CRITERIOS DE EVALUACIÓN

Para establecer el porcentaje de cumplimiento de cada uno de los controles presentes en el checklist, se t
de madurez de procesos establecidos en la norma ISO 21827 y los cuales se describen en la siguiente tab

Porcentaje Criterio
0% No realizado

20% Realizado informalmente

40% Planificado

60% Bien definido

80% Cuantitativamente controlado

100% Mejora continua

RITERIOS DE EVALUACIÓN
e cada uno de los controles presentes en el checklist, se tendra en cuenta los niveles
a ISO 21827 y los cuales se describen en la siguiente tabla :

Descripción
No hay controles de seguridad de la información establecidos.

Existen procedimientos para llevar a cabo ciertas acciones en

determinado momento. Estas prácticas no se adoptaron
formalmente y/o no se les hizo seguimiento y/o no se informaron
adecuadamente.
Los controles de seguridad de la información establecidos son
planificados, implementados y repetibles.

Los controles de seguridad de la información además de

planificados son documentados, aprobados e implementados en
toda la organización.

Los controles de seguridad de la información estan sujetos a

verificación para establecer su nivel de efectividad.
Los controles de seguridad de la información definidos son
periodicamente revisados y actualizados. Estos reflejan una
mejora al momento de evaluar el impacto.
 Criterio Porcentaje
No realizado 0%
Realizado informalmente 20%
Planificado 40%
Bien definido 60%
Cuantitativamente controlado 80%
Mejora continua 100%
 CRITERIOS DE EVALUACIÓN

AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN

No realizado
Realizado informalmente
Planificado
Herramienta de Evaluacion y Diagnostico bajo la Norma ISO/IEC 27002:2013 Bien definido
Cuantitativamente controlado
Mejora continua
Norma Seccion Cumplimiento
5 POLITICAS DE SEGURIDAD 70%
5.1 Directrices de la Dirección en seguridad de la información 70%
5.1.1 Conjunto de políticas para la seguridad de la información Planificado
5.1.2 Revisión de las políticas para la seguridad de la información Mejora continua
8 GESTION DE ACTIVOS 3%
8.1 Responsabilidad sobre los Activos 10%
8.1.1 Inventario de activos. Planificado
8.1.2 Propiedad de los activos. No realizado
8.1.3 Uso aceptable de los activos. No realizado
8.1.4 Devolución de activos. No realizado
8.2 Clasificacion de la Informacion 0%
8.2.1 Directrices de clasificación. No realizado
8.2.2 Etiquetado y manipulado de la información. No realizado
8.3 Manejo de los soportes de almacenamiento 0%
8.3.1 Gestión de soportes extraíbles. No realizado
8.3.2 Eliminación de soportes. No realizado
8.3.3 Soportes físicos en tránsito No realizado
9 CONTROL DE ACCESO 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.1.1 Política de control de accesos. No realizado
9.1.2 Control de acceso a las redes y servicios asociados. No realizado
9.2 Gestión de acceso de usuario. 0%
9.2.1 Gestión de altas/bajas en el registro de usuarios. No realizado
9.2.2 Gestión de los derechos de acceso asignados a usuarios. No realizado
9.2.3 Gestión de los derechos de acceso con privilegios especiales. No realizado
9.2.5 Revisión de los derechos de acceso de los usuarios. No realizado
9.2.6 Retirada o adaptación de los derechos de acceso No realizado
9.4 Control de acceso a sistemas y aplicaciones 0%
9.4.1 Restricción del acceso a la información. No realizado
9.4.2 Procedimientos seguros de inicio de sesión. No realizado
9.4.3 Gestión de contraseñas de usuario. No realizado
9.4.4 Uso de herramientas de administración de sistemas. No realizado
9.4.5 Control de acceso al código fuente de los programas No realizado
11 SEGURIDAD FISICA Y AMBIENTAL 0%
11.1 Areas Seguras 0%
11.1.1 Perímetro de seguridad física. No realizado
11.1.2 Controles físicos de entrada. No realizado
11.1.3 Seguridad de oficinas, despachos y recursos. No realizado
11.1.4 Protección contra las amenazas externas y ambientales. No realizado
11.1.5 El trabajo en áreas seguras. No realizado
11.1.6 Áreas de acceso público, carga y descarga No realizado
11.2 Seguridad de los Equipos 0%
11.2.1 Emplazamiento y protección de equipos. No realizado
11.2.2 Instalaciones de suministro. No realizado
11.2.3 Seguridad del cableado. No realizado
11.2.4 Mantenimiento de los equipos. No realizado
11.2.5 Salida de activos fuera de las dependencias de la empresa. No realizado
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. No realizado
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. No realizado
11.2.8 Equipo informático de usuario desatendido. No realizado
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla No realizado
12 SEGURIDAD EN LA OPERATIVA 0%
12.2 Protección contra código malicioso 0%
12.2.1 Controles contra el código malicioso. No realizado
12.3 Copias de seguridad 0%
12.3.1 Copias de seguridad de la información No realizado
 13 SEGURIDAD EN LAS TELECOMUNICACIONES 0%
13.1 Gestión de la seguridad en las redes. 0%
13.1.1 Controles de red. No realizado
13.1.2 Mecanismos de seguridad asociados a servicios en red. No realizado
13.1.3 Segregación de redes. No realizado
13.2 Intercambio de información con partes externas. 0%
13.2.1 Políticas y procedimientos de intercambio de información. No realizado
13.2.2 Acuerdos de intercambio. No realizado
13.2.3 Mensajería electrónica. No realizado
13.2.4 Acuerdos de confidencialidad
ADQUISICIÓN, y secreto
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS No realizado
14 DE INFORMACIÓN. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%
14.2.1 Política de desarrollo seguro de software. No realizado
14.2.6 Seguridad en entornos de desarrollo. No realizado
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas. No realizado
14.2.9 Pruebas de aceptación No realizado
ALUACIÓN

0%
20%
40%
60%
80%
100%
ento

40%
100%

40%
0%
0%
0%

0%
0%

0%
0%
0%

0%
0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%
0%
0%
0%

0%

0%
0%
0%
0%

0%
0%
0%
0%

0%
0%
0%
0%
Norma Dominios Estado
5 Políticas de seguridad 70%
8 Gestión de activos 3%
9 Control de acceso 0%
11 Seguridad física y ambiental 0%
12 Seguridad en la operativa 0%
13 Seguridad en las telecomunicaciones 0%
Adquisición, desarrollo y mantenimiento de los
14 0%
sistemas de información

Cumplimiento General 10%

 Dominios Bajo Medio Alto
Políticas de seguridad 0% 70% 0%
Gestión de activos 3% 0% 0%
Control de acceso 0% 0% 0%
Seguridad física y ambiental 0% 0% 0%
Seguridad en la operativa 0% 0% 0%
Seguridad en las telecomunicaciones 0% 0% 0%
Adquisición, desarrollo y mantenimiento de los
sistemas de información 0% 0% 0%
Norma Objetivos de Control Estado
5.1 Directrices de la Dirección en seguridad de la información 70%
8.1 Responsabilidad sobre los Activos 10%
8.2 Clasificacion de la Informacion 0%
8.3 Manejo de los soportes de almacenamiento 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.2 Gestión de acceso de usuario. 0%
9.4 Control de acceso a sistemas y aplicaciones 0%
11.1 Areas Seguras 0%
11.2 Seguridad de los Equipos 0%
12.2 Protección contra código malicioso 0%
12.3 Copias de seguridad 0%
13.1 Gestión de la seguridad en las redes. 0%
13.2 Intercambio de información con partes externas. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%

Cumplimiento 6%
 Objetivos de Control Bajo
Directrices de la Dirección en seguridad de la información 0%
Responsabilidad sobre los Activos 10%
Clasificacion de la Informacion 0%
Manejo de los soportes de almacenamiento 0%
Requisitos de negocio para el control de accesos 0%
Gestión de acceso de usuario. 0%
Control de acceso a sistemas y aplicaciones 0%
Areas Seguras 0%
Seguridad de los Equipos 0%
Protección contra código malicioso 0%
Copias de seguridad 0%
Gestión de la seguridad en las redes. 0%
Intercambio de información con partes externas. 0%
Seguridad en los procesos de desarrollo y soporte 0%
Medio Alto
70% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
 Nivel N° controles
No realizado 48
Realizado informalmente 0
Planificado 2
Bien definido 0
Cuantitativamente controlado 0
Mejora continua 1

Total de Controles 51
 NIVEL DE CUMPLIMIENTO POR DOMINIO
70%
60%
50%
40%
30%
20%
10%
0%
ad
r id os
gu tiv so l
se ac
cce ta a
e de a ien tiv s
asd ón l de m
b r a ne n
líti
c sti ro ya pe ic o
ac
ió
e nt o ci a
Po G
Co ica la
un rm
fís en m n fo
ad ad co i
r id rid ele de
gu g u s t as
Se Se la em
en sist
ad os
u rid d el
g to
Se
ien
m
ni
n te
a
ym
llo
r ro
sa
, de
n
ió
i sic
qu
Ad

ESTADO DE MADUREZ DE LOS CONTROLES

2 1
4% 2%

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua

48
94%
 Bien definido
Cuantitativamente controlado
Mejora continua

48
94%
 70%
INIO
60%

50%

40%

30%

20%

Alto
n 10%
ió Medio
ac Bajo
rm
fo 0%
e in
d n s n o s . es
c ió vo c io nt so rio on
a cti a ie c ce u a ci gu
o rm s A
o rm n am e a us
lica
s Se
nf lo nf ac
e ld de p ea
lai b re laI lm tro eso s ya Ar d
de so de ea con a cc m
a ad
d ad n d l e id
a
ilid io s e de sis
t
gu
r
urid b c ac o r te a ra ó n a S e
g sa ifi p p sti so n
se on las so cio ió
en p C s o Ge cce e cc
n Re
s lo
ne
g a ot
ció de e l de Pr
c ro
ire ne
jo sd nt
D a s ito o
la M ui C
s de R eq
ce
ctri
re
Di

LES

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
Bien definido
Cuantitativamente controlado
Mejora continua
 Alto
Medio
Bajo

s . s s os so . . te
to so rio ne ra ad es as or
ien c ce
su a cio
e gu
q u ip
lici o
u r id
r ed
e r n p
na
m a ica S sE
a g las xt ys
o
l de d eu pl e as lo o
m
e se n se o
a g e e l
ro so y Ar de ód
i d
ad
rt ol
o nt cce as ad c p ias id n
pa
s arr
el
c a em id ra Co ur co e
de s ist g ur o nt seg n ed
ó n a e c ió d
sti o S n la ac s
es ció de so
Ge c c r m c e
ea
c te ón in
fo
pr
o
d P ro e sti e s
l G d lo
n tro b io en
Co ca
m ad
ter u rid
In g
Se
Norma Seccion

5 POLITICAS DE SEGURIDAD
5.1 Directrices de la Dirección en seguridad de la información
5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
8 GESTION DE ACTIVOS
8.1 Responsabilidad sobre los Activos
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificacion de la Informacion
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes.
8.3.3 Soportes físicos en tránsito
9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de accesos
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas
11 SEGURIDAD FISICA Y AMBIENTAL
11.1 Areas Seguras
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga
11.2 Seguridad de los Equipos
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12 SEGURIDAD EN LA OPERATIVA
12.2 Protección contra código malicioso
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información
13 SEGURIDAD EN LAS TELECOMUNICACIONES
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto
14
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro de software.
14.2.6 Seguridad en entornos de desarrollo.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación
 Seccion

POLITICAS DE SEGURIDAD
Directrices de la Dirección en seguridad de la información
Conjunto de políticas para la seguridad de la información
Revisión de las políticas para la seguridad de la información
GESTION DE ACTIVOS
Responsabilidad sobre los Activos
nventario de activos.
ropiedad de los activos.
Uso aceptable de los activos.
Devolución de activos.
Clasificacion de la Informacion
Directrices de clasificación.
tiquetado y manipulado de la información.
Manejo de los soportes de almacenamiento
Gestión de soportes extraíbles.
liminación de soportes.
oportes físicos en tránsito
CONTROL DE ACCESO
Requisitos de negocio para el control de accesos
olítica de control de accesos.
Control de acceso a las redes y servicios asociados.
Gestión de acceso de usuario.
Gestión de altas/bajas en el registro de usuarios.
Gestión de los derechos de acceso asignados a usuarios.
Gestión de los derechos de acceso con privilegios especiales.
Revisión de los derechos de acceso de los usuarios.
Retirada o adaptación de los derechos de acceso
Control de acceso a sistemas y aplicaciones
Restricción del acceso a la información.
rocedimientos seguros de inicio de sesión.
Gestión de contraseñas de usuario.
Uso de herramientas de administración de sistemas.
Control de acceso al código fuente de los programas
SEGURIDAD FISICA Y AMBIENTAL
Areas Seguras
erímetro de seguridad física.
Controles físicos de entrada.
eguridad de oficinas, despachos y recursos.
rotección contra las amenazas externas y ambientales.
l trabajo en áreas seguras.
reas de acceso público, carga y descarga
eguridad de los Equipos
mplazamiento y protección de equipos.
nstalaciones de suministro.
eguridad del cableado.
Mantenimiento de los equipos.
alida de activos fuera de las dependencias de la empresa.
eguridad de los equipos y activos fuera de las instalaciones.
Reutilización o retirada segura de dispositivos de almacenamiento.
quipo informático de usuario desatendido.
olítica de puesto de trabajo despejado y bloqueo de pantalla
SEGURIDAD EN LA OPERATIVA
rotección contra código malicioso
Controles contra el código malicioso.
Copias de seguridad
Copias de seguridad de la información
SEGURIDAD EN LAS TELECOMUNICACIONES
Gestión de la seguridad en las redes.
Controles de red.
Mecanismos de seguridad asociados a servicios en red.
egregación de redes.
ntercambio de información con partes externas.
olíticas y procedimientos de intercambio de información.
cuerdos de intercambio.
Mensajería electrónica.
cuerdos de confidencialidad y secreto
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
eguridad en los procesos de desarrollo y soporte
olítica de desarrollo seguro de software.
eguridad en entornos de desarrollo.
ruebas de funcionalidad durante el desarrollo de los sistemas.
ruebas de aceptación
 Porcentaje de Cumplimiento por fechas
fecha 1 fecha 2 fecha 3 fecha 4
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%