Herramienta 27001 DominiosMadurez

Tabla de Escala para ISO27001 e ISO27002
Escala PUNTUACIÓN
Inexistente 0
Inicial 20
Repetible 40
Definido 60
Gestionado 80
Optimizado 100
Tabla de Escala para ISO27001 e ISO27002
Descripción
Total falta de cualquier proceso reconocible. La Organización ni
siquiera ha reconocido que hay un problema a tratar. No se aplican
controles.
Hay una evidencia de que la Organización ha reconocido
que existe un problema y que hay que tratarlo. No hay
procesos estandarizados. La implementación de un control
depende de cada individuo y es principalmente reactiva.
Los procesos y los controles siguen un patrón regular. Los procesos

se han desarrollado hasta el punto en que diferentes procedimientos
son seguidos por diferentes personas. No hay formación ni
comunicación formal sobre los procedimientos y estándares. Hay un
alto grado de confianza en los conocimientos de cada persona, por
eso hay probabilidad de errores.
Los procesos y los controles se documentan y se

comunican. Es poco probable la detección de desviaciones.
Los controles se monitorean y se miden. Es posible monitorear y medir

el cumplimiento de los procedimientos y tomar medidas de acción
donde los procesos no estén funcionando eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos han sido

redefinidos hasta el nivel de mejores prácticas, basándose en los
resultados de una mejora continua.
R
DOMINIOS
5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7. SEGURIDAD DE LOS RECURSOS HUMANOS
8. GESTIÓN DE ACTIVOS
9. CONTROL DE ACCESOS
10. CRIPTOGRAFÍA
11. SEGURIDAD FÍSICA Y AMBIENTAL
12. SEGURIDAD DE LAS OPERACIONES
13. SEGURIDAD DE LAS COMUNICACIONES
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
15. RELACIONES CON LOS PROVEEDORES
16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUID
18. CUMPLIMIENTO
TOTAL
Resumen ejecutivo "NOMBRE DE LA EMPRESA"
Madurez Estado
3 DEFINIDO
3 REPETIBLE
3 REPETIBLE
4 GESTIONADO
4 DEFINIDO
2 REPETIBLE
2 INICIAL
3 DEFINIDO
3 DEFINIDO
3 DEFINIDO
2 REPETIBLE
4 DEFINIDO
3 DEFINIDO
3 DEFINIDO
3 DEFINIDO
sumen ejecutivo "NOMBRE DE LA EMPRESA"
Priorizacion
Dominio con menor cumplimieto
Dominio con mayor cumplimiento

Average - Madurez
DOMINIOS
10. CRIPTOGRAFÍA
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUIDAD DEL NEGOCIO
18. CUMPLIMIENTO
Grado de Madurez Financiera ProEmpresa
10. CRIPTOGRAFÍA
9. CONTROL DE ACCESOS 11. SEGURIDAD FÍSICA Y AMB
5
8. GESTIÓN DE ACTIVOS 12. SEGURIDAD
7. SEGURIDAD DE LOS RECURSOS HUMANOS 13. SEGU
6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 14. ADQU
5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 15. RELACIONES
18. CUMPLIMIENTO 16. GESTION DE INCIDENTES

17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUIDAD DEL NEGO
34.38%
82.07%
Estado
DEFINIDO GESTIONADO INICIAL REPETIBLE
2
2
3
3
3
2
4
3
3
3
3
3
4
4
oEmpresa
D FÍSICA Y AMBIENTAL
13. SEGURIDAD DE LAS COMUNICACIONES Estado DEFINIDO

GESTIONADO
INICIAL
REPETIBLE
E INCIDENTES DE SEGURIDAD DE LA INFORMACION

DAD DEL NEGOCIO
VALOR VALOR ESTADO
0 0.99 INEXISTENTE
1 1.99 INICIAL
2 2.99 REPETIBLE
3 3.99 DEFINIDO
4 4.99 GESTIONADO
5 5 OPTIMIZADO
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
PREGUNTA ESTADO ACTUAL
5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
¿Se cuenta con una política de seguridad definida? Favor

Gestionado
de sustentar
¿Con que tipo de política de seguridad de información se Definido

cuenta? Explique.
¿Se cuenta con un enunciado donde se mencione sobre

las intenciones de la administración dentro las políticas Definido
de seguridad?
¿Se cuenta con enunciado relacionado a los requisitos de

la estrategia del negocio dentro del planteamiento de la Definido
política de seguridad de la información?
¿Quien(es) aprueban la política de seguridad? Inexistente
¿Los empleados son comunicados sobre la política de

Repetible
seguridad de información?
¿Todos los empleados tienen conocimiento de la misma

política? Repetible
¿Qué parte externa es considerada a comunicarles la

Repetible
política?
¿Los empleados deben firmar alguna confirmación sobre

la recepción y aceptación de conocimiento sobre las Inexistente
políticas de seguridad de la información?
5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
¿Quién(es) es responsable de la manipulación de

desviaciones y/o excepciones dentro de la política de Gestionado
seguridad de la información en base a observaciones?
¿Con que frecuencia se revisan las políticas? Gestionado
61.11%
VALOR ESTADO ACTUAL SUBTOTAL ESTADO ACTUAL TOTAL
80
60
60
60
0 REPETIBLE
40
DEFINIDO
40
40
CIÓN
80
GESTIONADO
80
CUMPLIMIENTO INCUMPLIMIENTO
61.11% 38.89%
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INF
39%
ESTADO ACTUAL
Definido
Gestionado
Inexistente
Repetible
Total Result
ÓN DE LA SEGURIDAD DE LA INFORMACIÓN
5.1.DIRECCIÓN DE GES
INFORMACIÓN
CUMPLIMIE
MIENTO INCUMPLIMIENTO
0.6
61%
5.1.DIRECCIÓN
INFORMACIÓN
Count - VALOR
3
3
Total Resu
50%
2
3
11
VALOR ESTADO
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA
ORMACIÓN
0.4
0.6
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
Definido
14%
Definido
Gestionado Gestionado
14% Inexistente
Total Result Repetible
50%
Total Result
Inexistente
9%
Repetible
14%
Repetible
14%
INEXISTENTE
REPETIBLE
DEFINIDO
GESTIONADO
OPTIMIZADO
6.1. ORGANIZACIÓN INTERNA
PREGUNTAS ESTADO ACTUAL VALOR ESTADO SUBTOTAL
6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓ

¿Quién se encarga de definir las
Gestionado 80
responsabilidades la gestión de riesgo?
¿Qué grupos reciben las responsabilidades del

análisis para designar los roles y
Gestionado 80
responsabilidades de seguridad de
información? DEFINIDO
¿Qué criterio utilizan para designar al

adecuado personal a recibir la Definido 60
responsabilidad?
6.1.2.SEGREGACIÓN DE FUNCIONES
¿Qué medidas se realiza para evitar la

modificación no autorizada, accidental o mal Gestionado 80
uso de los activos de la seguridad debido a un
cruce de deberes contradictorios entre áreas?
¿Quiénes otorgan la autorización para

Gestionado 80 DEFINIDO
acceder ,modificar, utilizar los bienes?
¿En caso de no poder tener autorización de

uso o acceso inmediatamente, que acción se
Repetible 40
debe realizar para evitar el mal uso de los
activos de la organización?
6.1.3.CONTACTO CON AUTORIDADES
¿A quien reportan la ocurrencia de incidentes

Gestionado 80
en la organización?
¿Qué criterio utilizan para designar la persona

adecuada a presentarla como contacto para Inexistente 0
quien presentar el reporte?
¿Qué medidas toman para lograr que el REPETIBLE

reporte sobre incidente sea atendido de Definido 60
manera oportuna?
REPETIBLE
¿Qué planes de contingencia tienen ante esos

incidentes para mantener la continuidad del Gestionado 80
negocio?
¿Qué medidas se toman ante cambios en el Inexistente 0

entorno como leyes y reglamentos?
6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Poseen grupos de interes especial, foros de
seguridad especial u asociaciones Inexistente 0
profesionales como contactos?
¿Bajo que criterios se forman estos grupos? Inexistente 0
INICIAL
¿Qué acciones toman para mejorar el

conocimiento de información de seguridad y Definido 60
mantener un criterio de mejores prácticas?
6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
¿Los objetivos de la seguridad de la

información estan basados en los objetivos de Definido 60
proyectos?
¿Consideran la seguridad de la información en REPETIBLE

todas las fases de la metodologia del Repetible 40
proyecto?
¿Qué medidas se toman para que el

desarrollo de proyecto se lleve a cabo con la
Repetible 40
seguridad adecuada otorgada por los
controles?
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO
PREGUNTAS ESTADO ACTUAL VALOR
6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES
¿Posee un enunciado relacionado dispositivos

moviles dentro de su política de seguridad de Definido 60
información?
INICIAL
¿De qué manera se mantiene actualizado
Repetible 40
sobre este tipo de riesgo de moviles?
¿Cuentan con criterios de separación de Inexistente 0

grupos de usuarios de los servicios moviles?
6.2.2.TELETRABAJO
¿Qué medida de seguridad se emplea para
proteger el acceso a información que puede Definido 60
ser procesada?
¿Bajo que criterio se selecciona la DEFINIDO

Definido 60
información a proteger?
¿Con que frecuencia se evalua la

vulnerabilidade de este metodo de protección Gestionado 80
de la información?
50.07%
ACIÓN
ESTADO TOTAL 50.13% 49.87%
REPETIBLE
REPETIBLE
ESTADO ACTUAL Count - VALOR

Definido 4
Gestionado 6
Inexistente 4
Repetible 3
Total Result 17

Definido 3
Gestionado 1
Inexistente 1
Repetible 1
REPETIBLE
Total Result 6
REPETIBLE
CUMPLIMIENTO
50.00%
6.1. ORGANIZACIÓN INTERNA
Definido
12%
Gestionado
18%
Total Result
50%
Inexistente
12%
Repetible
9%
6.2.DISPOSITIVOS MÓVILES Y TELET
Definido
25%
Total Result
50%
Gestionado
8%
Inexistente
8%
Repetible
8%
VALOR ESTADO
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
INCUMPLIMIENTO
50.00%
Definido
Gestionado
Inexistente
Repetible
Total Result
MÓVILES Y TELETRABAJO
Definido
25% Definido
Gestionado
Inexistente
Repetible
Total Result
Gestionado
8%
Inexistente
8%
tible
%
7.1. ANTES DEL EMPLEO

ESTADO
PREGUNTAS VALOR
ACTUAL
7.1.1. SELECCIÓN
¿Los contratistas tiene la capacidad necesaria para desempeñar

Definido 60
acorde a la seguridad?
¿Cuáles son las responsabilidades del contratista en la organización? Definido 60
¿La información de los candidatos al empleo estan recolectadas y

Inexistente 0
manejadas de acuerdo a una legislación? Detalle
7.1.2. TERMINOS Y CONDICIONES DEL EMPLEO
¿Los empleados son informados de los terminos y condiciones del

Gestionado 80
empleo a ocupar?
7.2. DURANTE EL EMPLEO

ESTADO
PREGUNTAS VALOR
ACTUAL
7.2.1. RESPONSABILIDADES DE LA GERENCIA
¿La gerencia ejecuta sus actividades en concordancia con las políticas Definido 60
de la empresa?
7.2.2. CONCIENCIA, EDUCACIÓN Y CAPACITACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
¿Los empleados estan concientes sobre la seguridad de información Repetible 40

de la empresa?
¿Los empleados estan al tanto sobre los cambios de política y Repetible 40

procedimientos de la organización?
7.2.3. PROCESOS DISCIPLINARIOS
Definido 60
¿Que procesos ejecuta cuando un empleado ha cometido una
infracción a la seguridad de información?
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO
ESTADO
PREGUNTAS VALOR
ACTUAL
7.3.1. TERMINACIÓN O CAMBIO DE RESPONSABILIDAD DEL EMPLEO
Definido 60
¿Los empleados cumplen con las responsabilidades que deben
cuando han dejado de trabajar?
Si un empleado deja de laborar en la empresa, ¿Su reemplazo sigue Definido 60

con las actividades pendientes o se le asignan nuevas tareas?
57.78%
OS HUMANOS
ESTADO SUBTOTAL ESTADO TOTAL
REPETIBLE
DEFINIDO
GESTIONADO
DEFINIDO
REPETIBLE REPETIBLE
REPETIBLE
DEFINIDO
DEFINIDO
DEFINIDO
60.00% 40.00%
7.1. ANTES DEL EMPLEO
Definido
25%
Definido
Gestionado
Total Result Inexistente
50%
Gestionado Total Result
13%
Inexistente
13%

Definido 2
Gestionado 1
Inexistente 1
Total Result 4
VALOR ESTADO
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
53.33% 46.67%
7.2. DURANTE EL EM
Definido
25%
Definido
Gestionado
Inexistente Total Result
50%
Total Result
Repetible
25%
ESTADO ACTUAL
Definido
Repetible
Total Result
INEXISTENTE
REPETIBLE
DEFINIDO
GESTIONADO
OPTIMIZADO
CUMPLIMIENTO
60.00%
DURANTE EL EMPLEO
Definido
25%
Definido
Repetible
Repetible
25% Total Result
Count - VALOR
2
4
INCUMPLIMIENTO
40.00%
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO
Total Result Definido

50% 50%

Definido 2
Total Result 2
MPLEO
Definido
Total Result
8.1. RESPONSABILIDAD POR LOS ACTIVOS
PREGUNTAS ESTADO ACTUAL VALOR ESTADO SUBTOTAL ESTADO TOTAL
8.1.1. INVENTARIO DE ACTIVOS 8. GESTIÓN DE ACTIVOS
¿La empresa cuenta con un inventario de todos los activos? Optimizado 100
¿El inventario de activos esta alineado con otros inventarios en la

Optimizado 100
organizacion?
GESTIONADO
¿Hay documentación donde indica la importancia de cada activo? Optimizado 100
¿Cada cuánto tiempo realizan el inventario de todos los activos? (anual,

mensual, semanal o diario) Definido 60
8.1.2. PROPIEDAD DE LOS ACTIVOS
¿Existe algún responsable en la empresa que gestione los activos? Gestionado 80
¿Cuántos son los responsables de realizar el inventario de todos los activos? Definido 60
¿La empresa cuenta con sus propios activos o tienen activos de terceros? Gestionado 80
¿El responsable de gestionar los activos lo es durante todo el ciclo de DEFINIDO

Definido 60
vidade los activos?
¿Cada cuanto tiempo se cambia el responsable de gestionar los activos? Repetible 40
REPETIBLE
Si es así, ¿A quiénes les pertenecen dichos activos? Repetible 40
8.1.3. USO ACEPTABLE DE LOS ACTIVOS

¿La empresa cuenta con reglas o normas para el correcto uso de los
Definido 60
activos?
¿La empresa cuenta con reglas o normas que indiquen el buen uso que se le
Gestionado 80
debe de dar a la imformación que se le entregue al empleado?
¿Se aplican dichas reglas o normas en la empresa? Definido 60 DEFINIDO
¿Se les notifica la responsabilidad que conlleva usar los activos a las
personas que lo solicitan? Definido 60
¿Cada cuánto tiempo actualizan dichas reglas o normas? (ya sea de activos
Definido 60
como de la información)
8.1.4. RETORNO DE ACTIVOS
Luego de la culminación del contrato de un trabajador, ¿Este devuelve el o

los activos que se le fueron asignados? Definido 60
Si es así, ¿Quién es el responsable de recepcionar el o los activos? Definido 60

DEFINIDO
¿Existe algún documento que tiene que llenar el empleado a la hora de
Gestionado 80
entregar el o los activos, para que quede como constancia?
¿Que medidas toma cuando un empleado o usuario externo usa su equipo

personal y necesita la informacion de la empresa? Gestionado 80
8.2. CLASIFICACIÓN DE LA INFORMACIÓN
8.2.1. CLASIFICACIÓN DE LA INFORMACIÓN
¿La información que cuenta la empresa es clasificada según su valor o

importancia? Definido 60
¿Cuentan con controles para clasificar una información? Definido 60
DEFINIDO
DEFINIDO
¿El nivel de proteccion del sistema esta evaluado mediante el analisis de
Definido 60
confidencialidad, disponibilidad e integridad del activo?
¿Estan indicados el valor de los activos en funcion a su sensibilidad,

criticidad, confidencialidad, disponiblidad e integridad ? Gestionado 80
8.2.2. ETIQUETADO DE LA INFORMACIÓN
¿Existe algún procedimiento para el etiquetado fisico o electronico de los

Definido 60 REPETIBLE
activos? Detalle
DEFINIDO
¿Se les informa a los empleados y contratistas sobre el procedimiento de
Definido 60
etiquetado?
¿Cómo etiquetan la información que se le proporciona a un trabajador? Definido 60
8.2.3.MANEJO DE ACTIVOS
¿Hay acuerdo con otras organizaciones para identificar la clasificacion de

sus activos e interpretar las etiquetas de clasificacion? Inicial 20
REPETIBLE
Acorde a la clasificación que tienen o manejan, ¿Cómo realizan el manejo
Definido 60
de los activos e información?
8.3. MANEJO DE MEDIOS
8.3.1. GESTIÓN DE MEDIOS REMOVIBLES
¿Cómo manejan o gestionan el tema del uso de medios removibles o

extraíbles? (está prohibido, no hay problema, etcétera) Definido 60
DEFINIDO
¿Exíste algun procedimiento para realizar dicha gestión? Definido 60
8.3.2. DISPOSICIÓN DE MEDIOS
Cuando ya no se use un medio físico, pero este cuenta con información

Gestionado 80
¿Qué es lo que hacen con dicho medio?
GESTIONADO
¿Qué tan seguro es la eliminacion de los medios de almacenamiento?
Detalle Gestionado 80
DEFINIDO
8.3.3. TRANSFERENCIA DE MEDIOS FÍSICOS
¿Que personas son los que transportan los medios de almacenamiento? Repetible 40
¿Existe algun procedimiento para identificar la persona responsable de

Repetible 40
transportar los medios de almacenamiento? Detalle REPETIBLE
¿Que tipo de proteccion se le aplica a los activos? Detalle Definido 60
¿Existe algun registro donde identifique el contenido de los medios de
comunicacion asi como el registro de los tiempos de traslado y la Repetible 40
recepcion?
¿Cómo gestionan la transeferencia de medios físicos que contienen
Repetible 40
información? (estan protegidos, tienen respaldo)
82.07%
55.00% 45.00%
8.1. RESPONSABILIDAD POR LOS ACTIVOS
Definido
24%
Definido
Gestionado
Total Result
50% Optimizado
Gestionado Repetible
13% Total Result
Optimizado
Repetible 8%
5%
Definido 9
Gestionado 5
Optimizado 3
Repetible 2
Total Result 19
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
CUMPLIMIENTO INCUMPLIMIENTO CUMPLIMIENTOINCUMPLIMIENTO
55.00% 45.00% 61.33% 38.67%
8.2. CLASIFICACIÓN DE LA INFORMACIÓN
Definido Definido
39% Definido
Optimizado
Total Result Gestionado
50% 50%
Inicial
Repetible
Total Result
Total Result
Gestionado
Inicial 6%
6%
ESTADO ACTUAL Count - VALOR ESTADO ACTUAL Count - VALOR
Definido 7 Definido 3
Gestionado 1 Gestionado 2
Inicial 1 Repetible 4
Total Result 9 Total Result 9

Total
Definido
17%
Gestionado Definido
Total Result 11% Gestionado
50% Repetible
Total Result
Repetible
22%
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
9.1.1. POLÍTICA DE CONTROL DE ACCESOS

¿Se cuenta establecido los controles de acceso en la política de
seguridad de información? Gestionado 80
¿Se encuentra documentado estos controles de acceso? Gestionado 80
¿Todos los usuarios tienen los mismos controles de acceso? Gestionado 80
¿Los empleados tienen conocimiento de estos controles de acceso? Gestionado 80 DEFINIDO
¿Bajo que criterio se otorgan se asignan estos controles de acceso? Definido 60
¿Qué tan frecuente se revisa estos controles de acceso para

Gestionado 80
mantener la seguridad de información ante posibles ataques?
¿En caso de realizar modificaciones u otorgar permisos de acceso,
quien autoriza estas modificaciones?
9.1.2. ACCESO A REDES Y SERVICIOS DE RED
¿Todos los usuarios tiene los mismos accesos a red y a servicios? Gestionado 80
¿Existe algun procedimiento de autorizacion que determina quien

Gestionado 80
esta autorizado a que redes y servicios de red? Detalle
¿La politica sobre el uso de servicios de red es correcta con respecto
Gestionado 80
a la politica de control de acceso de la organizacion?
GESTIONADO
¿Quién solicita estos permisos y accesos? Gestionado 80
¿Quién aprueba estas solicitudes? Gestionado 80
¿Qué medidas se toman para mantener la seguridad en este tipo de

casos? Gestionado 80
9.2. GESTIÓN DE ACCESO DE USUARIO
9.2.1. REGISTRO Y BAJA DE USUARIOS
¿Se emplea ID unico para cada usuario y asi sean responsables

Gestionado 80
unicos de sus acciones?
En caso de que se compara un ID ¿Bajo que medidas se permite esta

Gestionado 80
acción? ¿Quien lo aprueba? ¿Es documentado?
¿Que tan frecuente revisan, eliminan y/bloquean si hay IDs de

usuarios redundantes ? Gestionado 80
¿Se puede asegurar que los ids redundantes son usados por los
usuarios correctos? Gestionado 80
DEFINIDO
¿Existe una central de registros de los derechos de acceso
concedidos a los id de usuarios? Gestionado 80
¿Quién aprueba las solicitudes de registro y bajas de usuarios? Gestionado 80
¿Qué tipo de herramienta utilizan para realizar estos

Repetible 40
procedimientos?
¿La herramienta seleccionada cuenta con soporte en caso de fallos? Repetible 40
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio,

Repetible 40
para mantener la continuidad del servicio?
9.2.2. APROVISIONAMIENTO DE ACCESO A USUARIOS
¿Se cambian los accesos de los usuarios que han cambiado de
Gestionado 80
funcion o trabajo?
¿Se remueve o bloquea los derechos de acceso de usuarios que han
Gestionado 80
dejado la organizacion?
¿el nivel de acceso concedido cumple con las politicas de acceso? Gestionado 80 GESTIONADO
Se encuentra documentado el desarrollo del proceso para brindar o
Gestionado 80
quitar derechos de acceso a aplicaciones y/o servicios?
DEFINIDO
GESTIONADO
¿Los usuarios cuenta con conocimiento de la modalidad de solicitud

de permisos? Gestionado 80
9.2.3. GESTIÓN DE DERECHOS DE ACCESOS PRIVILEGIADOS

¿Qué medidas tienen para evitar el acceso a intrusos al uso de esta
herramienta? Gestionado 80
DEFINIDO
¿Qué metodos de respaldo poseen en cuanto a fallas del servicio,
para mantener la continuidad del servicio? Gestionado 80
GESTIONADO
¿Están identificados correctamente los derechos de acceso? Gestionado 80
¿Existen requerimientos para expirar los derechos de acceso? Detalle Gestionado 80
9.2.4. GESTIÓN DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA DE USUARIOS

¿Se cuenta con controles de autenticación para el acceso a
Gestionado 80
información personal del usuario?
¿Qué metodos y herramientas se tienen para proteger el control de
Gestionado 80
autenticación y evitar que sea infringido el control?
¿Los usuarios firman una declaracion comprometiendose a
Gestionado 80 GESTIONADO
mantener las claves secretas ?
¿Como se envia la clave secreta a los usuarios? Gestionado 80
¿Es posible que 2 usuarios tengan la misma clave secreta? Gestionado 80
9.2.5. REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS
¿Que tan frecuente se revisa los derechos de acceso de un usuario? Gestionado 80
¿Se revisa y se reasigna los derechos del usuario al cambiar de una

Gestionado 80
funcion a otra?
¿Existe algun registro de los cambios para las cuentas privilegiadas? Gestionado 80 GESTIONADO
¿Se cuenta con medidas de respaldo de la información en caso el

Gestionado 80
repositorio o servicio presente fallas?
¿Solo los propietarios de los activos cuentan con acceso a ellos? Gestionado 80
9.2.6. REMOCIÓN O AJUSTE DE DERECHO DE ACCESO

¿Se cuenta con controles de actividad de uso de los servicios de los
usuarios? Gestionado 80
¿En caso de dar de baja o modificaciones a cuentas de usuarios,

quien autoriza estos procedimientos? Gestionado 80 GESTIONADO
¿Se elimina los derechos de acceso del usuario antes o despues de la

culminacion de su contrato? Gestionado 80
9.3. RESPONSABILIDAD DE LOS USUARIOS
9.3.1. USO DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA
¿Aparte del usuario, alguien mas conoce la clave secreta? Gestionado 80
¿Existe un registro donde se registre la clave secreta del usuario? de

Gestionado 80
ser afirmativo ¿Que medidas toman para asegurar esos registros?
La clave secreta suele generarse con estos requisitos?:

-Facil de recordar
-Basada en la informacion de la persona
-Contiene una palabra pronunciable GESTIONADO
-Caracteres consecutivos indeticos
Indique cuales si
¿Los usuarios tienen conocimientos de este tipo de control de

acceso, y las medidas de seguridad que se debe tener para aportar a Gestionado 80
proteger su información?
¿Qué medida tienen los empleados para demostrar la recepción de
Gestionado 80
esta información?
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
9.4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN
¿Los accesos y funciones del sistema de aplicaciones estan

restringidos acorde a la política de control de acceso?
9.4.2. PROCEDIMIENTOS DE INGRESO SEGURO

¿Existe alguna autenticacion extra de identidad, tokens, medios
biometricos, etc? Inexistente 0
¿Qué controles se tienen para mantener un acceso seguro a los

Gestionado 80 REPETIBLE
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad del control de
Gestionado 80
acceso?
9.4.3. SISTEMA DE GESTIÓN DE CONTRASEÑAS
¿Se cuenta con medidas de control para las contraseñas de los
Gestionado 80
usuarios?
¿Con que frecuencia se evalua la vulnerabilidad de este tipo de
Gestionado 80
control?
¿Se cuenta con controles en caso de fallas de contraseña en el
Gestionado 80
acceso?
DEFINIDO
¿Se intenta cumplir una contraseña de calidad? Gestionado 80
¿Los usuarios siempre deben cambiar su contraseña al iniciar sesion DEFINIDO

Gestionado 80
la primera vez?
¿Se registra las contraseñas utilizadas para evitar volverlos a
Inexistente 0
reutilizar?
9.4.4. USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS
¿Existe un registro de todo el uso de un programa de servicio
Gestionado 80
publico?
¿Que medidas se toma cuando un programa de servicio ya no se usa? Definido 60

REPETIBLE
¿Se cuenta con medidas de control para evitar se infringido por
aplicaciones que irrumpen el control de acceso? Definido 60
¿Con que frecuencia se actualiza el conocimiento de nuevas

aplicaciones que amenacen la seguridad? Inexistente 0
9.4.5. CONTROL DE ACCESO AL CÓDIGO FUENTE DE LOS PROGRAMAS

¿Las bibliotecas de programa que se usan vienen por defecto en el
sistema operativo? Gestionado 80
¿Que medidas toman al publicar el codigo fuente de un programa

publicamente? Gestionado 80
DEFINIDO
¿Se cuenta controles para restringir el codigo fuente de los
Gestionado 80
programas usados por los usuarios?
¿Con que frecuencia se actualiza estos controles para evitar las
Inexistente 0
vulnerabilidades futuras?
74.59%
78.57% 21.43%
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
Definido
4%
Definido
50% Gestionado
46% Total Result
Definido 1
Gestionado 12
Total Result 13
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
77.78% 22.22%
9.2. GESTIÓN DE ACCESO DE USUARIO
efinido
Gestionado Gestionado
estionado Total Result 45% Repetible
otal Result 50%
Total Result
Repetible
5%
Gestionado 28
Repetible 3
Total Result 31
80.00% 20.00%
9.3. RESPONSABILIDAD DE LOS USUARIOS
Total Result Gestionado Gestionado

50% 50% Total Result
Gestionado 5
Total Result 5
62.00% 38.00%
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
Definido
6%
Definido
Gestionado
Total Result 33% Gestionado
50% Inexistente
Total Result
Inexistente
11%
Definido 2
Gestionado 12
Inexistente 4
Total Result 18
10. CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
10.1.1. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS

¿La empresa cuenta con políticas sobre el uso de controles
criptográficos? Repetible 40
De ser así, ¿Cómo está implementada? Repetible 40
Si no cuenta con alguna política, ¿Cómo protegen los

Repetible 40
documentos y/o datos confidenciales?
¿Cuáles son las medidas adoptadas para la protección de la REPETIBLE

Definido 60
información a través de controles criptográficos?
¿Cuáles son las políticas de confidencialidad, respecto a la REPETIBLE

Definido 60
protección de la información?
En el caso de no contar con controles criptográficos, ¿Quién o

Inexistente 0
que área sería la encargada de realizarlas?
10.1.2.GESTIÓN DE CLAVES
¿Hacen uso de claves criptográficas para proteger la

Definido 60
confidencialidad de la información?
En el caso de contar con controles criptográficos, ¿Quién REPETIBLE

Definido 60
gestiona las claves criptográficas?
¿Cada cuánto tiempo realizan la gestión de las claves
criptográficas? Inexistente 0
40.00%
40.00% 60.00%
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
Definido 4
Inexistente 2
Repetible 3
Total Result 9
Total
Definido
22%
Definido
50% Inexistente Repetible
11% Total Result
Repetible
17%
11. SEGURIDAD FÍSICA
11.1. ÁREAS SEGURAS
PREGUNTAS
11.1.1. PERÍMETRO DE SEGURIDAD FÍSICA
Las instalaciones de procesamiento de información se encuentran en buenas condiciones físicas

como las puertas exteriores y ventanas deben estar cerradas sobre todo a nivel del suelo
Cuentan con una área de recepción de atencion u otros medios para controlar el acceso físico al
edificio debidamente ubicado?
Cuentan con barreras fisicas para impedir el acceso fisico no autorizado ?
las instalaciones cumplen con normas regionales, nacionales e internacionales adecuadas en cas
incendios y que cumplan la resistencia en caso de ocurrir este indicente ?
Cuentan con los sistemas adecuados de detección de intrusos bajo las normas nacionales, region
internacionales y probados con regularidad?
quien(es) se encarga de definir los controles para la proteccion de las áreas que contienen la
información y sus instalaciones de procesamiento o bien sensibles o críticos.?
11.1.2. CONTROLES DE INGRESO FÍSICO
Se cuenta con un registro de los visitantes como la hora de entrada y salida asi como la supervis
menos que su acceso ha sido previamente aprobado.? La identidad de los visitantes es autentica
Se cuenta con un mecanismo de autenticación por ejemplo, como la tarjeta de acceso y el PIN e
secreto; para el acceso a las áreas donde la información es confidencial ?
cuentan con un libro de registro físico o electrónico de seguimiento de auditoría de todos los ac
asi como el mantenimiento y supervision de la misma?
los empleados, contratistas y agentes externos llevan algún tipo de identificación visible? y adem
notifican al personal de seguridad si se encuentran con los visitantes sin escolta y cualquier pers
no lleve identificación visible?
el personal de servicio de apoyo externo tiene acceso restringido a áreas seguras o confidenciale
instalaciones de procesamiento de la información?
los derechos de acceso a las áreas seguras se revisan y actualizan periódicamente,?asi como las
revocaciones?
11.1.3. ASEGURAR OFICINAS, ÁREAS E INSTALACIONES
instalaciones claves estan situados para evitar el acceso por parte del público.?
los edificios son discretos y no indican signos obvios, fuera o dentro del edificio,para la identifica
la presencia de las actividades de procesamiento de información?
las instalaciones estan configurados para evitar que la información confidencial o actividades se
visible y audible desde el exterior.?ejm Blindaje electromagnético.
los directorios y guías telefónicas internas de instalaciones de procesamiento de información
confidencial son de fácil acceso para cualquier persona no autorizada.?
11.1.4. PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES
Cuentan con las medidas de proteccion contra amenazas externas ,ambientales y/o humanas?
Quien o quienes se encargan de ver todas estas medidas ante las amenazas antes mencionadas?
ejemplo: incendios, inundaciones, terremotos, explosiones, disturbios civiles y otros tipos de cat
naturales o de origen humano
11.1.5. TRABAJO EN ÁREAS SEGURAS
Solo el personal es consciente de la existencia de todo tipo de actividades en el interior?
En áreas seguras se evita el trabajo sin supervisión ?
Existe una revision periodica a las áreas seguras vacantes.?
Existe un control acerca del ingreso de algun equipo de grabación?
11.1.6. ÁREAS DE DESPACHO Y CARGA
El acceso a una entrega y zona de carga desde el exterior del edificio esta limitado a personal
identificado y autorizado?
La entrega y la zona de carga estan diseñados de manera que los suministros pueden ser cargad
descargadas sin personal de reparto que acceden a otras partes del edificio?
las puertas exteriores de una entrega y el área de carga esta asegurado cuando se abren las pue
interior?
El material entrante es inspeccionado y examinado en busca de explosivos, productos químicos
materiales peligrosos?
El material entrante es registrado de acuerdo con los procedimientos de gestión de activos? (vé
Clausula 8) en la entrada al sitio.
Los envíos entrantes y salientes son separados físicamente?
El material entrante es inspeccionado en busca indicios de manipulación en el camino.? Si se de

tal manipulación se informa al personal de seguridad?
11.2. EQUIPOS
PREGUNTAS
11.2.1. EMPLAZAMIENTO Y PROTECCIÓN DE LOS EQUIPOS
Las instalaciones de procesamiento de información de manejo de datos sensibles estan colocado

cuidadosamente para reducir el riesgo de la información que se está viendo por personas no
autorizadas?
Los controles estan adoptados para minimizar el riesgo de posibles amenazas físicas y ambienta
ejemplo, el robo, incendio, explosivos, humo, agua (falta de suministro de agua), polvo, vibració
efectos químicos, interferencia de suministro eléctrico, las interferencias de comunicaciones, la
radiación electromagnética y el vandalismo?
Las pautas para comer, beber y fumar en la proximidad de las instalaciones de procesamiento d
información estan establecidas?
Las condiciones ambientales, como la temperatura y la humedad, estan monitorizados para dete
condiciones que puedan afectar negativamente al funcionamiento de las instalaciones de
procesamiento de información?
La protección contra rayos es aplicada a todos los edificios y los filtros de protección contra rayo
instalados en toda la energía entrante y las líneas de comunicación?
11.2.2. SERVICIOS DE SUMINISTRO

cumplen con las especificaciones del fabricante del equipo y los requisitos legales locales?
Son evaluados regularmente por su capacidad para satisfacer el crecimiento de los negocios y la
interacción con otros servicios de apoyo?
son inspeccionados y probados con regularidad para asegurar su buen funcionamiento?

Existe alarmas a detectar fallos de funcionamiento?
11.2.3. SEGURIDAD DEL CABLEADO
energía y las líneas de telecomunicaciones en las instalaciones de procesamiento de información

bajo tierra, o sujetas a protección alternativa adecuada?
los cables de alimentación estan separados de los cables de comunicaciones para evitar interfer
Cuentan con la instalación de conductos blindados en habitaciones cerradas o cajas de inspecció

terminación de los puntos?
utilizan blindaje electromagnético para proteger los cables?
Tienen un control de acceso a los paneles de conexión y salas de cable?
11.2.4. MANTENIMIENTO DE EQUIPOS
El equipo tiene mantenimientos de acuerdo con los intervalos de mantenimiento recomendado

proveedor y especificaciones?
El personal de mantenimiento es el unico autorizado a llevar a cabo las reparaciones y los equip
servicio?
se tiene registros de todas las fallas presuntos o reales, y de todo el mantenimiento preventivo y
correctivo?
se cumplen todos los requisitos de mantenimiento impuestas por las pólizas de seguro?
11.2.5. REMOCIÓN DE ACTIVOS
los empleados y los usuarios externos que tienen la autoridad para permitir la retirada fuera de
instalaciones de los activos son identificados?
los plazos para la eliminación de los activos se establecen y vuelven a ser verificarlos para su
cumplimiento?
cuando sea necesario y apropiado, los activos se registra como retirado fuera de sitio y se regist
cuando se devuelven?
la identidad, el papel y la afiliación de cualquier persona que maneja o usa los activos esta
documentada?
11.2.6. SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES
Se tiene una control de los equipos y medios de comunicación tomadas fuera de las instalacione
las instrucciones del fabricante para la protección de equipos son observadas en todo momento
ejemplo, la protección contra la exposición a los campos electromagnéticos fuertes;
controles para fuera del establecimiento localizaciones, tales como sitios de trabajo a domicilio,
teletrabajo y temporales son determinados por una evaluación de riesgos y los controles adecua
aplica en su caso?
11.2.7. DISPOSICIÓN O REUTILIZACIÓN SEGURA DE EQUIPOS
Todos los elementos del equipo que contiene los medios de almacenamiento son verificados pa
garantizar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de fo
segura antes de su eliminación o reutilización.?
el proceso de cifrado es suficientemente fuerte y cubre todo el disco (incluyendo el espacio de h

archivos de intercambio, etc)?
las claves de cifrado son lo suficientemente largos para resistir los ataques de fuerza bruta?
11.2.8. EQUIPOS DE USUARIO DESATENDIDOS
los usuarios tiene por politica terminar sesiones activas cuando finalice?ademas los equipos de c
cuentan con un bloqueo adecuado como mecanismo? por ejemplo, un protector de pantalla pro
contraseña
los usuarios tiene conocimiento de desconectarse de aplicaciones o servicios de red cuando ya n

necesarios?
11.2.9. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA
en cuanto a la información comercial sensible o crítica, por ejemplo, en papel o en soporte elect
de que manera protegen dichos documentos sobre todo cuando no hay nadie?
el uso no autorizado de las fotocopiadoras y otras tecnologías de reproducción (por ejemplo, es

cámaras digitales) hay politicas contra dichos arfecfactos?
como se maneja con respecto a los medios que contienen información sensible o clasificada ?so
retiradas de la impresaoras de inmediato?
A Y AMBIENTAL
ESTADO ACTUAL VALOR ESTADO SUBTOTAL ESTADO TOTAL
Gestionado 80
Gestionado 80
Gestionado 80
DEFINIDO
Gestionado 80
Repetible 40
Gestionado 80
Gestionado 80
Gestionado 80
GESTIONADO
Gestionado 80
GESTIONADO
Gestionado 80
Gestionado 80
REPETIBLE
Gestionado 80
Inicial 20
Gestionado 80
DEFINIDO
Gestionado 80
Gestionado 80
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
Inicial 20
Definido 60
INICIAL
Inicial 20
Inicial 20
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
INICIAL
Inicial 20
Inicial 20
INICIAL
Inicial 20
Inicial 20
Inicial 20
INICIAL
Inicial 20
Definido 60
Inicial 20 INICIAL
Inicial 20
34.38%
0.223703703703704
0 INEXISTENTE
1 INICIAL
INICIAL 2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
46.39% 53.61%
11.1. ÁREAS SEGURAS
Gestionado
24%
Total Result
50%
Inicial
24%
Repetible
2%
Gestionado 14
Inicial 14
Repetible 1
Total Result 29
GURAS
stionado
24%
Gestionado
Inicial
Repetible
Total Result
Inicial
24%
22.37% 77.63%
11.2. EQUIPOS
Definido
3%
Total Result
50% Inicial
47%
Definido 2
Inicial 31
Total Result 33
Definido
Inicial Inicial
47%
Total Result
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES OPERACIONALES
PREGUNTAS ESTADO ACTUAL

12.1.1. PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS
¿Existe documentación de los procedimientos de encendido y Definido

apagado de ordenadores, copias de respaldo, etc?
¿Los documentos de operaciones estan a disposicion de los Gestionado

usuarios ?
12.1.2. GESTIÓN DE CAMBIOS
¿Se tiene un registro de los cambios? Gestionado
¿Existe un control respecto a los cambios en la

organización,los procesos de negocio,instalaciones y sistemas Definido
que afectan a la seguridad de información de procesamiento
de información?
¿Qué elementos se considera dentro del proceso de la

gestion de cambios? Ejm . Identificacion y registro de los Definido
cambios significativos ,Impacto , etc.
12.1.3. GESTIÓN DE LA CAPACIDAD
quienes supervisan los recursos clave del sistema.?ejemplos

de la gestión de la demanda de capacidad incluyen: Supresión
de datos obsoletos (espacio en disco); Desmantelamiento de
las aplicaciones, sistemas, bases de datos o entornos;
Optimización de procesos por lotes y los horarios; Definido
optimización de la lógica de aplicación o consultas de bases
de datos; Negar o restringir el ancho de banda para los
servicios de hambre de recursos, si estos no son críticos para
el negocio (por ejemplo, la transmisión de vídeo).
El uso de los recursos es monitoreado ? Optimizado
se tiene proyecciones de las futuras necesidades de

capacidad para asegurar el rendimiento del sistema que se Optimizado
requeriera?
12.1.4. SEPARACIÓN DE LOS ENTORNOS DE DESARROLLO, PRUEBAS Y OPERACIONES
Existe los niveles de desarrollo, pruebas y entornos Definido
operacionales?
¿Existe una separación entre los entornos de desarrollo, Definido

prueba y producción? Trabajan de forma independiente?
El personal que se encuentra en estos niveles comparten la Definido

misma informacion?
12.2. PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO (MALWARE)
12.2.1. CONTROLES CONTRA CÓDIGOS MALICIOSOS

¿Cuentan con controles de detección, prevención y Definido
recuperación para proteger contra el malware?
¿Qué controles utilizan para prevenir? Definido
¿Qué controles utilizan para la deteccion? Definido
¿Qué controles utilizan para la recuperacion? Definido
12.3. RESPALDO
12.3.1. RESPALDO DE LA INFORMACIÓN
Cuentan con copias de seguridad de respaldo? Definido
cuentan con una política de copia de seguridad? Definido
¿Exiisten pruebas de copias de seguridad? Y cada cuanto Gestionado

tiempo se hacen estas pruebas?
12.4. REGISTROS Y MONITOREOS
12.4.1. REGITRO DE EVENTOS
Cuentan con un registro de eventos ? Ya sea como Definido

actividades de los usuarios , grabar registro de eventos , etc
¿Qué elementos incluyen dentro del proceso de registro de Definido

eventos? Ejm. Id usuario , Las actividades del sistema , etc.
12.4.2. PROTECCIÓN DE INFORMACIÓN DE REGISTROS

Como se protegene la informacion de registro? Definido
En caso de alguna alteracion o manipulacion de la Gestionado

informacion de registro que medidas se toman ?
12.4.3. REGISTROS DEL ADMINISTRADOR Y DEL OPERADOR
cuentan con un administrador de sistema y un gestor de red? Definido
¿Qué herramientas usa para el registro de actividad del Definido

administrador o del gestor de red?
Con respecto a los titulares de cuentas de usuarios

privilegiados se tiene un seguimiento o control acerca de las Gestionado
actividades que ellos hacen?
cuentan con un sistema de detección de intrusos? Repetible
12.4.4. SINCRONIZACIÓN DEL RELOJ
¿Los relojes de las diferentes areas se encuentran en Gestionado

sincronia con el reloj maestro?
los requerimientos externos e internos para la representación Inicial

del tiempo, sincronización y precisión estan documentados?
12.5. CONTROL DEL SOFTWARE OPERACIONAL
12.5.1. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERACIONALES

¿Se cuenta con algun procedimiento al momento de la Gestionado
instalacion de un software en los sistemas operativos?
que procedimientos que aplican para controlar la instalación Definido

de software en los sistemas operativos?
cuentan con proveedores informaticos? Gestionado

los proveedores tienen acceso físico o lógico ? Definido
12.6. GESTIÓN DE VULNERABILIDAD TÉCNICA
12.6.1. GESTIÓN DE VULNERABILIDADES TÉCNICAS
¿cuentan con un inventario de los activos de la empresa? Gestionado
que pautas siguen para establecer un proceso de gestión Definido

eficaz para las vulnerabilidades técnicas?
12.6.2. RESTRICCIÓN SOBRE INSTALACIÓN DE SOFTWARE
existe una política estricta en la que los tipos de usuarios de Gestionado

software puedan instalar?
¿que tipo de instalaciones de software esta permitido por Gestionado

parte de los usuarios?
12.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
12.7.1. CONTROLES DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Se lleva una planificacion de los requisitos de auditoria Definido

relacionada a los sistemas de informacion?
cada cuanto tiempo se hace una planificacion para los

requisitos de una auditoria y/o las actividades relacionadas Gestionado
con la verificación de los sistemas operativos?
que pautas se considera dentro del proceso de una

auditoria? Ejm pruebas de auditoría que podrían afectar a la Definido
disponibilidad del sistema se deben ejecutar fuera de horas
de oficina
7
BILIDADES OPERACIONALES
VALOR ESTADO SUBTOTAL ESTADO TOTAL
60
DEFINIDO
80
80
60
DEFINIDO
60
DEFINIDO
60
GESTIONADO
100
100
NES
60
DEFINIDO
60
60
WARE)
60
60
DEFINIDO
DEFINIDO
60
60
60
DEFINIDO
60
DEFINIDO
80
60
DEFINIDO
60
60
DEFINIDO
80
60 DEFINIDO
60
DEFINIDO
80
40
80
REPETIBLE
20
80
60
DEFINIDO
DEFINIDO
80
60
80
DEFINIDO
60
DEFINIDO
80
GESTIONADO
80
NFORMACIÓN
60
80 DEFINIDO
DEFINIDO
60
0.223703703703704 INICIAL
NIVEL
CUMPLIMIENTO 67.02%
INCUMPLIENTO 32.98%
12.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERACIONALES
70.83% 29.17%
12.3. RESPALDO
CUMPLIMIENTO INCUMPLIENTO
66.67% 33.33%
12.5. CONTROL DEL SOFTWARE OPERACIONAL
70.00% 30.00%
12.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
66.67% 33.33%
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
12.2. PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO (

12.2. PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO (MALWARE)
60.00% 40.00%
60.00% 40.00%
75.00% 25.00%
Definido 7
Gestionado 2
Optimizado 2
Total Result 11
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES

OPERACIONALES
Definido
32%
Total Result
50%
Gestionado
9%
Optimizado
9%
Definido 2
Gestionado 1
Total Result 3
12.3. RESPA
Total Result
50%
Gestionad
17%

Definido 2
Gestionado 2
Total Result 4
Total
Definido
25%
Total Result
50%
Gestionado
25%
Definido 2
Gestionado 1
Total Result 3
Total
Definido
33%
Total Result
50%
Gestionado
17%
SPONSABILIDADES 12.2. PROTECCIÓN CONTRA EL SOFTWAR
Definido
Gestionado Total Result Definid
Optimizado 50% 50%
Total Result
o
12.3. RESPALDO
Definido
33%
Definido
sult Gestionado
Total Result
Gestionado
17%
Total
Definido
25%
Definido
Gestionado
Total Result
Gestionado
25%
Total
Definido
33%
Definido
Gestionado
Total Result
Gestionado
17%
Definido 4
Total Result 4
CIÓN CONTRA EL SOFTWARE MALICIOSO (MALWARE)
Total Result Definido Definido

Definido 5
Gestionado 3
Inicial 1
Repetible 1
Total Result 10
Definido
25%
Definido
Gestionado
Total Result Inicial
50% Repetible
15%
Inicial
Repetible5%
5%

Definido 1
Gestionado 3
Total Result 4
Total
Definido
13%
Definido
50%
Total Result
Gestionado
38%
Definido
Gestionado
Inicial
Repetible
Total Result
Definido
Gestionado
Total Result
13.1. GESTIÓN DE SEGURIDAD DE LA RED
ESTADO
PREGUNTAS ACTUAL VALOR
13.1.1. CONTROLES EN REDES
¿Cómo gestionan y controla las redes? Gestionado 80
¿Quién realiza dichas funciones? Gestionado 80
13.1.2. SEGURIDAD DE SERVICIOS DE RED
¿Cuentan con mecanismos de seguridad en la red? Definido 60
¿Estan identificados e incluidos en un acuerdo de servicio de red? Repetible 40
13.1.3. SEGREGACIÓN DE REDES
¿Cómo se tiene distribuído los sistemas de información, usuarios y

Definido 60
servicios a nivel de red? (separada o todos juntos)
13.2. TRANSFERENCIA DE INFORMACIÓN
PREGUNTAS ESTADO VALOR

ACTUAL
13.2.1. POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE LA INFORMACIÓN
¿Cuentan con políticas, procedimientos y/o controles que protegan Definido 60

la transeferencia de informacion?
¿Estas politicas, procedimientos y/o controles estan difundidos en
Repetible 40
toda la empresa y terceros?
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen? Definido 60
¿Qué tan seguido se actualiza las políticas, procedimientos y/o

Definido 60
controles?
13.2.2. ACUERDO SOBRE TRANSFERENCIA DE INFORMACIÓN

¿Qué acuerdos existen para transferir se manera segura la
Definido 60
información del negocio entre la organización y partes externas?
13.2.3. MENSAJES ELECTRÓNICOS

¿Manejan algun tipo mecanismo que controle la información que
Definido 60
contiene un correo?
De ser así ¿Quién maneja o gestiona dicho mecanismo? Definido 60
13.2.4. ACUERDOS DE CONFIDENCIALIDAD O NO DIVULGACIÓN
¿Cuentan con políticas de confidencialidad o no divulgación en la
Gestionado 80
empresa? (con respecto a la información)
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen?

Gestionado 80
(tanto trabajadores internos como externos)
¿Qué tan seguido se actualiza los documentos de acuerdo de

Repetible 40
confidencialidad?
2 NIVEL
CUMPLIMIENTO
ESTADO SUBTOTAL ESTADO TOTAL INCUMPLIENTO
GESTIONADO 13.1. GESTIÓN DE SEGURIDAD DE LA RED
CUMPLIMIENTO
63.33%
DEFINIDO
REPETIBLE
13.1. GESTIÓN DE SEGU
DEFINIDO
Defi
20
ESTADO SUBTOTAL ESTADO TOTAL Total Result

50%
Repetible
10%
REPETIBLE
ESTADO ACTUAL
DEFINIDO
DEFINIDO
DEFINIDO
Definido
Gestionado
DEFINIDO Repetible
Total Result
DEFINIDO
0
0.223703703704 INICIAL 1
2
3
4
5
61.88%
38.13%
GURIDAD DE LA RED 13.2. TRANSFERENCIA DE INFORMACIÓN
INCUMPLIENTO
36.67%
GESTIÓN DE SEGURIDAD DE LA RED 13.2. TRANSFE
Definido
20%
Definido
Total Result
sult Gestionado 50%
% Repetible
20%
Repetible
10%
Count - VALOR ESTADO ACTUAL

2 Definido
2 Gestionado
1 Repetible
5 Total Result
INEXISTENTE
INICIAL
REPETIBLE
DEFINIDO
GESTIONADO
OPTIMIZADO
CIA DE INFORMACIÓN
60.42% 39.58%
13.2. TRANSFERENCIA DE INFORMACIÓN
Definido
30%
Definido
50% Repetible
Total Result
Gestionado
10%
Repetible
10%
Count - VALOR
6
2
2
10
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
14.1.1. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
A la hora que han adquirido o van a adquirir un SI, ¿Le han

solicitado algunos requisitos relacionados a la seg. de la inf. a la Definido
empresa o persona a implementar tal SI?
¿Qué requisitos relacionados a la seguridad de la informacion

existe para la adquisicion o mejora en los sistemas de Inexistente
información?
14.1.2. ASEGURAMIENTO DE SERVICIOS DE APLICACIONES SOBRE REDES PÚBLICAS
¿Cómo protegen la informacion que almacenan las aplicaciones

que pasan por redes publicas hacia las redes internas de la Definido
empresa?
14.1.3. PROTECCIÓN DE TRANSACCIONES EN SERVICIOS DE APLICACIÓN
¿Cómo se protege la información involucrada en las

transacciones otorgradas por servicios de aplicación en la Definido
empresa?
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
14.2.1. POLÍTICA DE DESARROLLO SEGURO
¿Existen reglas para el desarrollo del software y cuales son

Inexistente
estas reglas?
14.2.2. PROCEDIMIENTOS DE CONTROL DE CAMBIO DEL SISTEMA
¿Cuál es el procedimientos que se realiza para el control de

Definido
cambio de un sistema?
14.2.3. REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS A LA PLATAFORMA OPERATIVA
Cuando se realiza algún cambio en la plataforma de un sw,

¿Qué tipo de procedimientos realizan para asegurar que no Gestionado
haya algún impacto en la organización?
14.2.4. RESTRICCIONES SOBRE CAMBIOS A LOS PAQUETES DE SOFTWARE

¿Cuáles son las restricciones que la empresa dispone para el
Gestionado
cambio de un software?
14.2.5. PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS
¿Qué principios de sistemas seguros establecen a la hora de

Gestionado
implementar un sistema?
14.2.6. AMBIENTE DE DESARROLLO SEGURO
¿Cómo protegen o aseguran los ambientes de desarrollo Definido
14.2.7. DESARROLLO CONTRATADO EXTERNAMENTE
¿Cuentan con un ambiente de desarrollo externo? Definido
¿Se supervisa y monitorea las actividades de desarrollo de un

Repetible
sistema tercerizado?
14.2.8. PRUEBAS DE SEGURIDAD DEL SISTEMA
¿Que pruebas de seguridad se realizan durante las etapas del

Inexistente
desarrollo?
14.2.9. PRUEBAS DE ACEPTACIÓN DEL SISTEMA
¿Acorde a qué criterios aprueban la aceptación de nuevos SI,

Gestionado
actualizaciones y/o versiones nuevas?
14.3. DATOS DE PRUEBA
14.3.1. PROTECCIÓN DE DATOS DE PRUEBA

Cuando se implementa un nuevo SI, a la hora de realizar las
Gestionado
pruebas ¿De donde sacan los datos?
¿Cómo protegen los datos usados para pruebas y quién lo
Gestionado
realiza?
STEMAS 3 NIVEL
CUMPLIMIENTO
VALOR ESTADO SUBTOTAL ESTADO TOTAL INCUMPLIENTO
E LA INFORMACIÓN
60 14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMA
INICIAL
0
CAS REPETIBLE
60 DEFINIDO
60 DEFINIDO
14.1. REQUISITOS
0 INEXISTENTE
60 OPTIMIZADO
FORMA OPERATIVA
80 GESTIONADO
14.3. DATOS DE PRUEBA

80 GESTIONADO
80 GESTIONADO REPETIBLE
60 DEFINIDO
60 To
REPETIBLE
40
0 INEXISTENTE
80 GESTIONADO
ESTADO ACTUAL
Definido
Inexistente
Total Result
80
GESTIONADO
GESTIONADO
80
62.96%
37.04%
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
50.00% 50.00%
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Definido
38% Definido
50% Total Result
Inexistente
13%
80.00% 20.00%
Total
Gestionado
Count - VALOR
3
1
4
0 INEXISTENTE
0.223703703703704 INICIAL 1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
58.89% 41.11%
ACIÓN 14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y

SOPORTE
Definido Definido
15% Gestionado
Definido
Inexistente
Inexistente Total Result Gestionado Repetible
Total Result 50% 20% Total Result
Inexistente
Repetible10%
5%
Definido 3
Gestionado 4
Inexistente 2
Repetible 1
Total Result 10
SARROLLO Y
Definido
Gestionado
Inexistente
Repetible
Total Result
Gestionado 2
Total Result 2
15.1 SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON LOS PROVEEDORES
ESTADO
PREGUNTAS
ACTUAL
15.1.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LAS RELACIONES CON LOS PROVEEDORES
Cuenta con politicas de seguridad de la informacion para acceso del

Repetible
proveedor a los activos de la organización?
¿Se encuetran definidos los controles en los procesos y

procedimientos a ser implementados por la organizacion cuando los Gestionado
proveedores acceden a la informacion?
15.1.2 ABORDAR LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES
Existe un acuerdo previo entre el proveedor y la empresa para las

diferentes tareas que el proveedor pueda brindar que satisfagan los Gestionado
requerimientos de seguridad de la informacion?
15.1.3 CADENA DE SUMINISTRO DE TECNOLOGIA DE INFORMACION Y COMUNICACIÓN
Dentro del acuerdo con el proveedor incluyen como afrontar los

riesgos de seguridad de informacion asociados con los servicios de TI Repetible
y comunicaciones y la cadena de productos?
15.2 GESTIÓN DE ENTREGA DE SERVICIOS DEL PROVEEDOR

ESTADO
PREGUNTAS
ACTUAL
15.2.1 MONITOREO Y REVISIÓN DE SERVICIOS DE LOS PROVEEDORES
¿Cuenta con la supervisión y revisión de los servicios brindados por

Definido
los proveedores?
Que requisitos incluyen en el monitoreo y supervision de los servicios

Definido
brindados por los proveedores?
15.2.2 GESTIÓN DE CAMBIOS A LOS SERVICIOS DE PROVEEDORES

Cuenta con la gestion de cambios respecto a los servicios que brindan
los proveedores? Inexistente
S 2
VEEDORES
NES CON LOS PROVEEDORES
40
DEFINIDO
80
EDORES
DEFINIDO
80 GESTIONADO 15.1 SEGURIDA

RELACIONES C
MUNICACIÓN
40 REPETIBLE
Total Result
50%
60
DEFINIDO
INICIAL
60
0 INEXISTENTE
NIVEL
CUMPLIMIENTO 45.00%
INCUMPLIENTO
55.00%
15.1 SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON LOS

PROVEEDORES
60.00% 40.00%
15.1 SEGURIDAD DE LA INFORMACION EN LAS

RELACIONES CON LOS PROVEEDORES
Gestionado
Gestionado Repetible
25%
Total Result
Total Result
50%
Repetible
25%

Gestionado 2
Repetible 2
Total Result 4
0
0.223703703703704 INIC 1
2
3
4
5
15.2 GESTIÓN DE ENTREGA DE SERVICIOS DEL PROVEEDOR
30.00% 70.00%
Total
Definido
33% Definido
50% Total Result
Inexistente
17%

Definido 2
Inexistente 1
Total Result 3
INEXISTENTE
INICIAL
REPETIBLE
DEFINIDO
GESTIONADO
OPTIMIZADO
Definido
Inexistente
Total Result
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
ESTADO
PREGUNTAS
ACTUAL
16.1.1. RESPONSABILIDADES Y PROCEDIMIENTOS.
¿Quienes son los responsables de responder ante los

Gestionado
incidentes de seguridad de la informacion?
¿Se encuentran desarrollados los procedimientos para

Gestionado
planificacion de preparacion y respuesta a incidentes?
¿Se cuentan con procedimientos para el registro de actividad

Gestionado
de incidencias?
16.1.2. REPORTE DE EVENTOS DE SEGURIDAD DE LA INFORMACION
¿Se encuentran gestionados los canales de comunicacion? Gestionado
¿Se cuentan con procedimientos para informar incidentes asi

como el punto de contacto donde deben ser reportados? Gestionado
16.1.3. REPORTE DE DEBILIDADES DE SEGURIDAD DE LA INFORMACION
¿Con que mecanismos de comunicación de debilidades de

Gestionado
seguridad de informacion se cuentan?
16.1.4. EVALUACION Y DECISION SOBRE EVENTOS DE SEGURIDAD DE LA INFORMACION
¿Se clasifican los incidentes de seguridad de la informacion? Gestionado
¿Se cuentan con criterios para la priorizacion de los

Gestionado
incidentes?
16.1.5. RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACION
¿Se documentan todos eventos de los incidentes para su uso Gestionado

en un incidente futuro?
¿Se realizan los analisis post incidente para identificar su

Gestionado
origen?
16.1.6. APRENDIZAJE DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
¿Se recogen datos para cuantificar y monitorear incidentes
recurrentes ademas de saber como responder ante Gestionado
estos,calcular su impacto y evitarlos?
16.1.7. RECOLECCION DE EVIDENCIAS

¿Se cuentan con procesos para identificacion, adquisicion y Gestionado
conservacion de la informacion?
¿Que criterios se toman en cuenta en la recoleccion de
Definido
evidencias?
E LA INFORMACION 1
CIÓN Y MEJORAS.
80
GESTIONADO
80
80
CION
80
GESTIONADO
80
MACION
80 GESTIONADO
AD DE LA INFORMACION
DEFINIDO
80
GESTIONADO
80
MACION
80
GESTIONADO
80
A INFORMACIÓN.
80 GESTIONADO
80
DEFINIDO
DEFINIDO
60
NIVEL
CUMPLIMIENTO 78.57%
INCUMPLIENTO 21.43%
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORA
78.57% 21.43%
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE L
Definido
4%
Total Result
50% Gestionado
46%
Definido 1
Gestionado 12
Total Result 13
0.223703703703704
SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
DENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
Definido
4%
Definido
Gestionado
Total Result
tal Result
50% Gestionado
46%
0 INEXISTENTE
INICIAL 1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE CONTINUIDAD DEL NEGOCIO
17.1 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION
PREGUNTAS
17.1.1. PLANIFICACION DE LA CONTINUIDAD DE SEGURIDAD DE LA INFORMACION
¿Con que planes se cuentan para garantizar la continuidad

de la seguridad de la informacion?
¿En los procesos de gestion de la continuidad de negocio o gestion de

recuperacion de desastres se encuentra inmerso los planes de continuidad de
seguridad de informacion?
17.1.2. IMPLEMENTACION DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACION
¿Se cuenta con una gestion adecuada y personal con las competencias
necesarias para la preparacion, mitigacion y respuesta ante un evento adverso?
¿Quien es el personal con la responsabilidad de responder, manejar un

incidente y mantener la seguridad de la informacion
¿Se encuentran los planes, procedimientos de respuesta y recuperacion

desarrollados y aprobados?
¿Se detalla como la organizacion gestionará un evento adverso y mantendra la

seguridad de la informacion a un determinado nivel?
17.1.3. VERIFICACION, REVISION Y EVALUACION DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACION
¿Los procesos de continuidad de seguridad de informacion han sido puesto en

ejercicio y pruebas para asegurar que son consistentes con los objetivos?
¿Se revisan la validez y la eficacia de las medidas ante un cambio de los sistemas
de informacion?
17.2 REDUNDANCIAS
PREGUNTAS
17.2.1. INSTALACIONES DE PROCESAMIENTO DE LA INFORMACION
¿Se encuentran identificados los requerimientos para disponibilidad de la

informacion?
¿Las infraestructuras cuentan con redundancia que garantizen la disponibilidad
de los sistemas de informacion?
N LA GESTION DE CONTINUIDAD DEL NEGOCIO 2
ESTADO
ESTADO ACTUAL VALOR SUBTOTAL ESTADO TOTAL
NFORMACION
Definido 60
DEFINIDO
Definido 60
NFORMACION
Definido 60
Definido 60
DEFINIDO
DEFINIDO
Definido 60
Definido 60
E SEGURIDAD DE LA INFORMACION
Definido 60
DEFINIDO
Definido 60
ESTADO
ESTADO ACTUAL VALOR ESTADO TOTAL
SUBTOTAL
Definido 60
DEFINIDO
DEFINIDO
DEFINIDO
DEFINIDO
Definido 60
NIVEL
CUMPLIMIENTO 60.00%
INCUMPLIENTO
40.00%
60.00% 40.00%
Definido
Total Res
50% 50%

Definido 8
Total Result 8
0.223703703703704
INFORMACION 17.2 REDUNDANCIAS
CUMPLIMIENTO
60.00%
LA INFORMACION 17.2 REDUNDANCIAS
Definido
Total Result
50% 50%

Definido 2
Total Result 2
0 INEXISTENTE
INICIAL 1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
INCUMPLIENTO
40.00%
CIAS
nido Definido
% Total Result
18. CUMPLIMIENTO
18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES.
PREGUNTAS
18.1.1 IDENTIFICACIÓN DE REQUISITOS CONTRACTUALES Y DE LEGISLACION APLICABLES

¿Se tienen identificados todos los requisitos legislativos, regulatorios y
contractuales?
¿Con que enfoque se cuenta para el cumplimiento de estos requisitos?
¿Con que frecuencia se documentan y actualizan estos requerimientos?
18.1.2 DERECHOS DE PROPIEDAD INTELECTUAL.
¿Se cuenta con procedimientos para la adquision y uso de softwares cumpliendo

con los derechos de propiedad intelectual?
18.1.3 PROTECCIÓN DE REGISTROS
¿Que medidas se tienen implementadas para la proteccion de registros para

evitar la perdida, destruccion, falcificacion, acceso no autorizada y divulgacion?
¿Se mantiene un seguimiento de los registros para determinar el responsable de

su manipulcion?
18.1.4 PRIVACIDAD Y PROTECCION DE DATOS PERSONALES
¿Se cuentan con politicas para el aseguramiento de los datos personales?
¿Estas politicas es de conocimiento de todo aquel personal que esta involucrada

con el procesamiento de datos personales?
18.1.5 REGULACIÓN DE LOS CONTROLES CRIPTOGRÁFICOS
¿Se cuenta con sofware y hardware que permita la encriptacion de contenido?
18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN.
PREGUNTAS
18.2.1 REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE INFORMACIÓN.

¿Se cuentan con auditorias internas para la seguridad de la informacion y con que
frecuensia se realizan?
¿Que criterios y controles se toman en cuenta para la evaluacion interna?
18.2.2 CUMPLIMIENTO DE POLÍTICAS Y NORMAS DE SEGURIDAD.

¿Se cuentas con roles responsables para asegurarel cumplimiento de las politicas
y normas de seguridad?
¿Se cuenta con procedimientos para la identificacion de causas del

incumplimiento de las politicas y normas de seguridad?
18.2.3 REVISION DEL CUMPLIMIENTO TECNICO

¿Se cuenta con herramientas de recopilacion de datos para la generacion de
informes tecnicos?
¿La revision tecnica es llevada a cabo por personal experto que cumpla con los
conocimientos tecnicos especializados?
O 2
ACION APLICABLES
Definido 60
Definido 60
DEFINIDO
Definido 60
DEFINIDO
Definido 60
Gestionado 80
GESTIONADO
Gestionado 80
Definido 60 DEFINIDO
N.
Gestionado 80
INEXISTENTE
Definido 60
DEFINIDO
Gestionado 80
DEFINIDO
DEFINIDO
Definido 60
Definido 60
REPETIBLE
Repetible 40
NIVEL
CUMPLIMIENTO 66.33%
INCUMPLIENTO
33.67%
18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES.
69.33% 30.67%
Definido 5
Gestionado 4
Total Result 9
0.223703703703704 INICIAL
CONTRACTUALES. 18.2 REVISIONES DE SEGURIDAD DE LA
CUMPLIMIENTO
69.33%
Definido 3
Gestionado 2
Repetible 1
Total Result 6
0 INEXISTENTE
1 INICIAL
2 REPETIBLE
3 DEFINIDO
4 GESTIONADO
5 OPTIMIZADO
NES DE SEGURIDAD DE LA INFORMACIÓN.
INCUMPLIENTO
30.67%

Herramienta 27001 DominiosMadurez

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Herramienta 27001 DominiosMadurez

Cargado por

Copyright:

Formatos disponibles

Tabla de Escala para ISO27001 e ISO27002

Los procesos y los controles siguen un patrón regular. Los procesos

Los procesos y los controles se documentan y se

Los controles se monitorean y se miden. Es posible monitorear y medir

Las buenas prácticas se siguen y automatizan. Los procesos han sido

Dominio con mayor cumplimiento

Grado de Madurez Financiera ProEmpresa

8. GESTIÓN DE ACTIVOS 12. SEGURIDAD

7. SEGURIDAD DE LOS RECURSOS HUMANOS 13. SEGU

6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 14. ADQU

5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 15. RELACIONES

18. CUMPLIMIENTO 16. GESTION DE INCIDENTES

2. SEGURIDAD DE LAS OPERACIONES

13. SEGURIDAD DE LAS COMUNICACIONES Estado DEFINIDO

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

5. RELACIONES CON LOS PROVEEDORES

E INCIDENTES DE SEGURIDAD DE LA INFORMACION

PREGUNTA ESTADO ACTUAL

5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

¿Se cuenta con una política de seguridad definida? Favor

¿Con que tipo de política de seguridad de información se Definido

¿Se cuenta con un enunciado donde se mencione sobre

¿Se cuenta con enunciado relacionado a los requisitos de

¿Quien(es) aprueban la política de seguridad? Inexistente

¿Los empleados son comunicados sobre la política de

¿Todos los empleados tienen conocimiento de la misma

¿Qué parte externa es considerada a comunicarles la

¿Los empleados deben firmar alguna confirmación sobre

5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

¿Quién(es) es responsable de la manipulación de

¿Con que frecuencia se revisan las políticas? Gestionado

5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INF

5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA

PREGUNTAS ESTADO ACTUAL VALOR ESTADO SUBTOTAL

6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓ

¿Qué grupos reciben las responsabilidades del

¿Qué criterio utilizan para designar al

¿Qué medidas se realiza para evitar la

¿Quiénes otorgan la autorización para

¿En caso de no poder tener autorización de

6.1.3.CONTACTO CON AUTORIDADES

¿A quien reportan la ocurrencia de incidentes

¿Qué criterio utilizan para designar la persona

¿Qué medidas toman para lograr que el REPETIBLE

¿Qué planes de contingencia tienen ante esos

¿Qué medidas se toman ante cambios en el Inexistente 0

6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Bajo que criterios se forman estos grupos? Inexistente 0

¿Qué acciones toman para mejorar el

6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS

¿Los objetivos de la seguridad de la

¿Consideran la seguridad de la información en REPETIBLE

¿Qué medidas se toman para que el

PREGUNTAS ESTADO ACTUAL VALOR

6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES

¿Posee un enunciado relacionado dispositivos

¿Cuentan con criterios de separación de Inexistente 0

¿Bajo que criterio se selecciona la DEFINIDO

¿Con que frecuencia se evalua la

ESTADO TOTAL 50.13% 49.87%

ESTADO ACTUAL Count - VALOR

ESTADO ACTUAL Count - VALOR

6.1. ORGANIZACIÓN INTERNA