Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2
3
4
5
Diagnóstico del Riesgo en Base a ISO 27001
El Riesgo de Seguridad de la información, es uno de los principales riesgos a los cuales la institución debe
prepararse y evaluar las acciones que se debería tomar para una mejor gestión de dichos riesgos.
En este archivo encontrara el diagnostico No. 1 sobre los aspectos relacionados y para esto se desarrollara un
cuestionario, el cual deberá llenar con base en lo evidenciado en la institución. A partir de las respuestas a este
cuestionario, se podrá generar un informe donde observara de forma resumida la información sobre como la
institución esta preparada. La información contenida se podrá modificar y ajustar en caso de ser necesario.
Establecer un diagnóstico que permita establecer cómo se encuentra la entidad frente a los diferentes riesgos y/o factores
Las preguntas frente a los riesgos o factores de riesgo en seguidad de la informacion están diseñadas para evaluar que la in
desde diferentes perspectivas, tales como:
• Controles internos C
• Ambiente de control interno BAJO MEDIO
• Recursos disponibles para prevenir, detectar y disuadir riesgos en seguridad de la SI A VECES
informacion
1 3
# REQUISITO RESPUESTA
VALORACIÓN
1
La dirección ha publicado y aprobado las políticas sobre la Seguridad de la N/A 0
Información acorde con los requisitos de la institucion.
2
Existe un proceso planificado y verificable de revisión de las políticas de N/A 0
Seguridad de la información.
3
Se han asignado y definido las responsabilidades sobre la seguridad de la N/A 0
Información en las distintas tareas o actividades de la institucion.
4
Se han segregado las diversas áreas de responsabilidad sobre la Seguridad de N/A 0
la Información para evitar usos o accesos indebidos.
5
Existe un proceso definido para contactar con las autoridades competentes N/A 0
ante incidentes relacionados con la Seguridad de la Información.
7
Existen requisitos para afrontar cuestiones sobre la seguridad de la N/A 0
información en la gestión de proyectos de la organización
8
Se consideran requisitos especiales para la Seguridad de la Información en la N/A 0
utilización de dispositivos móviles
11
Se incluyen cláusulas relativas a la Seguridad de la Información en los N/A 0
contratos de trabajo.
12
El cumplimiento de las responsabilidades sobre la Seguridad de la N/A 0
Información es exigida de forma activa a empleados y contratistas
13
Existen procesos de información, formación y sensibilización sobre las N/A 0
responsabilidades sobre la Seguridad de la Información.
Existe un plan disciplinario donde se comunica a los empleados y contratistas
14 las consecuencias de los incumplimientos sobre las políticas de la Seguridad N/A 0
de la Información.
15
Existe un procedimiento para garantizar la Seguridad de la Información en los N/A 0
cambios de empleo, puesto de trabajo o al finalizar un contrato
17
Se ha realizado un inventarios de activos que dan soporte al negocio y de N/A 0
Información
20
Existe un procedimiento para la devolución de activos cedidos a terceras N/A 0
partes o a la finalización de un puesto de trabajo o contrato
21
Se clasifica la información según su confidencialidad o su importancia en N/A 0
orden a establecer medidas de seguridad especificas.
22
Los activos de información son fácilmente identificables en cuanto a su grado N/A 0
de confidencialidad o su nivel de clasificación.
23
Existen procedimientos para el manipulado de la información de acuerdo a su N/A 0
clasificación.
24
Existen controles establecidos para aplicar a soportes extraíbles N/A 0
Uso,Cifrado, Borrado, Etc.
25 Existen procedimientos establecidos para la eliminación de soportes N/A 0
28
Se establecen accesos limitados a los recursos y necesidades de red según N/A 0
perfiles determinados
31
Se define un proceso específico para la asignación y autorización de permisos N/A 0
especiales de administración de accesos
Se ha establecido una política específica para el manejo de información
32
clasificada cono secreta en cuanto a: N/A 0
-Autenticación
-Compromisos
34
Existen un proceso definido para la revocación de permisos cuando se finalice N/A 0
una actividad, puesto de trabajo o cese de contratos.
35
Se establecen normas para la creación y salvaguarda de contraseñas de N/A 0
acceso
38
Se establecen medidas para controlar el establecimiento de contraseñas N/A 0
seguras.
39
Se controla la capacitación y perfil de las personas que tienen permisos de N/A 0
administración con perfiles bajos de Seguridad.
40
Se restringe el acceso a códigos fuente de programas y se controla cualquier N/A 0
tipo de cambio a realizar.
43
Se establecen perímetros de seguridad física donde sea necesario con N/A 0
barreras de acceso.
45
Se establecen medidas de seguridad para zonas de oficinas para proteger la N/A 0
información de pantallas etc. en áreas de accesibles a personal externo
47
Se controlan las áreas de Carga y descarga con procedimientos de control de N/A 0
mercancías entregadas,etc.
48
Se protegen los equipos tanto del medioambiente como de accesos no N/A 0
autorizados
52
Se controlan y autorizan la salida de equipos, aplicaciones, etc. Que puedan N/A 0
contener información.
53
Se consideran medidas de protección específicas para equipos que se utilicen N/A 0
fuera de las instalaciones de la propia empresa
54
Se establecen protocolos para proteger o eliminar información de equipos N/A 0
que causan baja o van a ser reutilizados.
55
Se establecen normas para proteger la información de equipos cuando los N/A 0
usuarios abandonan el puesto de trabajo.
56
Se establecen reglas de comportamiento para abandonos momentáneos o N/A 0
temporales del puesto de trabajo.
58
Se controla que la información sobre procedimientos se mantenga N/A 0
actualizada
59
Se dispone de un procedimiento para evaluar el impacto en la seguridad de la N/A 0
información ante cambios en los procedimientos.
60
Se controla el uso de los recursos en cuanto al rendimiento y capacidad de los N/A 0
sistemas
61
Los entornos de desarrollo y pruebas están convenientemente separados de N/A 0
los entornos de producción
63
Se ha establecido un sistema de copias de seguridad acordes con las N/A 0
necesidades de la información y de los sistemas.
Se realiza un registro de eventos
64
-Intentos de acceso fallidos/exitosos N/A 0
-Desconexiones del sistema
-Alertas de fallos, etc.
65
Se ha establecido un sistema de protección para los registros mediante N/A 0
segregación de tareas o copias de seguridad.
66
Se protege convenientemente y de forma específica los accesos o los de los N/A 0
administradores
68
Las instalaciones de nuevas aplicaciones SW o modificaciones son verificadas N/A 0
en entornos de prueba y existen protocolos de seguridad para su instalación
69
Se establecen métodos de control para vulnerabilidades técnicas "hacking N/A 0
ético" etc.
70
Se establecen medidas restrictivas para la instalación de Software en cuanto a N/A 0
personal autorizado evitando las instalaciones por parte de usuarios finales.
72
Se establecen protocolos específicos para desarrollo de auditorías Software N/A 0
considerando su impacto en los sistemas
73
En el entorno de red se gestiona la protección de los sistemas mediante N/A 0
controles de red y de elementos conectados
74
Se establecen condiciones de seguridad en los servicios de red tanto propios N/A 0
como subcontratados
75
Existe separación o segregación de redes tomando en cuenta condiciones de N/A 0
seguridad y clasificación de activos
76
Se establecen políticas y procedimientos para proteger la información en los N/A 0
intercambios
77
Se delimitan y establecen acuerdos de responsabilidad en intercambios de N/A 0
información con otras entidades
79
Se establecen acuerdos de confidencialidad antes de realizar intercambios de N/A 0
información con otras entidades
80
Se definen y documentan los requisitos de Seguridad de la Información para N/A 0
los nuevos sistemas de Información
81
Se especifican los requisitos de Seguridad de la información en el diseño de N/A 0
nuevos sistemas
82
Se consideran requisitos de seguridad específicos para accesos externos o de N/A 0
redes públicas a los sistemas de información
84
Se establecen procedimientos que garanticen el desarrollo seguro del N/A 0
Software
85
Se gestiona el control de cambios en relación al impacto que puedan tener en N/A 0
los sistemas
86
Se establecen procedimientos de revisión después de efectuar cambios o N/A 0
actualizaciones
87
Se establecen procesos formales para cambios en versiones o nuevas N/A 0
funcionalidades para Software de terceros.
88
Se definen políticas de Seguridad de la Información en procesos de ingeniería N/A 0
de Sistemas
89
Se realiza una evaluación de riesgos para herramientas de desarrollo de N/A 0
Software
90
Se acuerdan los requisitos de seguridad de la Información para Software N/A 0
desarrollado por terceros
91
Se realizan pruebas funcionales de seguridad de los sistemas antes de su fase N/A 0
de producción
92
Se establecen protocolos y pruebas de aceptación de sistemas para nuevos N/A 0
sistemas y actualizaciones
93 Se utilizan datos de prueba en los ensayos o pruebas de los sistemas N/A 0
94
Existe una política de Seguridad de la información para proveedores que N/A 0
acceden a activos de la información de la empresa
95
Se han establecido requisitos de seguridad de la información en contratos con N/A 0
terceros
96
Se fijan requisitos para extender la seguridad de la información a toda la N/A 0
cadena de suministro
97
Se controla el cumplimiento de los requisitos establecidos con proveedores N/A 0
externos
98
Se controlan los posibles impactos en la seguridad ante cambios de servicios N/A 0
de proveedores externos
99
Se definen responsabilidades y procedimientos para responder a los N/A 0
incidentes de la Seguridad de la Información
100
Se han implementado canales adecuados para la comunicación de incidentes N/A 0
en la seguridad de la Información
101
Se promueve y se han establecidos canales para comunicar o identificar N/A 0
puntos débiles en la Seguridad de la Información
102
Se ha establecido un proceso para gestionar los incidentes en la Seguridad de N/A 0
la Información
103
Existen mecanismos para dar respuesta a los eventos de la Seguridad de la N/A 0
Información
104
La información que proporcionada por los eventos en la Seguridad de la N/A 0
información son tratados para tomar medidas preventivas
105
Existe un proceso para recopilar evidencias sobre los incidentes en la N/A 0
seguridad de la Información.
106
Se ha elaborado un plan de continuidad del negocio ante incidentes de N/A 0
Seguridad de la Información
107
Se ha implementado las medidas de recuperación previstas en el plan de N/A 0
Continuidad del Negocio
108
Se han verificado o probado las acciones previstas en el plan de Continuidad N/A 0
del Negocio
112
Se establecen criterios para clasificación de registros y medidas de protección N/A 0
según niveles
113
Se establecen medidas para la protección de datos personales de acuerdo con N/A 0
la legislación vigente
114
Si se utiliza el cifrado, se establecen controles criptográficos de acuerdo a la N/A 0
legislación
115
Se revisan los controles de la Seguridad de la Información por personal N/A 0
independiente a los responsables de implementar los controles
116
Se revisa periódicamente el cumplimiento de las políticas y controles de la N/A 0
Seguridad de la información
117
Se realizan evaluaciones sobre el correcto funcionamiento de las medidas N/A 0
técnicas de protección para la seguridad de la información
Diagnóstico del Riesgo en Base a ISO 27001
OBJETIVO
ntes riesgos y/o factores de riesgos asociados a la seguidad de la informacion para el 2022
CONTENIDO
as para evaluar que la institucion está preparada para responder
CLASIFICACIÓN
ALTO N/A
NO N/A
5 0
Conforme la evaluación prevista sobre la Diagnóstico No.1 : Riesgo en seguridad de la información para el IDOPPRIL, de acuerdo con las calificaciones
cuantitativas obtenidas a partir de la percepción del personal que interviene en el proceso, presentamos el siguiente resumen del cuestionario:
El promedio de riesgo que se evidencia al realizar el diagnóstico de riesgo en seguridad de la información en una escala de 1 a 5, es: 0.00
100%
Conclusión
Se evidencia que en la organización no se aplica un diagnóstico de riesgo en ciberseguridad, se recomienda fortalecer este aspecto para mitigar el riesgo.