OP ERA CION ES
33%
67%
umplimiento Cumplimiento Imcumplimiento

Priorizacion
Dominio con menor cumplimieto

11. SEGURIDAD FÍSICA Y AMBIENTAL 32.87%
Dominio con mayor cumplimiento

6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFOR 98.33%
Chart Title
N LA GESTION DE CONTINUIDAD DEL NEGOCIO
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
C C ESOS
mplimiento
OP ERA CION ES
mplimiento
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
PREGUNTA
5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
¿Cuenta con una política de seguridad de la información bien definida?
¿Cuáles son los tipos de política de seguridad de información con los que
cuenta?
¿Quien(es) definen la política de seguridad?
¿Quien(es) aprueban la política de seguridad?
¿Los empleados son comunicados sobre la política de seguridad de

información?
¿Los empleados dejan constancia sobre la recepción y aceptación de

conocimiento de la política de seguridad de información?
¿La política de seguridad de la información es comunicada de manera

apropiada, entendible y accesible al lector?
¿Todos los empleados tienen conocimiento de la misma política?
¿Hay partes externas consideradas para comunicarles la política? Mencionar
¿Se tiene cuidado en no revelar información confidencial en las políticas que

se distribuyen al exterior de la organización?
5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
¿caa política de seguridad de la información tiene asignado un responsable

de su desarrollo?
¿Con que frecuencia se revisan las políticas?
IÓN
ESTADO SUBTOTA TOTAL
RESPUESTA
ACTUAL L (%) (%)
5
100.00% 5.1.DIRECCIÓN DE
INFORMACIÓN
5
95.00%
5
INCU
5
FORMACIÓN
5
90.00%
90.00%
TOTAL 95.00%
CUMPLIMIENTO INCUMPLIMIENTO
95.00% 5.00%
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
INCUMPLIMIENTO; 0.05; 5%
CUMPLIMIENTO ; 0.95; 95%
6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1. ORGANIZACIÓN INTERNA
ESTADO
PREGUNTAS RESPUESTA
ACTUAL
6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN
¿Quién se encarga de definir las

responsabilidades relativas a la seguridad de 5
la información?
¿Qué grupos reciben dichas 5

responsabilidades?
¿Qué criterio utilizan para designar al

personal adecuado para recibir dicha 5
responsabilidad?
6.1.2.SEGREGACIÓN DE FUNCIONES
¿Qué medidas se toman para evitar la

modificación no autorizada, accidental o mal 5
uso de los activos?
¿Todo acceso, modificación, utilización de

5
activos queda registrado?
¿Quiénes otorgan la autorización para

5
acceder ,modificar, utilizar los activos?
En caso de no tener autorización de uso o

acceso inmediatamente, ¿que acción se debe
5
realizar para evitar el mal uso de los activos
de la organización?
6.1.3.CONTACTO CON AUTORIDADES
¿A qué responsable se reportan las

5
ocurrencias de incidentes en la organización?
¿Qué criterio utilizan para designar la a
persona adecuada para dicha 5
responsabilidad?
¿Qué medidas toman para lograr que los

reportes de incidentes sean atendido de 5
manera oportuna?
¿Qué planes de contingencia tienen ante esos

incidentes para mantener la continuidad del 5
negocio?
¿Qué medidas se toman ante cambios en el

5
entorno como leyes y reglamentos?
6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES
¿Poseen o pertenecen a grupos de

investigación, foros de seguridad u otras 5
asociaciones profesionales?
¿Bajo que criterios se forman estos grupos? 5
¿Qué acciones toman para mantener

actualizado el conocimiento de información
5
de seguridad y mantener un criterio de
mejores prácticas?
6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
¿Los objetivos de seguridad de la información

5
están incluidos en los objetivos del proyecto?
¿Se realiza una evaluación de riesgos de

seguridad de la información en una fase
5
temprana del proyecto para
identificar los controles necesarios?
¿Qué medidas se toman para que el
desarrollo de proyecto se lleve a cabo con la 5
seguridad adecuada otorgada por los
controles?
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

ESTADO
PREGUNTAS RESPUESTAS
ACTUAL
6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES
¿Posee un enunciado relacionado dispositivos

moviles dentro de su política de seguridad de 5
información?
¿El personal tiene conocimiento de los riesgos

de esta forma de trabajo? 5
¿Cuentan con criterios de separación de

5
grupos de usuarios de los servicios moviles?
6.2.2.TELETRABAJO
¿Qué medida de seguridad se emplea para

proteger el acceso, procesamiento y 5
almacenamiento de información?
¿Bajo que criterio se selecciona la

información a proteger? 5
¿Se evalúa periódicamente las

vulnerabilidades de este metodo de 4
protección de la información?
TOTAL 98.33%
N
SUBTOTAL
TOTAL (%)
(%)
CUMPLIMIENTOINCUMPLIMIENTO
100.00% 0.00%
100.00%
6.1. ORGANIZACIÓN INTERNA

100.00%
100.00% 100%
100.00% 100%
100.00%
100.00%
CUMPLIMIENTOINCUMPLIMIENTO
96.67% 3.33%
100.00%
100.00%
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

SUBTOTAL
TOTAL (%) 3%
(%)
100.00%
96.67%
97%
93.33%
7.1. ANTES DEL EMPLEO
PREGUNTAS RESPUESTA
7.1.1. SELECCIÓN
¿Los contratistas tiene la capacidad necesaria para

desempeñar su lavor acorde con la seguridad de la
información?
¿Cuáles son las responsabilidades del contratista en la

organización?
¿Las comprobaciones tienen en cuenta la legislación

relativa a privacidad, protección de datos personales
y
legislación laboral?
7.1.2. TERMINOS Y CONDICIONES DEL EMPLEO
¿Los empleados son informados de los terminos y
condiciones del empleo a ocupar?
7.2. DURANTE EL EMPLEO
PREGUNTAS RESPUESTA
7.2.1. RESPONSABILIDADES DE LA GERENCIA
¿La gerencia ejecuta sus actividades en concordancia

con las políticas de la empresa?
7.2.2. CONCIENCIA, EDUCACIÓN Y CAPACITACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
¿Los empleados estan concientes sobre la seguridad

de la información de la empresa?
¿Los empleados estan al tanto sobre los cambios de

política y procedimientos de la organización?
7.2.3. PROCESOS DISCIPLINARIOS

¿Que procesos ejecuta cuando un empleado ha
cometido una infracción a la seguridad de
información?
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO
PREGUNTAS RESPUESTA
7.3.1. TERMINACIÓN O CAMBIO DE RESPONSABILIDAD DEL EMPLEO

¿Los empleados cumplen con sus responsabilidades
para cuando han dejado de trabajar?
Si un empleado deja de laborar en la empresa, ¿Su

reemplazo sigue con las actividades pendientes o se
le asignan nuevas tareas?
TOTAL
ESTADO SUBTOT TOTAL
ACTUAL AL (%) (%)
5 CUMPLIMIENTO INCUMPLIMIENTO
5 100.00% 100.00% 0.00%

100.00%
5 100.00% 7.1. ANTES DEL EMPLEO

ESTADO SUBTOT TOTAL

ACTUAL AL (%) (%)
5 100.00%
5
100.00% 100.00%
5
100%
5 100.00%
ESTADO SUBTOT TOTAL

ACTUAL AL (%) (%) CUMPLIMIENTO INCUMPLIMIENTO
100.00% 0.00%
90.00%
5
90.00%
90.00% 7.2. DURANTE EL EMPLEO
4 CUMPLIMIENTO INCUMPLIMIENTO
96.67%
100%
90.00% 10.00%
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO

10%
90%
TO
O
NTO
E EMPLEO
NTO
8.1. RESPONSABILIDAD POR LOS ACTIVOS
PREGUNTAS
8.1.1. INVENTARIO DE ACTIVOS
¿La empresa cuenta con un inventario de todos los activos?
¿El inventario de activos esta alineado con otros inventarios en

la organizacion?
¿Hay documentación donde indica la importancia de cada

activo?
¿Cada cuánto tiempo realizan el inventario de todos los
activos? (anual, mensual, semanal o diario)
8.1.2. PROPIEDAD DE LOS ACTIVOS
¿Existe algún responsable en la empresa que gestione los
activos?
¿Cuántos son los responsables de realizar el inventario de
todos los activos?
¿La empresa cuenta con sus propios activos o tienen activos de
terceros?
¿El responsable de gestionar los activos lo es durante todo el

ciclo de vidade los activos?
¿Cada cuanto tiempo se cambia el responsable de gestionar los

activos?
Si es así, ¿A quiénes les pertenecen dichos activos?
8.1.3. USO ACEPTABLE DE LOS ACTIVOS

¿La empresa cuenta con reglas o normas para el correcto uso
de los activos?
¿La empresa cuenta con reglas o normas que indiquen el buen

uso que se le debe de dar a la imformación que se le entregue
al empleado?
¿Se aplican dichas reglas o normas en la empresa?
¿Se les notifica la responsabilidad que conlleva usar los activos

a las personas que lo solicitan?
¿Cada cuánto tiempo actualizan dichas reglas o normas? (ya
sea de activos como de la información)
8.1.4. RETORNO DE ACTIVOS
Luego de la culminación del contrato de un trabajador, ¿Este

devuelve el o los activos que se le fueron asignados?
Si es así, ¿Quién es el responsable de recepcionar el o los

activos?
¿Existe algún documento que tiene que llenar el empleado a la
hora de entregar el o los activos, para que quede como
constancia?
¿Que medidas toma cuando un empleado o usuario externo
usa su equipo personal y necesita la informacion de la
empresa?
8.2. CLASIFICACIÓN DE LA INFORMACIÓN
PREGUNTAS
8.2.1. CLASIFICACIÓN DE LA INFORMACIÓN
¿La información que cuenta la empresa es clasificada según su

valor o importancia?
¿Cuentan con controles para clasificar una información?
¿El nivel de proteccion del sistema esta evaluado mediante el

analisis de confidencialidad, disponibilidad e integridad del
activo?
¿Estan indicados el valor de los activos en funcion a su

sensibilidad, criticidad, confidencialidad, disponiblidad e
integridad ?
8.2.2. ETIQUETADO DE LA INFORMACIÓN
¿Existe algún procedimiento para el etiquetado fisico o

electronico de los activos? Detalle
¿Se les informa a los empleados y contratistas sobre el

procedimiento de etiquetado?
¿Cómo etiquetan la información que se le proporciona a un

trabajador?
8.2.3.MANEJO DE ACTIVOS
¿Hay acuerdo con otras organizaciones para identificar la
clasificacion de sus activos e interpretar las etiquetas de
clasificacion?
Acorde a la clasificación que tienen o manejan, ¿Cómo realizan

el manejo de los activos e información?
8.3. MANEJO DE MEDIOS
PREGUNTAS
8.3.1. GESTIÓN DE MEDIOS REMOVIBLES
¿Cómo manejan o gestionan el tema del uso de medios

removibles o extraíbles? (está prohibido, no hay problema,
etcétera)
¿Exíste algun procedimiento para realizar dicha gestión?
8.3.2. DISPOSICIÓN DE MEDIOS
Cuando ya no se use un medio físico, pero este cuenta con

información ¿Qué es lo que hacen con dicho medio?
¿Qué tan seguro es la eliminacion de los medios de

almacenamiento? Detalle
8.3.3. TRANSFERENCIA DE MEDIOS FÍSICOS
¿Que personas son los que transportan los medios de

almacenamiento?
¿Existe algun procedimiento para identificar la persona

responsable de transportar los medios de almacenamiento?
Detalle
¿Que tipo de proteccion se le aplica a los activos? Detalle
¿Existe algun registro donde identifique el contenido de los

medios de comunicacion asi como el registro de los tiempos de
traslado y la recepcion?
¿Cómo gestionan la transeferencia de medios físicos que
contienen información? (estan protegidos, tienen respaldo)
ESTADO
RESPUESTA RECOMENDACIÓN SUBTOTAL (%)
ACTUAL
Existe un inventario de los activos fisicos y software

5
por área.
Cada subárea posee un inventario de los activos

con los que cuenta, los cuales están alineados al
5
inventario que posee el área de Gestíon de Activos
del área de TPI 90.00%
Realizar el inventario
mensualmente o cada
No,hay clasificación por tipos de activos. 5 3 meses es lo
recomendable para
Se realiza la evaluación anualmente. 3 estar pendiente y una
mejor gestion
Si, los key users son los responsables de la gestion 4 Mantener una mejora
de activos continua
Solo los key users 3 Que monitoreen el
cumplimiento
Preferible que todos
Cuentan con activos propios y proporcionados por sus activos sean
4
terceros. propios
Si, para el caso de activos físicos de la organización,
por que cuando termina su ciclo de vida la 60.00%
responsabilidad pasa a almacén de equipos 3 Mantener un informe
obsoletos. de que sucede cuando
ya no hay responsable
No, cambia por surgimiento requerimientos que 2 Deberia cambiar cada

necesiten la disposición del responsable actual. cierto tiempo para
una mejora continua
Las responsabilidades de este tipo son otorgados a Mayor informacion de
2
las jefaturas. las pertenencias
Realizar una
Si, existen normas para determinar el uso correcto documentacion con
3 las normas explicadas
de los activos
mas explicitamente
mantener un control
Si, son normas publicas que deben ver los
empleados 4 de que los empleados
cumplan las normas
mantener un control
Si, se aplican en toda la empresa 3 de que los empleados 64.00%
cumplan las normas
Si, se les da conocimiento de la responsabilidad que 3

estan tomando como condiciones en su contrato. Anualmente revisar si
cumplen
Realizar el inventario
mensualmente o cada
3 meses es lo
recomendable para
Una vez al año. 3 estar pendiente y una
mejor gestion
Documentos que
detallen el proceso de
si, deben retornar los activos que se le otorgaron 3 la devolucion de
Especificar
activos si de esa
area hay alguien en
Mesa de ayuda recepciona los activos. 3 especifico o un cargo
en especifico
70.00%
Si, se registra el retorno del activo, para confirmar
4 Mantenerlo a un nivel
que lo entrego
de buenas practicas
Mejorar la
Se le hace firmar un acuerdo de confidencialidad 4 especificacion del
acuerdo
ESTADO
ACTUAL
Clasificar tambien por

si, se les clasifica mas que nada por su valor 3 su rendimiento y
buena gestion
Si, la información se encuentra clasificada por áreas

3 Tener un registro de
y dichos perímetros se encuentran protegidos.
esa clasificacion
75.00%
Si y en base a ello se establecen prodecimientos
5
para cumplir con esos principios.
Si, estan evaluados priorizando la confidencialidad y

bajo otros mas 4
Llegar a hacerlo como
buenas practicas
Si, se etiqueta los activos fisicos para inventariarlos,

se recibe el activo por primera vez, se verifica que
no tenga defectos y se le etiqueta, luego se agrega 3 Mantener el
al inventario y esta listo para ser solicitado por inventario digitalizado
algun usuario y un backup ante
cualquier solicitud
60.00%
no, no se da conocimiento del proceso, pero si
3
saben que estan etiquetados Todos deberian estar
informados sobre el
proceso de etiquetado
Cada equipo posee un código otorgado por la Detallar el proceso de

3 etiquetado de
organización.
informacion
No,en caso sea necesario se procede a registrar los 1
activos.
Registrar los activos 40.00%
Se clasifican los activos en un espacio reservado
3
para los activos. Especificar donde .
RESPUESTA ESTADO RECOMENDACIÓN SUBTOTAL (%)

ACTUAL
Hay prohibicion pero

No hay prohibición de uso de medios removibles. 3 igual no se mantiene
un documento con
normas especifica 60.00%
No. 3 Realizar documento

de procedimiento
Se saca una copia de seguridad y luego se elimina

toda la informacion que tiene para evitar que 4
alguien pueda tener acceso a él. Implementarlo en
todas las areas
Realizar un 80.00%
No hay procedimiento estable con respecto a la procedimiento exacto
eliminación del contenido, solo consideran el 4 a la hora de eliminar
cumplimiento de la eliminación del contenido. apoya la buena
gestion
Es una empresa especializada en transporte de este Tener un trasporte

tipo de activos en caso se un largo viaje, de lo especifico para
2
contrario la organización cuenta con un área que se transportar los medios
encarga del transporte interno de estos activos . de almacenamiento y
es mas seguro
La responsabilidad se le asigna inicialmente al área Mantener un registro

de logistica, quien debe gestionar el envío del de que trasporte es
2
activo y designar la responsabilidad de transporte adecuado para cada
acorde a la distancia que tenga el viaje. distancia apoyando la
mejor organización
Se los proteje bajo cajas y bolsas de burbujas para Mantener una mejor 44.00%
3
evitar golpes fisicos forma de proteccion
Se registra el envío por medio de un formato y de Gestionar el

recepción del activo, pero no hay control de tiempo 2 procedimiento del
de trazlado. envio , sea tiempo,
transporte, lugar etc
Se solicita al área de logística por medio de una
guía de remisión el cual debe detallarse los datos
del activo el cual es firmado por la jefatura para el
2
envío y luego dicha área se encarga de gestionar el
Proceso mas detallado
envío seleccionando el medio por el cual realizará especificamente en un
el envío. documento
TOTAL 82.07%
TOTAL
71.00% 29.00%
8.1. RESPONSABILIDAD POR LOS ACTIVOS

29%
71.00%
71%
71%
58.33% 41.67%

42%
58%
58.33%
61.33% 38.67%
8.3. MANEJO DE MEDIOS

0.3866666666666
67
0.6133333333333
33
61.33%
EDIOS
LIMIENTO
3333333333
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
PREGUNTAS
9.1.1. POLÍTICA DE CONTROL DE ACCESOS

¿Se cuenta establecido los controles de acceso en la política de
seguridad de información?
¿Se encuentra documentado estos controles de acceso?
¿Todos los usuarios tienen los mismos controles de acceso?
¿Los empleados tienen conocimiento de estos controles de acceso?
¿Bajo que criterio se otorgan se asignan estos controles de acceso?
¿Qué tan frecuente se revisa estos controles de acceso para

mantener la seguridad de información ante posibles ataques?
¿En caso de realizar modificaciones u otorgar permisos de acceso,
quien autoriza estas modificaciones?
9.1.2. ACCESO A REDES Y SERVICIOS DE RED
¿Todos los usuarios tiene los mismos accesos a red y a servicios?
¿Existe algun procedimiento de autorizacion que determina quien

esta autorizado a que redes y servicios de red? Detalle
¿La politica sobre el uso de servicios de red es correcta con respecto
a la politica de control de acceso de la organizacion?
¿Quién solicita estos permisos y accesos?
¿Quién aprueba estas solicitudes?
¿Qué medidas se toman para mantener la seguridad en este tipo de

casos?
9.2. GESTIÓN DE ACCESO DE USUARIO
PREGUNTAS
9.2.1. REGISTRO Y BAJA DE USUARIOS
¿Se emplea ID unico para cada usuario y asi sean responsables

unicos de sus acciones?
En caso de que se compara un ID ¿Bajo que medidas se permite esta

acción? ¿Quien lo aprueba? ¿Es documentado?
¿Que tan frecuente revisan, eliminan y/bloquean si hay IDs de

usuarios redundantes ?
¿Se puede asegurar que los ids redundantes son usados por los
usuarios correctos?
¿Existe una central de registros de los derechos de acceso

concedidos a los id de usuarios?
¿Quién aprueba las solicitudes de registro y bajas de usuarios?
¿Qué tipo de herramienta utilizan para realizar estos

procedimientos?
¿La herramienta seleccionada cuenta con soporte en caso de fallos?
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio,

para mantener la continuidad del servicio?
9.2.2. APROVISIONAMIENTO DE ACCESO A USUARIOS
¿Se cambian los accesos de los usuarios que han cambiado de
funcion o trabajo?
¿Se remueve o bloquea los derechos de acceso de usuarios que han
dejado la organizacion?
¿el nivel de acceso concedido cumple con las politicas de acceso?
Se encuentra documentado el desarrollo del proceso para brindar o

quitar derechos de acceso a aplicaciones y/o servicios?
¿Los usuarios cuenta con conocimiento de la modalidad de solicitud

de permisos?
9.2.3. GESTIÓN DE DERECHOS DE ACCESOS PRIVILEGIADOS

¿Qué medidas tienen para evitar el acceso a intrusos al uso de esta
herramienta?
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio,
para mantener la continuidad del servicio?
¿Están identificados correctamente los derechos de acceso?
¿Existen requerimientos para expirar los derechos de acceso?

Detalle
9.2.4. GESTIÓN DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA DE USUARIOS
¿Se cuenta con controles de autenticación para el acceso a
información personal del usuario?
¿Qué metodos y herramientas se tienen para proteger el control de
autenticación y evitar que sea infringido el control?
¿Los usuarios firman una declaracion comprometiendose a
mantener las claves secretas ?
¿Como se envia la clave secreta a los usuarios?
¿Es posible que 2 usuarios tengan la misma clave secreta?
9.2.5. REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS

¿Que tan frecuente se revisa los derechos de acceso de un usuario?
¿Se revisa y se reasigna los derechos del usuario al cambiar de una

funcion a otra?
¿Existe algun registro de los cambios para las cuentas privilegiadas?
¿Se cuenta con medidas de respaldo de la información en caso el

repositorio o servicio presente fallas?
¿Solo los propietarios de los activos cuentan con acceso a ellos?
9.2.6. REMOCIÓN O AJUSTE DE DERECHO DE ACCESO

¿Se cuenta con controles de actividad de uso de los servicios de los
usuarios?
¿En caso de dar de baja o modificaciones a cuentas de usuarios,
quien autoriza estos procedimientos?
¿Se elimina los derechos de acceso del usuario antes o despues de la
culminacion de su contrato?
9.3. RESPONSABILIDAD DE LOS USUARIOS
PREGUNTAS
9.3.1. USO DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA
¿Aparte del usuario, alguien mas conoce la clave secreta?
¿Existe un registro donde se registre la clave secreta del usuario? de

La
serclave secreta
afirmativo suele
¿Que generarse
medidas con para
toman estosasegurar
requisitos?:
esos registros?
-Facil de recordar
-Basada en la informacion de la persona
-Contiene una palabra pronunciable
-Caracteres consecutivos indeticos
Indique cuales si
¿Los usuarios tienen conocimientos de este tipo de control de
acceso, y las medidas de seguridad que se debe tener para aportar a
proteger su información?
¿Qué medida tienen los empleados para demostrar la recepción de

esta información?
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
PREGUNTAS
9.4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN
¿Los accesos y funciones del sistema de aplicaciones estan

restringidos acorde a la política de control de acceso?
9.4.2. PROCEDIMIENTOS DE INGRESO SEGURO

¿Existe alguna autenticacion extra de identidad, tokens, medios
biometricos, etc?
¿Qué controles se tienen para mantener un acceso seguro a los
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad del control de
acceso?
9.4.3. SISTEMA DE GESTIÓN DE CONTRASEÑAS
¿Se cuenta con medidas de control para las contraseñas de los
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad de este tipo de
control?
¿Se cuenta con controles en caso de fallas de contraseña en el
acceso?
¿Se intenta cumplir una contraseña de calidad?
¿Los usuarios siempre deben cambiar su contraseña al iniciar sesion

la primera vez?
¿Se registra las contraseñas utilizadas para evitar volverlos a
reutilizar?
9.4.4. USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS
¿Existe un registro de todo el uso de un programa de servicio
publico?
¿Que medidas se toma cuando un programa de servicio ya no se
usa?
¿Se cuenta con medidas de control para evitar se infringido por
aplicaciones que irrumpen el control de acceso?
¿Con que frecuencia se actualiza el conocimiento de nuevas
aplicaciones que amenacen la seguridad?
9.4.5. CONTROL DE ACCESO AL CÓDIGO FUENTE DE LOS PROGRAMAS
¿Las bibliotecas de programa que se usan vienen por defecto en el
sistema operativo?
¿Que medidas toman al publicar el codigo fuente de un programa
publicamente?
¿Se cuenta controles para restringir el codigo fuente de los
programas usados por los usuarios?
¿Con que frecuencia se actualiza estos controles para evitar las
vulnerabilidades futuras?
ACCESOS
ESTADO SUBTOTAL
RESPUESTA RECOMENDACIÓN TOTAL
ACTUAL (%)
Estructurar mejor las

Si, en las políticas de la organización de
politicas e la
encuentran políticas con respecto a los 4
controles de acceso organización definiendo
Si, están documentados los controles Los documentos
los controles de acceso
proporcionen una
para poder identificarlos y conocer su 4
mejora
Mantener continua en los
en control y
funcion
No, dependiendo de la funcion de los controles de acceso
revision a los derechos
usuarios, se le otorga diferente control de 4 de perfil que se les
acceso otorga a los distintos
Documentacion en la
Si, los usuarios conocen los accesos que usuario por rol
cual se especifique que
4 77.14%
se les otorga accesos se otrorgan
según el usuario u area
Se evalua bajo que informacion necesitan Automatizacion de
3
manejar evaluacion
Se debe tenerde accesos
Cada vez que se adiciona, modifica o se adicionalmente un
borra algún control se hace tambien una 4 tiempo periodico en el
revisión al resto de controles Un
cualarea deberialos
se revisen
El area de TI otorga el acceso pero el encargarse
controles dedeacceso
otorgar
criterio para otorgar permisos lo tiene el 4 accesos, haciendo mas 78.57%
area de seguridad de informacion rapido e eficiente los
permisos
Automatizar o generar
No, dependiendo en que red y servicio
un documento en el cual
trabajara el usuario, se lo otorga acceso 4
especifique que accesos
solo ahí
se an según el area
Gestionar un proceso de
No, no existe tal proceso 4 autorizacion a detalle
Si, la politica sobre el uso de servicios se Mantener el
establece bajo la politica de control de 4 cumplimiento y control
acceso de la organización de las politicas 80.00%
Los usuarios que laboran en la Definir el medio por el
4 Mantener en el acceso
organización y usuarios externos cual se solicita
capacitacion a dicho
El area de negocio confirma que se den personal para asi
los accesos a esas redes 4 puedan cumplir sus
Gestionar
funciones uncontiempo
mayor a
Se registra las actividades que se hacen 4 detalle
eficaciaen el cual se
en la red y quien las ejecutó adicionaran mas
registros de red
ESTADO SUBTOTAL
RESPUESTA ACTUAL RECOMENDACIÓN (%) TOTAL
Mantener el control de
Si, a cada usuario se le otorga un ID unico 4 los ID's para asi poder
optimizarlos
Fomentar la cultura de
No, no se comparte los IDS, cada usuario
4 cyber seguridad en la
tiene su ID correspondiente
organización
Mantener el
De existir ID de usuarios redundantes, gestionamientos de los
4
son eliminados ID's para su rapida
eliminacion
66.67%
Mantener un correcto
No es posible asegurar si los ids control de los ID's
redundantes son usados por los usuarios 4 correspondiente por
correctos trabajador de la
organización 66.67%
Si, existe un registro de los derechos que Mantenerlo segmentado
se le da al id del usuario para saber que 4 por areas cada ID asi su
accesos se les dio busqueda seria rapida
Brindar capacitaciones
periodicas al personal
Un empleado del area de negocios esta
4 para brindar mayor
encargado de eso
eficacia y eficiencia en
Se deberia adquirir
la otorgacion un
de acceos
La herramienta que viene por defecto en software dedicado a
2
el sistema operativo dicho proceso,
Capacitar al areaaside
seria
mas eficazoeladquirir
HelpDesk trabajo
No tiene soporte 2 servicios
Contar deplanes
con Outsourcing
de
ante cualquierante
contingencia siniestro
que puedasiniestro
cualquier ocurrir
No existe respaldo 2 previsto que puedan
afectar la contuninuidad
del servicio
Si, se les cambia los accesos dado que sus Documentacion en la
responsabilidades y funciones tienen 4 cual el usuario confirma
otras necesidades el cambio de accesos
Eliminar los derechos de
Se bloquea pero no se eliminan 4 acceso es mucho mas
completo el proceso
cumplir las politicas
Se trata de cumplir la politica de acceso al
4 establecidas 80.00%
otorgar el nivel de acceso
previammente
Mantenerlo en revision
Si, esta documentado el proceso para la
para asi poder brindarle
realizacion de brindar, quitar o modificar 4
periodicamente las
derechos de acceso Fomentar la cultura de
mejores practicas
las buenas practicas a
Si, conocen la modalidad para solicitar 4 los usuarios en la
permisos
seguridad de
OS informacion
Darle seguimiento y 77.78%
control ante las IP's de 3
Se identifica las ips de las computadoras
4 eros que quieran
que estan permitidas entrar a la red
adentrarse
Implementar a la redup's
back de la
No existen metodos de respaldo para organización
ante cualquier siniestro
4
posibles fallas de servicio que
Darlepuedan ocurriryen
seguimiento
Si, estan identificados todos los derechos los servicios
optimizacion como 80.00%
de acceso que se les puede otorgar al 4 grupos de red que
usuario Seguir
puedanmanteniendo
tener distintas las
buenas
areas practicas en los
No, no existen ese tipo de requerimientos 4 falsos pedidos que
puedan darle a los
SECRETA DE USUARIOS otorgadores de servicios
Se deberian adicionar
No, no hay una autenticacion extra para medidas de seguridad
4
el acceso del usuario extra como preguntas,
Incluir otras
captchas, etcmedidas de
Si, se le hace confirmar al usuario sobre seguridad como las
4
su inicio de sesion preguntas
Fomentar la decultura de
Si, se les hace firmar un contrato donde autenticidad
seguiridad de accesos
se compremeten a mantener sus claves 4 del porque se hacen 80.00%
en discrecion dichas acciones al
Optimizar
usuario el proceso de
Se les otorga un correo que despues de
unos minutos es destruido 4 otorgacion de claves
secretas
Mantener registrados
los casos usuales que
Si, es posible, aunque muy poco probable 4 puedan ocurrir en la
organizacion
Cada vez que se le hace algun cambio a Disminuir la periocidad
4
los derechos de acceso en los cambios de
acuerdo a la funcion,
Si, dado que su nueva funcion tiene otras
4 para asi evitar horas
necesidades que deben ser cumplidas
muertas los
Guardar en los
registros de
Si, hay un registro de los cambios que se trabajadores en sus
almenos 3 ultimos
4 labores 80.00%
hace a las cuentas privilegiadas cambios que sucedan
en dichas
Seria cuentas
recomendable
Si, siempre hay un respaldo de la
4 tener dichos respaldos
información Fomentar
en nube la cultura de
seguiridad de accesos
Si, solo ellos 4 del porque se hacen
dichas acciones al
usuario
Se deberia implementar
No, no hay un historial o registro de las
4 registros de actividades
actividades de los usuarios Se
de deberia dar
los usuarios
capacitaciones a los
Un empleado del area de negocios esta
4 empleados para contar 80.00%
encargado de eso
con las mejores
Se le bloquea despues de la culminacion practicas el periodo de
Disminuir
4
de su contrato retiro de accesos
ESTADO SUBTOTAL
ACTUAL (%)
ETA
Implementar una
cultura de proteccion de
No, solo el usuario de esa clave la conoce 4
la seguridad hacia los
Se deberia guardar al
trabajadores
No, no hay registro de la clave secreta del menos las 2 ultimas
4
usuario contraseñas para
Aumentar
gestion de mas
ellaslas
Bajo ninguno de esos requisitos se genera caracteristicas de la
4
la clave secreta creacion de las
contraseñas
80.00%
Si, se les hace conocimiento del tipo de Mantener informados 80.00%
control que tienen las medidas que periodicamente por
4
deben tomar para proteger su distintos canales a los
informacion usuarios
Optimizar
Solo se comparte o difunde información
periodicamente los
confidencial con las personas implicadas 4
canales que dicha
o autorizadas a recibir esa información difusion
ESTADO SUBTOTAL
ACTUAL (%)
Mantenerse en revision
Si, estan acorde a las politicas 4 para mejorar las 80.00%
mejores practicas
Se deberia incluir
minimo capchas que
no, no existe una autenticacion extra 0 apoyen a la verificacion
Se intenta evitar la instalacion de de la autenticidad
softwares a no ser que sean muy Mantener registros de
4 53.33%
necesarios, se evita y remueve posibles actividad delos usuarios
keygens
Deberia reducir el 53.33%
tiempo de la periocidad
Cada 6 meses se hace una evaluacion de
para asi tener mayor
los ataques que hubo y si existen que 4
control y/o reportes de
medidas tomar para evitarlos
las cuenta
Se buenascon practicas
una por
parte
politicadedelostaxonomia
usuarios de
No, no hay un control formal para las contraseñas, pero estas
4 Reducir el tiempo de la
contraseñas de usuarios son las basicas
periocidad
Se ria eficazparaañadirasi mas
Cada 6 meses se evalua si el control es
tener
parametros en ellos y/o
mayor control
vulnerable, y se trata de reducir esa 4
reportes de las buenas
vulnerabilidad Se deberiapor implementar
practicas parte de
Si, hay un intento minimo de insercion de preguntas
los usuariosde
4
la contraseña identificacion para
Se deberian
mayor respaldoincluir 66.67%
Si, la contraseña presenta diferentes 4 caracteres a la
caracteres para mas seguridad contraseña para mas
si, al iniciar sesion se les solicita el cambio Se deberialamantener
seguridad
Fomentar cultura del
sin opcion a mantener la primera 4 registrada las
porque se hacen dichas 62.00%
contraseña por defecto contraseñas utilizadas
acciones al usuario
debido a que pueden re
No, no hay registro de estas contraseñas 0 caer en colocarse la
misma contraseña y con
esto contrae a
vulnerabilidades
Se debe contar con de el
Si, se registra todo lo que se hace en el acceso
4 registro de consultas de
programa a excepcion de consultas
cada usuario
Tener el registro y
Es removido para que ya no sea utilizado criterios, documentadas
3
pero
Si, losesprogramas
almacenado que estan del porquepaginas
Restringir han sido de
implementados estan evaluados para removidos
descargas, debido que 50.00%
evitar este tipo de cosas, ademas de que 3 hay algunos programas
no se que
permite la instalacion Se debe establecer
Cada se puede se asistede
a nuevos portables que no
softwares bajo obligatoriamente un
conferencias deninguna
este tiposupervicion
de temas para necesitan instalacion
0 periodo para asi brindar
adquirir conocimientos y elaborar nuevas
capacitaciones
Tener previsto las sobre
medidas para reducir la amenaza ciberseguridad
ROGRAMAS bibliotecas que vayan a
Si, muchas bibliotecas para elaborar el
usarse a futuro para asi
programa vienen por defecto en el
4 prevenir
sistema operativo, pero no se limita a
vulnerabilidades al
usar solo esos Tener registrado
no se publica el codigo fuente del momento de la a los
4 que tienen
Revisar acceso al
las actividades
instalacion
programa
codigo
de fuente
los usuarios 60.00%
Si, no todos los codigos son usados por periodicamente por si a
4
los usuarios, por tanto se les limita su uso habido intento de
Establecer
querer ingresarun periodo
a los
No hay una frecuencia formal
obligatorio
codigos fuentes en donde
establecida, pero si existe y no suele 0
deban actualizar dichos
pasar de los 8 meses controles
TOTAL 74.59%
CUMPLIMIENTO
INCUMPLIMIENTO
78.57% 21.43%
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL

DE ACCESOS
21%
79%
CUMPLIMIENTO
INCUMPLIMIENTO
77.78% 22.22%
9.2. GESTIÓN DE ACCESO DE USUARIO

22%
78%
CUMPLIMIENTO
INCUMPLIMIENTO
80.00% 20.00%
9.3. RESPONSABILIDAD DE LOS USUARIOS

20%
80%
CUMPLIMIENTO
INCUMPLIMIENTO
62.00% 38.00%
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN

38%
62%
10. CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
PREGUNTAS RESPUESTA
10.1.1. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS

¿La empresa cuenta con políticas sobre el uso de controles si, existen politicas con respecto a
criptográficos? controles criptograficos
Bajo normas y leyes que orientan a

De ser así, ¿Cómo está implementada?
como deben ser estas politicas
Si no cuenta con alguna política, ¿Cómo protegen los Toda recurso informático de la empresa
documentos y/o datos confidenciales? siempre estará encriptado.
Las laptops asignadas a los empleados

¿Cuáles son las medidas adoptadas para la protección de la son encriptadas y este mecanismo
información a través de controles criptográficos? también será aplicado a la base de
datos en las tablas que se requiera.
Siempre encriptar los dispositivos
asignados a los empleados, toda
información sensible en el ambiente de
¿Cuáles son las políticas de confidencialidad, respecto a la producción y la conexión entre firewalls
protección de la información? por VPNs. Además no dar conocimiento
de la encriptacion a ningún usuario, sin
autorización.
En el caso de no contar con controles criptográficos, ¿Quién o
No se especifica.
que área sería la encargada de realizarlas?
10.1.2.GESTIÓN DE CLAVES
¿Hacen uso de claves criptográficas para proteger la Si, se usa claves criptograficas para
confidencialidad de la información? proteger la informacion.
En el caso de contar con controles criptográficos, ¿Quién La unidad de Seguridad de la

gestiona las claves criptográficas? Información y Continuidad.
¿Cada cuánto tiempo realizan la gestión de las claves
criptográficas?
No se especifica.
TOTAL
Se recomienda realizar
un reporte de
ESTADO encargaturas, para saber SUBTOTAL
RECOMENDACIÓN TOTAL
ACTUAL quienes son los (%)
responsables o CUMPLIMIENTO
encargados de las
2 funciones en las áreas de
la empresa.
Se recomienda tener un
reporte de encriptación
2 para que la organización
tenga un debido
seguimiento del mismo. 10.1. CONTROLES CRIP
Se recomienda tener
Se recomienda
informe tener unde
del inventario CUMPLIMIENTO INCU
2 inventario
todos adecuado
los del
recursos
software
informáticosy hardware
de dela
la PC, para que se pueda
ornización.
saber si los recursos
informáticos en la 40.00%
3 organización cuentan
con un proceso de
encriptación
Se debido.tener
recomienda
reportes de pistas de
auditoría del firewall y
3 del SO de la base de
datos para que se pueda 40.00%
contribuir a mejorar el
proceso de encriptación.
Se recomienda tener un 60%
documento que
0 especifique que área
deberá encargarse de los
controles criptográfios,
en caso no se cuenten
Se recomienda
recomienda realizar
Se
con estos. tener un
un reporte de
reporte de encriptación
encargaturas, para saber
para que la organización
3 con más
tenga undetalle
debidoquienes
son los responsables
seguimiento o
del mismo.
encargados y sus
3 funciones en las áreas de
la empresa.
40.00%
Se recomienda tener un
documento que
especifique cada cuánto
0
tiempo se deben realizar
la gestión de claves
criptográficas.
40.00%
CUMPLIMIENTO
INCUMPLIMIENTO
40.00% 60.00%
10.1. CONTROLES CRIPTOGRÁFICOS

40%
60%
11. SEGURIDAD FÍSICA Y AMBIENT
11.1. ÁREAS SEGURAS
PREGUNTAS
11.1.1. PERÍMETRO DE SEGURIDAD FÍSICA
Las instalaciones de procesamiento de información se encuentran en

buenas condiciones físicas asi como las puertas exteriores y ventanas
deben estar cerradas sobre todo a nivel del suelo
Cuentan con una área de recepción de atencion u otros medios para

controlar el acceso físico al sitio o edificio debidamente ubicado?
Cuentan con barreras fisicas para impedir el acceso fisico no

autorizado ?
las instalaciones cumplen con normas regionales, nacionales e

internacionales adecuadas en caso de incendios y que cumplan la
resistencia en caso de ocurrir este indicente ?
Cuentan con los sistemas adecuados de detección de intrusos bajo las

normas nacionales, regionales o internacionales y probados con
regularidad?
quien(es) se encarga de definir los controles para la proteccion de las

áreas que contienen la información y sus instalaciones de
procesamiento o bien sensibles o críticos.?
11.1.2. CONTROLES DE INGRESO FÍSICO
Se cuenta con un registro de los visitantes como la hora de entrada y

salida asi como la supervision a menos que su acceso ha sido
previamente aprobado.? La identidad de los visitantes es
autenticada?
Se cuenta con un mecanismo de autenticación por ejemplo, como la

tarjeta de acceso y el PIN en secreto; para el acceso a las áreas donde
la información es confidencial ?
cuentan con un libro de registro físico o electrónico de seguimiento

de auditoría de todos los accesos? asi como el mantenimiento y
supervision de la misma?
los empleados, contratistas y agentes externos llevan algún tipo de

identificación visible? y ademas ellos notifican al personal de
seguridad si se encuentran con los visitantes sin escolta y cualquier
persona que no lleve identificación visible?
el personal de servicio de apoyo externo tiene acceso restringido a
áreas seguras o confidenciales instalaciones de procesamiento de la
información?
los derechos de acceso a las áreas seguras se revisan y actualizan

periódicamente,?asi como las revocaciones?
11.1.3. ASEGURAR OFICINAS, ÁREAS E INSTALACIONES

instalaciones claves estan situados para evitar el acceso por parte del
público.?
los edificios son discretos y no indican signos obvios, fuera o dentro

del edificio,para la identificación de la presencia de las actividades de
procesamiento de información?
las instalaciones estan configurados para evitar que la información

confidencial o actividades sean visible y audible desde el exterior.?ejm
Blindaje electromagnético.
los directorios y guías telefónicas internas de instalaciones de

procesamiento de información confidencial son de fácil acceso para
cualquier persona no autorizada.?
11.1.4. PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES

Cuentan con las medidas de proteccion contra amenazas externas
,ambientales y/o humanas?
Quien o quienes se encargan de ver todas estas medidas ante las
amenazas antes mencionadas? ejemplo: incendios, inundaciones,
terremotos, explosiones, disturbios civiles y otros tipos de catástrofes
naturales o de origen humano
11.1.5. TRABAJO EN ÁREAS SEGURAS
Solo el personal es consciente de la existencia de todo tipo de
actividades en el interior?
En áreas seguras se evita el trabajo sin supervisión ?
Existe una revision periodica a las áreas seguras vacantes.?
Existe un control acerca del ingreso de algun equipo de grabación?
11.1.6. ÁREAS DE DESPACHO Y CARGA

El acceso a una entrega y zona de carga desde el exterior del edificio
esta limitado a personal identificado y autorizado?
La entrega y la zona de carga estan diseñados de manera que los

suministros pueden ser cargadas y descargadas sin personal de
reparto que acceden a otras partes del edificio?
las puertas exteriores de una entrega y el área de carga esta

asegurado cuando se abren las puertas de interior?
El material entrante es inspeccionado y examinado en busca de
explosivos, productos químicos u otros materiales peligrosos?
El material entrante es registrado de acuerdo con los procedimientos

de gestión de activos? (véase el Clausula 8) en la entrada al sitio.
Los envíos entrantes y salientes son separados físicamente?
El material entrante es inspeccionado en busca indicios de

manipulación en el camino.? Si se descubre tal manipulación se
informa al personal de seguridad?
11.2. EQUIPOS
PREGUNTAS
11.2.1. EMPLAZAMIENTO Y PROTECCIÓN DE LOS EQUIPOS
Las instalaciones de procesamiento de información de manejo de

datos sensibles estan colocados cuidadosamente para reducir el
riesgo de la información que se está viendo por personas no
autorizadas?
Los controles estan adoptados para minimizar el riesgo de posibles

amenazas físicas y ambientales, por ejemplo, el robo, incendio,
explosivos, humo, agua (falta de suministro de agua), polvo, vibración,
efectos químicos, interferencia de suministro eléctrico, las
interferencias de comunicaciones, la radiación electromagnética y el
vandalismo?
Las pautas para comer, beber y fumar en la proximidad de las

instalaciones de procesamiento de información estan establecidas?
Las condiciones ambientales, como la temperatura y la humedad,

estan monitorizados para detectar condiciones que puedan afectar
negativamente al funcionamiento de las instalaciones de
procesamiento de información?
La protección contra rayos es aplicada a todos los edificios y los filtros

de protección contra rayos son instalados en toda la energía entrante
y las líneas de comunicación?
11.2.2. SERVICIOS DE SUMINISTRO
cumplen con las especificaciones del fabricante del equipo y los
requisitos legales locales?
Son evaluados regularmente por su capacidad para satisfacer el
crecimiento de los negocios y la interacción con otros servicios de
apoyo?
son inspeccionados y probados con regularidad para asegurar su buen

funcionamiento?
Existe alarmas a detectar fallos de funcionamiento?
11.2.3. SEGURIDAD DEL CABLEADO
energía y las líneas de telecomunicaciones en las instalaciones de

procesamiento de información estan bajo tierra, o sujetas a
protección alternativa adecuada?
los cables de alimentación estan separados de los cables de

comunicaciones para evitar interferencias?
Cuentan con la instalación de conductos blindados en habitaciones

cerradas o cajas de inspección y de terminación de los puntos?
utilizan blindaje electromagnético para proteger los cables?
Tienen un control de acceso a los paneles de conexión y salas de

cable?
11.2.4. MANTENIMIENTO DE EQUIPOS
El equipo tiene mantenimientos de acuerdo con los intervalos de

mantenimiento recomendados por el proveedor y especificaciones?
El personal de mantenimiento es el unico autorizado a llevar a cabo

las reparaciones y los equipos de servicio?
se tiene registros de todas las fallas presuntos o reales, y de todo el
mantenimiento preventivo y correctivo?
se cumplen todos los requisitos de mantenimiento impuestas por las

pólizas de seguro?
11.2.5. REMOCIÓN DE ACTIVOS
los empleados y los usuarios externos que tienen la autoridad para

permitir la retirada fuera de las instalaciones de los activos son
identificados?
los plazos para la eliminación de los activos se establecen y vuelven a

ser verificarlos para su cumplimiento?
cuando sea necesario y apropiado, los activos se registra como

retirado fuera de sitio y se registra cuando se devuelven?
la identidad, el papel y la afiliación de cualquier persona que maneja o

usa los activos esta documentada?
11.2.6. SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES
Se tiene un control de los equipos y medios de comunicación tomadas
fuera de las instalaciones?
las instrucciones del fabricante para la protección de equipos son
observadas en todo momento? por ejemplo, la protección contra la
exposición a los campos electromagnéticos fuertes;
controles para fuera del establecimiento localizaciones, tales como

sitios de trabajo a domicilio, teletrabajo y temporales son
determinados por una evaluación de riesgos y los controles
adecuados se aplica en su caso?
11.2.7. DISPOSICIÓN O REUTILIZACIÓN SEGURA DE EQUIPOS
Todos los elementos del equipo que contiene los medios de almacenamiento
son verificados para garantizar que los datos sensibles y el software con
licencia se han eliminado o sobrescrito de forma segura antes de su
eliminación o reutilización.?
el proceso de cifrado es suficientemente fuerte y cubre todo el disco

(incluyendo el espacio de holgura, archivos de intercambio, etc)?
las claves de cifrado son lo suficientemente largos para resistir los

ataques de fuerza bruta?
11.2.8. EQUIPOS DE USUARIO DESATENDIDOS
los usuarios tiene por politica terminar sesiones activas cuando

finalice?ademas los equipos de computo cuentan con un bloqueo
adecuado como mecanismo? por ejemplo, un protector de pantalla
protegido contraseña
los usuarios tiene conocimiento de desconectarse de aplicaciones o

servicios de red cuando ya no sean necesarios?
11.2.9. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA
en cuanto a la información comercial sensible o crítica, por ejemplo,

en papel o en soporte electrónico, de que manera protegen dichos
documentos sobre todo cuando no hay nadie?
el uso no autorizado de las fotocopiadoras y otras tecnologías de

reproducción (por ejemplo, escáneres, cámaras digitales) hay politicas
contra dichos arfecfactos?
como se maneja con respecto a los medios que contienen información

sensible o clasificada ?son retiradas de la impresaoras de inmediato?
ESTADO
ACTUAL
Se recomienda hacer
Si, los ambientes cuenta con aprobación de zona
4 planos de instalaciones
segura, tambien con señalización de evacuación.
y evacuaciones.
Si, esta área se encarga de permitir el ingreso de El ambiente debe ser

externos a la organización y contactar al personal de la 4 cómodo para las
organización. personas que esperan.
Se debe colocar
barreras físicas de
Se cuentan con dispositivos de seguridad que por medio seguridad que por
de lectores de identificaciones para el acceso a ciertos 4 medio de lectores de
ambientes. identificaciones se
Se debe tener alarmas
pueda acceder
contra incendios,a 73.33%
diferentes ambientes.
extintores, detectores
Si, se encuentran con aprobación de defensa civil como
4 de humo, sensores de
zona segura.
temperatura y
fortalece las columnas
de las edificaciones.
Se cuenta con sistemas de monitoreo de zonas Se deben colocar
importantes para la organización donde el acceso solo 2 cámaras en toda la
permite a personal autorizado. organización.
Deben comunicar los

controles que realizan
El área de seguridad de información. 4
para a protección de
áreas.
Si, para el ingreso de visitantes se realiza un registro del Se debe tener esta
visitante, pero esta visita debe ser previamente 4 información en libros
reservada. físicos y en la nube.
Se debe identificar que

Se cuenta con dispositivos que son lectores de
lector ingresa a los
indentificadores de mayor nivel que permiten acceso a 4
diferentes ambientes
solo personal autorizado a ambientes de relevancia.
en tiempo real.
Se cuenta con un registro electrónico de los accesos Esta información

permitidos, los cuales son gestionados por mesa de 4 debería refrescarse
ayuda a orden de la jefatura correspondiente. diariamente.
80.00%
Deberian recomendar
que el pase de visita
El personal interno y agentes externos poseen como lectores de
idenfiticación otorgada por la organización, pero ningún 4 identificación de los
externo puede ingresar sin identificación. trabajadores, siempre
se coloque en lugar
visible.
Se debe identificar que
lector de identificación
Si, se publicó que solo personal interno autorizado tiene
4 ingresa a los diferentes
acceso a ambientes relevantes para la organización
Seambientes en tiempo
recomienda que las
jefaturas real.
envien un
correo informando
Se actualizan en base a las solicitudes de las jefaturas
4 sobre la revocación de
de áreas.
su personal
Se a que
recomienda
Seguridad de la
todas las edificaciones
Información.
tengan instalaciones
No todas las instalaciones prensentan visibilidad de claves, que eviten al
1
acceso al público público en general
acceder a la
organización,
No mostrar la de
Si los edificios de la organización presentan apariencia manera informal.
infraestructura interna
discreta, donde no muestran la actividad del personal 4
dentro del establecimiento. de las edificaciones por
ningun medio social.
Se recomienda colocar 50.00%

Si, se cuenta con protección al cableado para evitar el blindaje
4
robo o filtrado de información. electromagnetico a
todas las edificaciones.
Deben colocar
seguridad telefónica,
No, solo la jefatura de cada área posee el manejo de las 4 para que la
guías telefónicas. comunicación solo sea
por anexos.
ejemplo:Cisco
ALES
Deben evaluar más
Si, se cuenta con protección aprobada por defensa civil. 1
riesgos.
Se debe evaluar los 20.00%

riesgos y
Inicialmente lo esta viendo el área de logística. 1
consecuencias,
priorizarlos
Los proveedores deben

Si, deben cumplir con el principio de confidencialidad. 1 cumplir el principio de
confidencialidad.
Se deben registrar los
Las áreas seguras son evaluadas cuando ocurre algun incidentes, para poder
1
accidente que afecte la estructura. corregirlos de
La frecuencia de
inmediato. 20.00%
revisión es muy larga,
La revisión se realiza una vez al año. 1 si es un área
Deberían revisar
segura
en la
debería desiser
enntrada los
priorizada.
trabajadores,
Se menciona la prohibición de ingreso de este tipo de
1 proveedores o
equipos.
visitantes ingresan con
estos
Se debeequipos
brindary mayor
reportarlo.
seguridad al personal
Si, el ambiente se encuetra restringido a personas
1 encargado de la
ajenas al ambiente.
entrega y a la zona de
carga.
Si,está diseñado para que solo personal
correspondiente al proceso pueda tener acceso, 1
impidiendo el acceso a personal de áreas ajenas.
Si,poseen medidas de control para limitar el acceso a la

1
organización.
20.00%
Si, todo material antes de ingresar es revisado por el
1 20.00%
personal de seguridad del exterior del establecimiento.
Si, dicho material es registrado con sus datos y los de la

1
persona que entrega.
Si, se mantiene un orden de ubicación de estos

1
productos.
Si, todo material antes de ingresar es revisado por el

1
personal de seguridad del exterior del establecimiento.
ESTADO
RESPUESTA ACTUAL RECOMENDACIÓN SUBTOTAL (%)
Las instalaciones se cuentran protegidas por medidas

de acceso tanto físicas como lógicas de ajenos al 1
proceso.
Si, los controles implementados estan orientados a la

protección ante vulnerabilidades de acceso, accidentes 3
y fenomenos naturales.
23.33%
Si, se encuentra publicado normativas que prohiben
acciones no permitidas dentro de ambientes de 1
relevancia.
Se cuenta con dispositivos que permiten controlar la

temperatura y humedad asegurando el funcionamiento 1
del proceso.
Si, se posee medidas de seguridad ante problemas de

1
energía ocasionados por fenomenos naturales.
Si, cumplen los acuerdos estipulados por el fabricante. 1
No, son evaluados por cumplimiento de objetivos 1
20.00%
No, son inspeccionados una vez al año 1

20.00%
No, pero son reportados por mesa de ayuda ya que

1
ellos reciben las incidencias.
Algunas instalaciones de cableado se encuentran a vista

del personal con proteccoón adecuada contra daños,
1
mientras que la mayoria encuentra oculta por la
estructura del edificio.
Si, se brinda la separación y distribución adecuada para

1
evitar interferencias.
20.00%
Si, se cuenta con medidas de seguridad. 1
Se brinda la protección de cableado a corde de los

1
estándares de seguridad de cableado estructurado.
Si, se posee dispositivos de acceso que limitan el acceso

1
a personal autorizado.
No, el mantenimiento se da cuando se presentan

1
averías, otorgados por el proveedor.
Si, siempre y cuando sean equipos que esten bajo su 1

responsabilidad de funcionamiento.
20.00%
No, ya que no se lleva mantenimiento preventivo de 1
equipos.
Solo en caso de equipos que sean otorgados y

1
administrados por terceros.
La organización posee una relación de responsables de

los activos, donde son estos quienes tiene potestad de 1
mofiticaciones de las instalaciones.
No,solo se considera el cumplimiento de la tarea. 1

20.00%
Se realizan modificaciones en el inventario. 1
Si,dichos activos se mencionan cuando se designan las

1
responsabilidades.
LACIONES
Deberian tener un
inventariado de los
No. 1
activos dentro y fuera
de la organzación.
20.00%
Deben hacer un
No, solo cuando se presenta fallas en el servicio
1 analisis preventivo, no
otorgado por el proveedor.
correctivo.
20.00%
Deberian evaluar la
posibilidad de trabajo
freelance, teletrabajo,
No hay trabajos establecidos de ese tipo. 1 entre otros, ante
posibles
acontecimientos de
fuerza mayor.
Deberian llevar un
No, ya que cuando se procede a reutilizar dichos
control de inventariado
equipos se resetea, lo cual significa reinstalar los 1
y historial de equipos
servicios.
con usuarios.
Se recomienda que el 20.00%

Si, el cifrado es garantizado por certificaciones digitales cifrado sea garantizado
manejadas por la organización. 1 por certificaciones
digitales.
Se recomienda que el
No se encontró información de la misma. 1 cifrado sea garantizado
por certificaciones
digitales.
Si, se mencionó una normativa de la organización Se debe incuir como

donde solicitan el cerrado de sesión como medida de normaiva el cambio de
protección cuando se procede retirar del 1 contraseñas
establecimiento. periodicamente.
20.00%
Deben incluir una
Si, se posee recomendaciones del cierre de aplicaciones normativa que los
1
que no son utilizadas para no saturar la red. trabajadores deben
apagar sus equipos.
Se aplican implementos de protección donde solo el Colocar cámaras de

3
personal autorizado tiene acceso a ello seguiridad.
Se debe controlar el
Dichos dispositivos tiene asignados permisos para 33.33%
1 uso de esos artefactos,
usuarios evitando el uso de personal no autorizado.
por rango de horas.
Se debe colocar
normaivas que
indiquen que cualquier
Se proporciona de muebles para el almacenamiento de
1 información
dichos medios.
confidencial debe ser
reportada de
inmediato.
TOTAL 32.87%
TOTAL
CUMPLIMIENTO
INCUMPLIMIENTO
43.89% 56.11%
11.1. ÁREAS SEGURAS

44%
43.89% 56%
CUMPLIMIENTO
INCUMPLIMIENTO
21.85% 78.15%
TOTAL
11.2. EQUIPOS
22%
78%
78%
21.85%
12. SEGURIDAD DE LAS OPER
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS
PREGUNTAS
12.1.1. PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS
¿Existe documentación de los principales procedimientos de

operación?
los documentos de operaciones estan a disposicion de los

usuarios que lo necesiten ?
12.1.2. GESTIÓN DEL CAMBIO

¿Se tiene un registro de los cambios?
¿existe un control respecto a los cambios en la

organización,los procesos de negocio,instalaciones y sistemas
que afectan a la seguridad de información de procesamiento
de información?
¿Qué elementos se considera dentro del proceso de la

gestion de cambios? Ejm . Identificacion y registro de los
cambios significativos ,Impacto , etc.
12.1.3. GESTIÓN DE LA CAPACIDAD
quienes supervisan los recursos clave del sistema.?ejemplos

de la gestión de la demanda de capacidad incluyen: Supresión
de datos obsoletos (espacio en disco); Desmantelamiento de
las aplicaciones, sistemas, bases de datos o entornos;
Optimización de procesos por lotes y los horarios;
optimización de la lógica de aplicación o consultas de bases
de datos; Negar o restringir el ancho de banda para los
servicios de hambre de recursos, si estos no son críticos para
el negocio (por ejemplo, la transmisión de vídeo).
El uso de los recursos es monitoreado ?
se tiene proyecciones de las futuras necesidades de

capacidad para asegurar el rendimiento del sistema que se
requeriera?
12.1.4. SEPARACIÓN DE LOS ENTORNOS DE DESARROLLO, PRUEBAS Y OPERACIONES
Existe los niveles de desarrollo, pruebas y entornos

operacionales?
¿Existe una separación entre los entornos de desarrollo,

prueba y producción? Trabajan de forma independiente?
El personal que se encuentra en estos niveles comparten la

misma informacion?
12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS
PREGUNTAS
12.2.1. CONTROLES CONTRA CÓDIGOS MALICIOSOS

¿Cuentan con controles de detección, prevención y
recuperación para proteger contra el malware?
¿Qué controles utilizan para prevenir?
¿Qué controles utilizan para la deteccion?
¿Qué controles utilizan para la recuperacion?

12.3. RESPALDO
PREGUNTAS
12.3.1. RESPALDO DE LA INFORMACIÓN
Cuentan con copias de seguridad de respaldo?
cuentan con una política de copia de seguridad?
¿Exiisten pruebas de copias de seguridad? Y cada cuanto

tiempo se hacen estas pruebas?
12.4. REGISTROS Y MONITOREOS
PREGUNTAS
12.4.1. REGITRO DE EVENTOS
Cuentan con un registro de eventos ? Ya sea como

actividades de los usuarios , grabar registro de eventos , etc
¿Qué elementos incluyen dentro del proceso de registro de

eventos? Ejm. Id usuario , Las actividades del sistema , etc.
12.4.2. PROTECCIÓN DE INFORMACIÓN DE REGISTROS

Como se protegene la informacion de registro?
En caso de alguna alteracion o manipulacion de la

informacion de registro que medidas se toman ?
12.4.3. REGISTROS DEL ADMINISTRADOR Y DEL OPERADOR
cuentan con un administrador de sistema y un gestor de red?
¿Qué herramientas usa para el registro de actividad del

administrador o del gestor de red?
Con respecto a los titulares de cuentas de usuarios

privilegiados se tiene un seguimiento o control acerca de las
actividades que ellos hacen?
cuentan con un sistema de detección de intrusos?
12.4.4. SINCRONIZACIÓN DEL RELOJ
¿Los relojes de las diferentes areas se encuentran en

sincronia con el reloj maestro?
los requerimientos externos e internos para la representación

del tiempo, sincronización y precisión estan documentados?
12.5. CONTROL DEL SOFTWARE OPERACIONAL
PREGUNTAS
12.5.1. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERACIONALES

¿Se cuenta con algun procedimiento al momento de la
instalacion de un software en los sistemas operativos?
que procedimientos que aplican para controlar la instalación

de software en los sistemas operativos?
cuentan con proveedores informaticos?

los proveedores tienen acceso físico o lógico ?
12.6. GESTIÓN DE VULNERABILIDAD TÉCNICA
PREGUNTAS
12.6.1. GESTIÓN DE VULNERABILIDADES TÉCNICAS
¿cuentan con un inventario de los activos de la empresa?
que pautas siguen para establecer un proceso de gestión

eficaz para las vulnerabilidades técnicas?
12.6.2. RESTRICCIÓN SOBRE INSTALACIÓN DE SOFTWARE
existe una política estricta en la que los tipos de usuarios de

software puedan instalar?
¿que tipo de instalaciones de software esta permitido por

parte de los usuarios?
12.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
PREGUNTAS
12.7.1. CONTROLES DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Se lleva una planificacion de los requisitos de auditoria

relacionada a los sistemas de informacion?
cada cuanto tiempo se hace una planificacion para los

requisitos de una auditoria y/o las actividades relacionadas
con la verificación de los sistemas operativos?
que pautas se considera dentro del proceso de una

auditoria? Ejm pruebas de auditoría que podrían afectar a la
disponibilidad del sistema se deben ejecutar fuera de horas
de oficina
12. SEGURIDAD DE LAS OPERACIONES
TIVAS
ESTADO
RESPUESTA
ACTUAL
OS
Existe documentación de los procesos como las copias

de respaldo pero no a detalle como procedimiento de 3
encendido y apagado.
Los documentos de disposiciones no esta a disposición

de los ususarios, deben tener cierto permiso para 4
acceder a ellos.
Existe un registro de cambios pero no son los mas adecuados

para gestionar correctamente los cambios dentro de la 4
organización.
Existen politicas de seguridad con los cambios de base

de datos, o un tipo de data, pero no cuando haya un 3
cambio en los procesos de negocio.
Hay documentos existentes para una gestión de cambios

3
pero no son los mas adecuados.
Estan supervisados los recursos claves de los sistemas

3
mediante permisos y niveles de jerarquia.
Tienen un adecuado monitoreo de los recursos 5
Se cuenta con respaldo en la nube y se tiene

5
proyecciones futuras.
O, PRUEBAS Y OPERACIONES
Existen ciertos niveles pero no se consideta los mas

adecuados, solo estan como politicas o pautas que
3
seguir pero no usan una metodologia adecuada para
esos procesos.
Existe una pequeña separación el cual es la revisión de

cada nivel que se encuentra pero no entra a mayor 3
detalle.
Existe una pequeña separación el cual es la revisión de
cada nivel que se encuentra pero no entra a mayor 3
detalle.
ESTADO
RESPUESTA
ACTUAL
Si se tiene definido controles para detección de virus

3
maliciosos.
3
maliciosos.
3
maliciosos.
Si se tiene definido controles para detección de virus 3
maliciosos.
ESTADO
RESPUESTA ACTUAL
Si cuentan con copias de seguridad BackUps. 3
Si se tienen politicas establecidas para la copia de

información. 3
Si existen copias de seguridad diario, semanal y mensual. 4
ESTADO
RESPUESTA
ACTUAL
Se tiene consideraciones de los eventos registrados. 3
Se tiene un registro de las actividades de los ususarios

3
que es parte de la SI.
Se protege la información mediante jerarquias de
3
seguridad.
Para acceder a la alteración o manipulación de la 4

información de registro se necesita ciertos permisos.
DOR
Se cuenta con una gestión de red. 3
Se usan diversas herramientas para el registro de

3
actividades.
Se cuenta con un adecuado control para los privilegios

4
que tienen los usuarios de los diferentes recursos.
Se realiza un monitoreo de los usuarios. 2
Se tiene una sincronización de los relojes para poder

acceder correctamente a la red. 4
No estan documentados todavia sobre la sincronización. 1
ESTADO
RESPUESTA
ACTUAL
ACIONALES
Se cuenta con manual de instalación. 4
Existe un documento con los pasos para poder instalar

3
correctamente un software.
Si se cuenta con proveedores. 4

Si tienen acceso a la información ya que gestionan los
3
servidores.
ESTADO
RESPUESTA
ACTUAL
Si se cuenta con un inventario de la empresa. 4
Las vulnerabilidades estan documentadas en gestión de

riesgos con sus respectivos controles, pero no se tiene 3
un adecuado control con los proveedores.
Tiene un nivel de jerarquia y requisitos que deben

4
cumpli para poder proceder con la instalación.
Estan permitidos siempre y cuando sean beneficiosos

4
para la empresa.
STEMAS DE INFORMACIÓN
RESPUESTA ESTADO
ACTUAL
ORMACIÓN
Se tiene una planificación a inicio de año y fin de año

que proyectos van a ser auditados com oque areas para 3
el beneificio de la compañía.
Anualmente se realiza una auditoria a determinadas

4
areas.
Se considera el proceso a evaluar mediante reuniones 3

con los agentes que participan dentro del proceso a
auditar.
TOTAL 67.02%
SUBTOT
AL (%)
CUMPLIMIENTO
Si bien existe el respaldo de la información, se

deben considerar buenas practicas para un mejor
control de la información documentada.
70.00%
Se considera que es adecuado el uso de permisos
para poder acceder a ciertos documentos
operacionales de la empresa.
Se reomienda el uso de ciertas herramientas de gestión

para registrar los cambios y se vean reflejados en la
organización.
Es recomendable una adecuada herramienta de

gestión de cambio para que se refleje los cambios en
la organización con mayor efectividad. 12.1. PROCEDIMIENTO
66.67%
OPERATIVAS
CUMPLIMIENTO
Es recomendable una adecuada herramienta de
gestión de cambio para que se refleje los cambios en
la organización con mayor efectividad.
Se recomienda mejor comunicación dentro de la 70.83%

empresa para poder identificar en menor tiempo los
recursos como espacio en disco, aplicaciones sin
uso, recursos obsoletos que solo hacen dificultar los
procesos de la empresa.
86.67%
Es adecuado el monitoreo de los recursos.
Es adecuado el monitoreo de los recursos.
29%
29%
Se recomienda usar una adecuada metodologia para

definir y aplicar correctamente los niveles
operacionales existentes.
60.00%
Se recomienda usar una adecuada metodologia para
definir y aplicar correctamente los niveles
operacionales existentes.
Mejorar la comunicación en cada nivel.
SUBTOT TOTAL
RECOMENDACIÓN
AL (%)
Se recomienda una revisión periodica y/o medidas

de seguridad.
de seguridad.
60.00% 60.00%
de seguridad.
de seguridad.
SUBTOT
RECOMENDACIÓN AL (%) TOTAL
Se recomienda tener guardado los respaldos en la

nube para una mayor seguridad.
Las politicas son adecuados pero se puede mejorar.

66.67% 66.67%
Se recomienda tener guardado los respaldos en la

nube para una mayor seguridad.
CUMPLIMIENTO
SUBTOT TOTAL
RECOMENDACIÓN
AL (%)
Se recomienda tener un mejor registro de todas las

actividades y un monitoreo de ello. 12.3. R
60.00% CUMPLIMIENTO
Se recomienda tener un mejor registro de todas las

actividades y un monitoreo de ello.
Es adecuado la gestión para el acceso a la manipulación
de la información.
70.00%
Es adecuado la gestión para el acceso a la manipulación
de la información.
Se debe considerar a un respaldo del administrador de

sistema y del gestor en caso de cualquier incoveniente.
60.00%
Se recomienda usar herramientas que esten certificados

con buenas practicas para gestionar el registro de 33%
actividades y pdoer monitorear.
60.00%
Se tiene un adecuado control de los privilegios.
Es una actividad repetitiva pero no es la mas adecuada

puede mejorar.
Es gestionado el monitoreo de las horas.
50.00%
Se recomienda que exista documentación acerca de la
sincroniación de las horas adecuadamente.
SUBTOT
AL (%)
Se recomienda alamacenar los documentos en la nube.
Se recomienda alamacenar los documentos de instalación

de software en la nube.
70.00% 70.00%
Se recomienda tener una adecuada comunicación con los

proveedores para tener en cuenta las vulnerabilides.
Se recomienda tener una adecuada comunicación con los
proveedores para tener en cuenta las vulnerabilides.
CUMPLIMIENTO
SUBTOT
AL (%)
Se tiene un adecuado inventariado.

12.5. CONTROL DEL SO
Se recomienda tener un mayor control con los 70.00%
proveedores que brindan servicio como la información en CUMPLIMIENTO
la nube.
75.00%
Se tiene un adecuado proceso para la instalación de

software.
80.00%
Se tiene controlado los permisos para la instalacion de

software.
RECOMENDACIÓN SUBTOT TOTAL

AL (%)
30%
Se puede mejorar la planificación con el historial de

reportes de auditoria.
Se tiene que considerar las recomendaciones de los

auditores y cumplir con las observaciones. 66.67% 66.67%
Se tiene que considerar las recomendaciones de los

auditores y cumplir con las observaciones asi como dar la
información solicitada para una mejor auditoria.
CUMPLIMIENTO
12.7. CONSIDERACIONES
SISTEMAS DE INFORMACI
CUMPLIMIENTO
33%
CUMPLIMIENTO
INCUMPLIMIENTO CUMPLIMIENTO
70.83% 29.17%
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES 12.2. PROTECCIÓN CONTR

OPERATIVAS
CUMPLIMIENTO
29%
40%
29%
40%
71%
CUMPLIMIENTO
66.67% 33.33%
12.3. RESPALDO
12.4. REGISTROS
CUMPLIMIENTO
33%
40%
67%
CUMPLIMIENTO
70.00% 30.00%
12.5. CONTROL DEL SOFTWARE OPERACIONAL 12.6. GESTIÓN DE VULN

CUMPLIMIENTO INCUMPLIMIENTO CUMPLIMIENTO
25%
30%
70%
CUMPLIMIENTO
INCUMPLIMIENTO
66.67% 33.33%
.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS

STEMAS DE INFORMACIÓN
33%
67%
CUMPLIMIENTO
INCUMPLIMIENTO
60.00% 40.00%
.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS

%
%
60%
CUMPLIMIENTO
INCUMPLIMIENTO
60.00% 40.00%
12.4. REGISTROS Y MONITOREOS

%
60%
CUMPLIMIENTO
INCUMPLIMIENTO
75.00% 25.00%
12.6. GESTIÓN DE VULNERABILIDAD TÉCNICA

25%
75%
13.1. GESTIÓN DE SEGURIDAD DE LA RED
PREGUNTAS
13.1.1. CONTROLES EN REDES
¿Cómo gestionan y controla las redes?
¿Quién realiza dichas funciones?

13.1.2. SEGURIDAD DE SERVICIOS DE RED
¿Cuentan con mecanismos de seguridad en la red?
¿Estan identificados e incluidos en un acuerdo de servicio de red?
13.1.3. SEGREGACIÓN DE REDES
¿Cómo se tiene distribuído los sistemas de información, usuarios y

servicios a nivel de red? (separada o todos juntos)
13.2. TRANSFERENCIA DE INFORMACIÓN
PREGUNTAS
13.2.1. POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE LA INFORMACIÓN
¿Cuentan con políticas, procedimientos y/o controles que protegan

la transeferencia de informacion?
¿Estas politicas, procedimientos y/o controles estan difundidos en
toda la empresa y terceros?
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen?
¿Qué tan seguido se actualiza las políticas, procedimientos y/o

controles?
13.2.2. ACUERDO SOBRE TRANSFERENCIA DE INFORMACIÓN

¿Qué acuerdos existen para transferir se manera segura la
información del negocio entre la organización y partes externas?
13.2.3. MENSAJES ELECTRÓNICOS
¿Manejan algun tipo mecanismo que controle la información que

contiene un correo?
De ser así ¿Quién maneja o gestiona dicho mecanismo?
13.2.4. ACUERDOS DE CONFIDENCIALIDAD O NO DIVULGACIÓN

¿Cuentan con políticas de confidencialidad o no divulgación en la
empresa? (con respecto a la información)
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen?
(tanto trabajadores internos como externos)
¿Qué tan seguido se actualiza los documentos de acuerdo de

confidencialidad?
ESTADO SUBTOTAL
RESPUESTA RECOMENDACIÓN
ACTUAL (%)
En el caso de IBM lo que realiza es una configuración de Mantener tambien una

puertos (port security), revisa el ingreso mediante VPN y
4 gestion interna de las
en el caso de Telefóncia estos gestionan la seguridad
redes 90.00%
mediante equipos especialemente para ello
La red WAN la gestiona Telefónica y la red LAN la

5
gestiona IBM
Realizar un mecanismo
Si, cuentan con mecanismos de seguridad perimetral. 3 de seguridad mucho
mas organizado 50.00%
Si están identificados. 2 Realizar un inventario
Las segmentaciones
Cuentan con segmentaciones, tanto para SI, usuarios y 3 mantenerlas 60.00%
servicios a nivel de red.
documentaas
RESPUESTA ESTADO RECOMENDACIÓN SUBTOTAL

ACTUAL (%)
IA DE LA INFORMACIÓN
Realizar el
Si se cuenta con políticas de transferencia de procedimiento de la
3
información transferencia de
informacion
Difundirlo
Son difundidos para todo el personal que interactue con
2 principalmente a las
los activos de información.
direcciones y jefaturas
De igual manera 55.00%
Se realiza una evaluación que consiste en las políticas
mantener un
que son informadas mediante una plataforma e-learning, 3
seguimiento anual o
es por medio de esto que se realiza un seguimiento.
mensual
Actualizar las potilicas

Se revisan y actualizan cada año. 3
cada 6 meses
IÓN
Existe un acuerdo entre la organización y la partes
externas mediante un acuerdo de confidencialidad por Renovar el acuerdo cada
cierto tiempo
parte de la organización y a su vez por partes externas 3 60.00%
una brecha de seguridad, por el cual se avala por ambos considerando posibles
cambios
lados.
Adicionar mas
mecanimos de
Como mecanismo de proteccion de correos es Google,
3 proteccion ya que solo
quien nos provee el servicio corporativo.
uno no asegura una
seguridad tan completa 60.00%
Mantener una gestion

Lo gestiona Google. 3
interna
ACIÓN
Especificar las politicas
Si se cuenta con políticas de confidencialidad. 4 de confidencialidad en
todas las areas
Se realiza una evaluación que consiste en las políticas
que son informadas mediante una plataforma e-learning, 5
es por medio de esto que se realiza un seguimiento. 73.33%
Se actualiza cada año 2 actualizar casa 6 meses
TOTAL 64.38%
TOTAL
CUMPLIMIENTO
INCUMPLIMIENTO
66.67% 33.33%
66.67% 13.1. GESTIÓN DE SEGURIDAD DE LA RED

TOTAL
33%
67%
62.08%
67%
62.08%
CUMPLIMIENTO
INCUMPLIMIENTO
62.08% 37.92%
13.2. TRANSFERENCIA DE INFORMACIÓN

38%
62%
D
67%
67%
ÓN
14. ADQUISICIÓN, DESARROLLO Y MANTEN
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
PREGUNTAS
14.1.1. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
A la hora que han adquirido o van a adquirir un SI, ¿Le han

solicitado algunos requisitos relacionados a la seg. de la inf. a la
empresa o persona a implementar tal SI?
¿Qué requisitos relacionados a la seguridad de la informacion

existe para la adquisicion o mejora en los sistemas de
información?
14.1.2. ASEGURAMIENTO DE SERVICIOS DE APLICACIONES SOBRE REDES PÚBLICAS
¿Cómo protegen la informacion que almacenan las aplicaciones

que pasan por redes publicas hacia las redes internas de la
empresa?
14.1.3. PROTECCIÓN DE TRANSACCIONES EN SERVICIOS DE APLICACIÓN
¿Cómo se protege la información involucrada en las

transacciones otorgradas por servicios de aplicación en la
empresa?
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
PREGUNTAS
14.2.1. POLÍTICA DE DESARROLLO SEGURO
¿Existen reglas para el desarrollo del software y cuales son

estas reglas?
14.2.2. PROCEDIMIENTOS DE CONTROL DE CAMBIO DEL SISTEMA
¿Cuál es el procedimientos que se realiza para el control de

cambio de un sistema?
14.2.3. REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS A LA PLATAFORMA OPERATIVA
Cuando se realiza algún cambio en la plataforma de un sw,

¿Qué tipo de procedimientos realizan para asegurar que no
haya algún impacto en la organización?
14.2.4. RESTRICCIONES SOBRE CAMBIOS A LOS PAQUETES DE SOFTWARE
¿Cuáles son las restricciones que la empresa dispone para el

cambio de un software?
14.2.5. PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS
¿Qué principios de sistemas seguros establecen a la hora de

implementar un sistema?
14.2.6. AMBIENTE DE DESARROLLO SEGURO
¿Cómo protegen o aseguran los ambientes de desarrollo
14.2.7. DESARROLLO CONTRATADO EXTERNAMENTE
¿Cuentan con un ambiente de desarrollo externo?
¿Se supervisa y monitorea las actividades de desarrollo de un

sistema tercerizado?
14.2.8. PRUEBAS DE SEGURIDAD DEL SISTEMA
¿Que pruebas de seguridad se realizan durante las etapas del

desarrollo?
14.2.9. PRUEBAS DE ACEPTACIÓN DEL SISTEMA
¿Acorde a qué criterios aprueban la aceptación de nuevos SI,

actualizaciones y/o versiones nuevas?
14.3. DATOS DE PRUEBA
PREGUNTAS
14.3.1. PROTECCIÓN DE DATOS DE PRUEBA
Cuando se implementa un nuevo SI, a la hora de realizar las

pruebas ¿De donde sacan los datos?
¿Cómo protegen los datos usados para pruebas y quién lo

realiza?
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
DE INFORMACIÓN
ESTADO
RESPUESTA
ACTUAL
DE SEGURIDAD DE LA INFORMACIÓN
Si, siendo que se establecen los requeriminetos minimos

3
de seguridad para un nuevo software.
Varía acorde al tipo de instalación del sistema que

procese la información y al tipo de información que 3
maneje.
IONES SOBRE REDES PÚBLICAS
Para proteger los recursos y activos de información se

utilizará el enfoque de capas múltiples. El diseño de
seguridad de la red deberá incluir la funcionalidad de 3
firewalls en todos los puntos de rd donde existan
exposiciones externas para explotación.
IOS DE APLICACIÓN
El DBA debe desarrollar procedimientos de seguridad

para salvaguardar la BD. Incluir el respaldo y 3
restauración
O Y SOPORTE
ESTADO
RESPUESTA
ACTUAL
Se manejan mediante reglas básicas, acorde a lo que se

puede implemen tar en base a los requerimientos
0
brindados. (estandares en la bd, el no uso de ajax,
diseño de 3 capas, etc.)
DEL SISTEMA
Para la realizacion de un cambio este se inicia mediante

un requirimiento o necesidad, se evalua si es viable el
cambio, se aprueba, luego se programa (se fija fechas),
pasa por calidad (quien realiza pruebas) y luego pasa a
3
producción.
En caso el requerimineto implique cambios a los
calculos y/o formulas en el core se deberá contar con la
conformidad del responsable.
ÉS DE CAMBIOS A LA PLATAFORMA OPERATIVA
Cuando se trata de cambios significativos o en módulos

criticos se realiza un análisi de impacto a nivel de
procesos en la etapa funcional y técnico en la fase de
4
desarrollo. Se ve mediante un documento donde se
detalla el cambio que se ha realizado, donde se mide el
impacto que generaría este.
UETES DE SOFTWARE
Se basan en los contratos que deben definir claramente
lo limites de uso. Se está prohibido de copia o utilizar
software de manera contraria a la provisión del
contrato. 4
Que el software a implementar debe ser licenciado y
tener compatibilidad con otros software de la
organización.
GUROS
Cuando se implementa un SI este debe de cumplir con

que la información debe de ser integra, debe de ser
4
confidencial (que solo ciertos usuarios tengan acceso a
la información) y disponibilidad
A través de la segmentación de las redes. Se protege

separando los ambiente de desarrollo con producción y
3
pruebas, manejan un control de versiones,
manteniendo una base de datos íntegra.
No cuentan con un ambiente de desarrollo tercerizado. 3
No cuentan con un ambiente de desarrollo tercerizado. 2

No se identifican procesos de aseguramiento de calidad,
0
durante la etapa de desarrollo sino post.
Si aporta valor al core del negocio, si se cuenta con

presupuesto para el cambio, la disponibilidad del 4
personal a realizar dicho cambio.
ESTADO
RESPUESTA ACTUAL
El area de calidad maneja su propia data la cual es

generada de anteriores pases a produccion a su vez esta 4
se genera mediante un sw que ellos usan y es cifrada
por así decirlo.
Los datos de prueba son protegidos mediante cifrado o

4
son camuflados. El área que lo realiza es Calidad
TOTAL 65.19%
TOTAL 20.00%
IENTO DE SISTEMAS
SUBTOTAL
(%)
CUMPLIMIE
Especificamente se tiene una carta de confidencialidad, la
cual puede ser fortalecido con el conocimiento de la
experiencia del proveedor en proyectos similares. La
centralización a través de una PMO nos permitiria una
mejor administración.
60.00%
El impacto en el negocio debe ser cuantificado afín de

determinar el riesgo que implica.
60.00%
Se puede proteger la confidencialidad y el acceso no
deseado a la información mediante el cifrado de esta, de los
soportes que los almacenan y de las comunicaciones donde
la transmitimos. Esto es especialmente importante cuando 60.00%
hagamos uso de soportes de almacenamiento externos,
dispositivos móviles y conexiones a redes inseguras como
wifis públicas, que aumentan el riesgo de filtraciones de
información confidencial.
14.1. REQUISITOS D
Los procediminetos deben incluir las fases para que los INFORMACIÓN
usuarios respalden su información y como soporte
60.00%
tecnologico hará lo mismo a través de carpetas CUMP
compartidas.
SUBTOTAL
(%)
No encontramos evidencia de ello.

Contar con manuales de estandarización tanto del
aplicativo como de la base de datos y reglas de 0.00%
programación afín de realizar manteniminetos menos
costosos.
40%
40%
Se puede utilizar una herramienta afín de medir el nivel de

atención a través de los tiempos de respuesta. Se 60.00%
recomienda Mantis de uso libre.
A través de una matriz de riesgos identificar las posibles

consecuencias afin de elaborar un plan de tratamiento o 80.00%
mitigación del impacto, la misma debe ser cuantificada.
Los usuarios no tendran la facultad de poder instalar

software. Se debe de contar con un monitoreo de la red 80.00%
afin de detectar uso de software no autorizado.
CUMPLIMIE
55.56%
Actualemnete se agrega a estos tres pilares la estanqueidad
(el no repudio), que garantiza al emisor que la información
80.00%
fue entregada y ofrece una prueba al receptor del origen de
la información recibida
Las entidades financieras tienen como recomendación SBS

la segmentación de red como eje principal de protección de 14.2. SEGURIDAD E
información de modo interno, el enmascaramiento de la 60.00% Y SOPORTE
información es un método adecuado para el área de
desarrollo.
CUMP
Por la dinámica del rubro proyectos que desvien la atención

del core del negocios debe ser tercerizado.
60.00%
Los proyectos a tercerizar deben estar monitoreados por
personal de una PMO
La fase de aseguramiento de calidad, en el seguimiento de
los estandares establecidos asi como detección de 44%
0.00%
distorciones de la funcionalidad deben ser detectados con
controles durante la fase de desarrollo no como fase post.
El comité de aprobación de requeriminetos debe validar su

80.00%
alineación a los objetivos estrategicos institucionales.
SUBTOTAL
RECOMENDACIÓN (%) TOTAL
El utilizar algún método de enmascaramiento de la data

dara un nivel de seguridad de información.
80.00%
80.00%
Deben ser procesos automáticos realizados administrados

por el DBA. CUMPLIMIE
14.3
CUMP
2
2
CUMPLIMIENTO
INCUMPLIMIENTO
60.00% 40.00%
4.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE

NFORMACIÓN
40%
60%
40%
60%
CUMPLIMIENTO
INCUMPLIMIENTO
55.56% 44.44%
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO

Y SOPORTE
44%
56%
CUMPLIMIENTO
INCUMPLIMIENTO
80.00% 20.00%
14.3. DATOS DE PRUEBA

20%
80%
20%
80%
15.1 SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON LOS PROVEEDORES
PREGUNTAS RESPUESTA
15.1.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LAS RELACIONES CON LOS PROVEEDORES
¿Cuenta con politicas de seguridad de la Si, dentro de las política de detallan los
informacion para acceso del proveedor a los acuerdos de accesibilidad que tiene los
activos de la organización? proveedores de servicios.
¿Se encuentran definidos los controles en los

procesos y procedimientos a ser implementados Si, estos controles se definen en el contrato de
por la organizacion cuando los proveedores servicio prestado con el proveedor.
acceden a la informacion?
15.1.2 ABORDAR LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES
Existe un acuerdo previo entre el proveedor y la Si, se mencionan las condiciones de laboración
empresa para las diferentes tareas que el que tendrán los proveedores que serán de guía
proveedor pueda brindar, que satisfagan los para los próximos acuerdos de prestación de
requerimientos de seguridad de la informacion? servicio.
15.1.3 CADENA DE SUMINISTRO DE TECNOLOGIA DE INFORMACION Y COMUNICACIÓN
Dentro del acuerdo con el proveedor incluyen

como afrontar los riesgos de seguridad de Si, se menciona las medias de control que se
informacion asociados con los servicios de TI y llevará a cabo durante la prestación de servicio.
comunicaciones y la cadena de productos?
15.2 GESTIÓN DE ENTREGA DE SERVICIOS DEL PROVEEDOR
PREGUNTAS RESPUESTA
15.2.1 MONITOREO Y REVISIÓN DE SERVICIOS DE LOS PROVEEDORES

¿Cuenta con la supervisión y revisión de los Si, existen controles de seguridad en la
servicios brindados por los proveedores? organización para con los proveedores.
¿Que requisitos incluyen en el monitoreo y

Los recursos deben estar encriptados y también
supervision de los servicios brindados por los
la conexión de red de estos con la empresa.
proveedores?
15.2.2 GESTIÓN DE CAMBIOS A LOS SERVICIOS DE PROVEEDORES
¿Cuenta con la gestion de cambios respecto a

No especifica.
los servicios que brindan los proveedores?
TOTAL
EEDORES
ESTADO SUBTOT
ACTUAL AL (%)
S PROVEEDORES Se recomienda tener CUMPLIMIENTO
un documento
especificamente para
3
los controles ha 63.33%
implementar
Se recomienda con los
tener
proveedores.
un documento que 70.00%
especifique quien es el
4 respnsable de este 15.1 SEGURIDAD DE LA INFORMACION EN
proceso y de tener
contacto con los RELACIONES CON LOS PROVEEDORES
proveedores.
Se recomienda tener
especifique quien es el
4 respnsable de este 80.00%
proceso y de tener
contacto con los
proveedores.
N
Se recomienda
especificar a mayor
detalle las medidas de
2 control para afrontar 40.00%
los riesgos y que se
mencione cuales son
estos riesgos.
Se recomienda tener
un documento que
ESTADO especifique todo los SUBTOT
ACTUAL recursos que son AL (%)
brindados por los
proveedores y los
3 controles con los que
cuenta cada uno.
Se recomienda tener
especifique a mayor
3
detalle el proceso y las
medidas a tomar con 30.00%
los recursos externos.
CUMPLIMIENTO
Se recomienda tene un
documento que detalle
el proceso para la
0
gestión de cambios con
0.00% 30.00%
los proveedores en la
organización.
46.67%
15.2 GESTIÓN DE ENTREGA DE SERVICIOS
PROVEEDOR
15.2 GESTIÓN DE ENTREGA DE SERVICIOS
PROVEEDOR
INCUMPLIMIENTO
36.67%
DAD DE LA INFORMACION EN LAS

CON LOS PROVEEDORES
UMPLIMIENTO INCUMPLIMIENTO
INCUMPLIMIENTO
70.00%
ÓN DE ENTREGA DE SERVICIOS DEL

R
ÓN DE ENTREGA DE SERVICIOS DEL
R
16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIO
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
PREGUNTAS
16.1.1. RESPONSABILIDADES Y PROCEDIMIENTOS.
¿Quienes son los responsables de responder ante

los incidentes de seguridad de la informacion?
¿Se encuentran desarrollados los procedimientos

para planificacion de preparacion y respuesta a
incidentes?
¿Se cuentan con procedimientos para el registro
de actividad de incidencias?
16.1.2. REPORTE DE EVENTOS DE SEGURIDAD DE LA INFORMACION
¿Se encuentran gestionados los canales de

comunicacion?
¿Se cuentan con procedimientos para informar

incidentes asi como el punto de contacto donde
deben ser reportados?
16.1.3. REPORTE DE DEBILIDADES DE SEGURIDAD DE LA INFORMACION
¿Con que mecanismos de comunicación de
debilidades de seguridad de informacion se
cuentan?
16.1.4. EVALUACION Y DECISION SOBRE EVENTOS DE SEGURIDAD DE LA INFORMACION
¿Se clasifican los incidentes de seguridad de la
informacion?
¿Se cuentan con criterios para la priorizacion de

los incidentes?
16.1.5. RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACION
¿Se documentan todos eventos de los incidentes

para su uso en un incidente futuro?
¿Se realizan los analisis post incidente para

identificar su origen?
16.1.6. APRENDIZAJE DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
¿Se recogen datos para cuantificar y monitorear

incidentes recurrentes ademas de saber como
responder ante estos,calcular su impacto y
evitarlos?
16.1.7. RECOLECCION DE EVIDENCIAS
¿Se cuentan con procesos para identificacion,

adquisicion y conservacion de la informacion?
¿Que criterios se toman en cuenta en la

recoleccion de evidencias?
16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
RIDAD DE LA INFORMACIÓN Y MEJORAS.
ESTADO SUBTOTAL
RESPUESTA RECOMENDACIÓN
ACTUAL (%)
IMIENTOS. Enseñar a los
trabajadores a que
El área de Seguridad de Información 4 puedan resolver los
problemas de grado
menor en la
Manter en capacitacion
organización
Se cuenta con alineación del proceso de gestión de a los trabajadores para 80.00%
incidentes con las normas de ITIL para mejorar dicho 4 que esten preparados a
proceso. como actuar ante
Mantener
incidentes en revision los
Si, se encuentra documentado el procedimiento de como procedimientos
4
se gestionan los incidentes. periodicamente para asi
poder optimizarlos
RIDAD DE LA INFORMACION
Tener planes en
Si, se implementan mejoras en los canales de contingencia ante
comunicación para tener la disponibilidad continua del 4 cualquier siniestro que
servicio. pueda suceder a dichos
Fomentar
canales 80.00%
Se documentado y promulgado el procedimiento para constantemente por
parte de la organización
reportar incidentes y a quien se reporte dichos 4
incidentes. hacia sus trabajadores
para que lo tengan
EGURIDAD DE LA INFORMACION presente
Comparar
periodcamente los
Mediante indicadores que se presentan en los
resultados de los
monitoreos, reportes de incidencias informados por 4 80.00%
indicadores para ver los
mesa de ayuda,etc. resultados de mejoras
E EVENTOS DE SEGURIDAD DE LA INFORMACION entre periodos
Contar con mas criterios
Si, son clasificados en base a su impacto. 4 que pueden ser graves
para la organización
Incluir mas criterios
Si, estos niveles de priorización va en relación tanto en el 80.00%
como "costo monetario,
impacto del incidente, la necesidad de atención
4 etc"; para ver reflejado
inmediata,las personas que tiene prioridad a ser laperdida de costo de
atendidas, etc.
recursos
EGURIDAD DE LA INFORMACION
Llevar los reportes de los
Si, cuando se soluciona un problea nuevo, se documenta Realizar el analicis
4 incidentes fisicos aauna
la solución para próxima atención mas rápida. incidentes de grado alto
BD 80.00%
y medio, pues los
Si, en caso el incidente sea nuevo para la organización y incidentes medios
4
haya tenido un gran impacto. pueden pasar a ser
graves y no tenerlo en
ES DE SEGURIDAD DE LA INFORMACIÓN. cuenta podria conllevar
aincidentes
desastresfisicos a una
Si, se registra la ocurrencia de estos incidentes,la BD con su respectiva
cantidad de activos afectados,se implementa la solución 4 solucion asi se podria 80.00%
documentada y se evalúa el origen de estos. consultar de una
manera mas rapida y
eficiente
Se cuenta con documentación de principios para la
recolección de información y su respectiva conservación
4 incidentes fisicos a una
que pueda servir como evidencia para una posible
BD
investigación.
70.00%
Se recolecta aquellos registros que pueden informar
Contar con un control
activos implicados, procedimientos realizados,permisos
serio sobre los recursos
otorgados, capturas de mensajes de error de un servicio, 3
afectados/perdidos en
muestras de archivos desconocidos para la organización,
el proceso del incidente
etc.
TOTAL 78.57%
TOTAL
CUMPLIMIENTO
INCUMPLIMIENTO
78.57% 21.43%
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN Y MEJORAS.
21%
79%
78.57%
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINU
17.1 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION
PREGUNTAS RESPUESTA
17.1.1. PLANIFICACION DE LA CONTINUIDAD DE SEGURIDAD DE LA INFORMACION
¿Con que planes se cuentan para garantizar la

Se cuentan con el Plan de Trabajo de
continuidad
Continuidad del Negocio
de la seguridad de la informacion?
¿En los procesos de gestion de la continuidad de Los procesos de gestión de recuperación de

negocio o gestion de recuperacion de desastres desastres revisan y realizan seguimiento de
se encuentra inmerso los planes de continuidad incidencias informadas por la Unidad de
de seguridad de informacion? Seguridad de la Información y Continuidad
17.1.2. IMPLEMENTACION DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACION
La Unidad de Tecnologías de Información

(Custodio de la información) es responsable de la
administración diaria de la seguridad en los
¿Se cuenta con una gestion adecuada y personal sistemas de información, además de asistir y
administrar los procedimientos de backup,
con las competencias necesarias para la
recuperación y plan de continuidad de sistemas.
preparacion, mitigacion y respuesta ante un La Unidad de Seguridad de Información y
evento adverso?
Continuidad propone la adopción de políticas y
procedimientos necesarios para el buen
funcionamiento del Sistema de Gestión de
Seguridad de Información.
¿Quien es el personal con la responsabilidad de

El Oficial de Seguridad de la Información y
responder, manejar un incidente y mantener la
Continuidad junto con el equipo estratégico.
seguridad de la informacion
El plan de respaldo en función del nivel de

¿Se encuentran los planes, procedimientos de criticidad del punto objetivo de recuperación de
respuesta y recuperacion desarrollados y los activos de la información está cargo de la
aprobados? Jefatura de TI en coordinación con la Unidad de
Seguridad de la Información y Continuidad.
Se efectúa de manera sistemática el análisis y

¿Se detalla como la organizacion gestionará un
evaluación del riesgo de los activos identificados
evento adverso y mantendra la seguridad de la
para determinar cuáles deben ser protegidos
informacion a un determinado nivel?
para mitigar su riesgo.
17.1.3. VERIFICACION, REVISION Y EVALUACION DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACION

La Gerencia de Riesgos en coordinación con la
¿Los procesos de continuidad de seguridad de Jefatura de TI llevará a cabo pruebas sobre los
informacion han sido puesto en ejercicio y
procedimientos de respaldo, cuando menos con
pruebas para asegurar que son consistentes con
periodicidad semestral. Todas las pruebas de
los objetivos?
restauración deben quedar documentadas.
La Unidad de Seguridad de la Información y

Continuidad podrá realizar revisiones
¿Se revisan la validez y la eficacia de las medidas
independientes en intervalos planificados o
ante un cambio de los sistemas de informacion? cuando tengan lugar cambios significativos en la
organización.
17.2 REDUNDANCIAS
PREGUNTAS RESPUESTA
17.2.1. INSTALACIONES DE PROCESAMIENTO DE LA INFORMACION
¿Se encuentran identificados los requerimientos

para disponibilidad de la informacion? El departamento de Tecnología de Información
elabora y mantiene el Plan de Adquisición,
Implementación y Mantenimiento de
componentes de infraestructura tecnológica
¿Las infraestructuras cuentan con redundancia para proteger los recursos y asegurar un nivel de
que garantizen la disponibilidad de los sistemas disponibilidad razonable.
de informacion?
TOTAL
EN LA GESTION DE CONTINUIDAD DEL NEGOCIO
ESTADO SUBTOTAL
ACTUAL (%)
Aplicar actualizaciones en el Plan de

3 trabajo de Continuidad del Negocio
semestralmente.
60.00%
17.1 CONTINUIDAD DE LA SEGU

CUMPLIMIENTO
3
60.00%
60.00%
40%
LA INFORMACION
Ejecución de pruebas en todas las
3
áreas.
60.00%
Priorizar los cambios de los sistemas

3
de información en la organización.
ESTADO SUBTOTAL TOTAL

RECOMENDACIÓN
ACTUAL (%)
3
Mantener el Plan de Adquisición,
Implementación y Mantenimiento de 60.00%
componentes de infraestructura 60.00%
tecnológica por un periodo semestral. 17.2 REDUN
3
CUMPLIMIENTO
60.00%
40%
60.00% 40.00%
1 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION

40%
60%
60%
60.00% 40.00%
17.2 REDUNDANCIAS
40%
60%
18. CUMPLIMIENTO
18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES.
18.1.1 IDENTIFICACIÓN DE REQUISITOS CONTRACTUALES Y DE LEGISLACION APLICABLES
¿Se tienen identificados todos los requisitos Se cuenta con asesoria legal con respecto
a estos temas mas no se detalla un
legislativos, regulatorios y contractuales?
proceso formal a realizar
Con la identificación de los activos

¿Con que enfoque se cuenta para el cumplimiento
implicados y la capacidad de cumplir con
de estos requisitos?
los requisitos.
Se hace mencion de la documentacion y

¿Con que frecuencia se documentan y actualizan
actualizacion de requerimientos mas no
estos requerimientos? de un proceso formal
18.1.2 DERECHOS DE PROPIEDAD INTELECTUAL.
Si, todo software debe tener definidos

¿Se cuenta con procedimientos para la adquision y
los limites de uso o derechos que se
uso de softwares cumpliendo con los derechos de detallan en el contrato de prestación de
propiedad intelectual?
servicios.
18.1.3 PROTECCIÓN DE REGISTROS
¿Que medidas se tienen implementadas para la Controles de acceso, acuerdos de

proteccion de registros para evitar la perdida, confidencialidad y cumplimiento de las
destruccion, falcificacion, acceso no autorizada y politicas de Seguridad de la Informacion
divulgacion? y encriptacion de activos.
No se hace mencion de un proceso

¿Se mantiene un seguimiento de los registros para formal sobre el seguimiento de los
determinar el responsable de su manipulcion?
registros
18.1.4 PRIVACIDAD Y PROTECCION DE DATOS PERSONALES

Si, se cuenta con políticas de
¿Se cuentan con politicas para el aseguramiento
confidencialidad y Ley de Proteccion de
de los datos personales?
Datos Personales
¿Estas politicas es de conocimiento de todo aquel
Si, son concientes de los acuerdos de
personal que esta involucrada con el
procesamiento de datos personales? confidencialidad.
18.1.5 REGULACIÓN DE LOS CONTROLES CRIPTOGRÁFICOS

No se detalla de los medios que se utiliza
¿Se cuenta con sofware y hardware que permita la
para encriptar las informacion de
encriptacion de contenido?
Proempresa
18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN.
18.2.1 REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE INFORMACIÓN.

¿Se cuentan con auditorias internas para la
Si, se cuenta con auditorías internas que
seguridad de la informacion y con que frecuensia se realizan anualmente
se realizan?
Nivel de impacto para la

¿Que criterios y controles se toman en cuenta para
empresa,frecuencia y reacción ante
la evaluacion interna? eventos adversos.
18.2.2 CUMPLIMIENTO DE POLÍTICAS Y NORMAS DE SEGURIDAD.

Si, el Comité de Riesgos esta acargo del
¿Se cuentas con roles responsables para
correcto cumplimiento de las politicas y
asegurarel cumplimiento de las politicas y normas procedimientos de la Seguridad de la
de seguridad?
Informacion
¿Se cuenta con procedimientos para la No, se evalúa la situación pero no se

identificacion de causas del incumplimiento de las cuenta con un procedimiento
politicas y normas de seguridad? documentado para identificar las causas.
18.2.3 REVISION DEL CUMPLIMIENTO TECNICO

Si, se cuenta con software de
¿Se cuenta con herramientas de recopilacion de recolipación del estado de los equipos de
datos para la generacion de informes tecnicos? computo el cual permite generar
posteriormente reportes técnicos.
¿La revision tecnica es llevada a cabo por personal No hay prueba de que el personal
experto que cumpla con los conocimientos encargado tenga los conocimientos
tecnicos especializados? tecnicos especializados
TOTAL
LIMIENTO
ESTADO SUBTOTA
ACTUAL L (%)
CABLES CUMPLIMIENTO
Se debe seguir un proceso formal

3
que sea aplicado y medido
4
66.67%
Se debe definir formalmente y

como buenas practicas la 18.1 CUMPLIMIENTO CON RE
3 documentacion y actualizacion CONTRACTUALES.
de los requerimientos para
controlarlos CUMPLIMIENTO INC
Adicional a ello puede contar con

un programa de formacion del
4 personal que trate de la gestion y 80.00%
proteccion de los activos de
propiedad intelectual
69.33%
31%
Realizar copias de seguridad
periodicamente, optimizacion de
3
la seguridad perimetral donde se
encuantran los activos
60.00%
Establecer un proceso formal

3 acargo de un responsable para el
seguimiento de la manipulacion
de registros
Establecer principios de acceso y

4
circulacion restringida
80.00%
80.00%
Las politicas deben ser
4
conocimiento de todo el personal
Hacer uso formal de

3 encriptaciones basadas en 60.00%
hardware
ESTADO RECOMENDACIÓN SUBTOTA TOTAL

ACTUAL L (%)
CUMPLIMIENTO
Extender las auditorias internas a

4 lo largo del año
70.00%
Asignarse un responsable en
3 concreto que realice estas
operaciones
18.2 REVISIONES DE SE
INFORMACIÓN.
4
CUMPLIMIENTO INC
70.00% 63.33%
Documentar procedimientos que
3 ayuden a identificar las causas del
incumplimineto de las politicas
3 37%
50.00%
Medir el rendimiento del
2 personal a cargo de la revision
del cumplimiento tecnico
66.33%
CUMPLIMIENTO
INCUMPLIMIENTO
69.33% 30.67%
18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y

CONTRACTUALES.
31%
69%
CUMPLIMIENTO
INCUMPLIMIENTO
63.33% 36.67%
18.2 REVISIONES DE SEGURIDAD DE LA

INFORMACIÓN.
37%
63%

Herramienta 27001 ResumenEjecutivoCumplimiento

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Herramienta 27001 ResumenEjecutivoCumplimiento

Cargado por

Copyright:

Formatos disponibles

Resumen ejecuti

5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

5 .LAS P OLÍTIC A S DE SEG U RIDA D DE LA 6 .ORGAN IZAC IÓ N DE LA SEGURIDAD DE LA

Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento

Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento

1 1 . S EG U RIDA D F ÍSIC A Y AM BIEN TA L

Cumplimiento Imcumplimiento Cumplimiento Imcumplimiento

umplimiento Cumplimiento Imcumplimiento

Y AM BIEN TA L 1 2 . SEG U RIDAD DE LA S OP ERA CION ES

umplimiento Cumplimiento Imcumplimiento

Dominio con menor cumplimieto

Dominio con mayor cumplimiento

5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

¿Cuenta con una política de seguridad de la información bien definida?

¿Quien(es) definen la política de seguridad?

¿Quien(es) aprueban la política de seguridad?

¿Los empleados son comunicados sobre la política de seguridad de

¿Los empleados dejan constancia sobre la recepción y aceptación de

¿La política de seguridad de la información es comunicada de manera

¿Todos los empleados tienen conocimiento de la misma política?

¿Hay partes externas consideradas para comunicarles la política? Mencionar

¿Se tiene cuidado en no revelar información confidencial en las políticas que

5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

¿caa política de seguridad de la información tiene asignado un responsable

5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA

¿Quién se encarga de definir las

¿Qué grupos reciben dichas 5

¿Qué criterio utilizan para designar al

¿Qué medidas se toman para evitar la

¿Todo acceso, modificación, utilización de

¿Quiénes otorgan la autorización para

En caso de no tener autorización de uso o

6.1.3.CONTACTO CON AUTORIDADES

¿A qué responsable se reportan las

¿Qué medidas toman para lograr que los

¿Qué planes de contingencia tienen ante esos

¿Qué medidas se toman ante cambios en el

6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Poseen o pertenecen a grupos de

¿Bajo que criterios se forman estos grupos? 5

¿Qué acciones toman para mantener

6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS

¿Los objetivos de seguridad de la información

¿Se realiza una evaluación de riesgos de

6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

¿Posee un enunciado relacionado dispositivos

¿El personal tiene conocimiento de los riesgos

¿Cuentan con criterios de separación de

¿Qué medida de seguridad se emplea para

¿Bajo que criterio se selecciona la

¿Se evalúa periódicamente las

6.1. ORGANIZACIÓN INTERNA

6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

¿Los contratistas tiene la capacidad necesaria para

¿Cuáles son las responsabilidades del contratista en la

¿Las comprobaciones tienen en cuenta la legislación

7.2.1. RESPONSABILIDADES DE LA GERENCIA

¿La gerencia ejecuta sus actividades en concordancia

¿Los empleados estan concientes sobre la seguridad

¿Los empleados estan al tanto sobre los cambios de

7.2.3. PROCESOS DISCIPLINARIOS

7.3.1. TERMINACIÓN O CAMBIO DE RESPONSABILIDAD DEL EMPLEO

Si un empleado deja de laborar en la empresa, ¿Su