1

2
3

4
5
 Diagnóstico del Riesgo en Base a ISO 27001

El Riesgo de Seguridad de la información, es uno de los principales riesgos a los cuales la institución debe
prepararse y evaluar las acciones que se debería tomar para una mejor gestión de dichos riesgos.

En este archivo encontrara el diagnostico No. 1 sobre los aspectos relacionados y para esto se desarrollara un
cuestionario, el cual deberá llenar con base en lo evidenciado en la institución. A partir de las respuestas a este
cuestionario, se podrá generar un informe donde observara de forma resumida la información sobre como la
institución esta preparada. La información contenida se podrá modificar y ajustar en caso de ser necesario.

Para poder desarrollar adecuadamente deberá:

Completar el cuestionario, asignando una respuesta de la lista desplegable. Cada respuesta dará una calificación
del posible riesgo según la respuesta seleccionada.
Para la visualización del informe, hacer clic en la pestana "Informe" sobre la conclusión generada, según las
respuestas seleccionadas en la pestaña "Diagnostico No.1".
Modificar el informe según las necesidades y/o completarlo con información adicional
En la pestaña "RIESGOS ALTO-NO APLICA" podrá visualizar los controles que han sido clasificados como
riesgos alto o que no aplican en la institución. Para actualizar las casillas deberá oprimir en su teclado la
combinación Ctrl+Alt+L
Para una adecuada visualización, la versión de Excel debe estar actualizada.
 Diagnóstico de
Entidad: IDOPPRIL

Fecha de la Evaluación: XXXX

Establecer un diagnóstico que permita establecer cómo se encuentra la entidad frente a los diferentes riesgos y/o factores

Las preguntas frente a los riesgos o factores de riesgo en seguidad de la informacion están diseñadas para evaluar que la in
desde diferentes perspectivas, tales como:
• Controles internos C
• Ambiente de control interno BAJO MEDIO
• Recursos disponibles para prevenir, detectar y disuadir riesgos en seguridad de la SI A VECES
informacion
1 3

# REQUISITO RESPUESTA
VALORACIÓN

1
La dirección ha publicado y aprobado las políticas sobre la Seguridad de la N/A 0
Información acorde con los requisitos de la institucion.

2
Existe un proceso planificado y verificable de revisión de las políticas de N/A 0
Seguridad de la información.

3
Se han asignado y definido las responsabilidades sobre la seguridad de la N/A 0
Información en las distintas tareas o actividades de la institucion.

4
Se han segregado las diversas áreas de responsabilidad sobre la Seguridad de N/A 0
la Información para evitar usos o accesos indebidos.

5
Existe un proceso definido para contactar con las autoridades competentes N/A 0
ante incidentes relacionados con la Seguridad de la Información.

Existen medios y se han establecido contactos con grupos de interés y

6 asociaciones relacionadas con la seguridad de la información para N/A 0
mantenerse actualizado en noticias e información sobre Seguridad

7
Existen requisitos para afrontar cuestiones sobre la seguridad de la N/A 0
información en la gestión de proyectos de la organización

8
Se consideran requisitos especiales para la Seguridad de la Información en la N/A 0
utilización de dispositivos móviles

9 Se aplican los criterios de Seguridad para los accesos de teletrabajo N/A 0

 Antes de contratar a un empleado
Se investigan los antecedentes de los candidatos
10
-Formación N/A 0
-Experiencia
-Verificar Titulación
-Referencias

11
Se incluyen cláusulas relativas a la Seguridad de la Información en los N/A 0
contratos de trabajo.

12
El cumplimiento de las responsabilidades sobre la Seguridad de la N/A 0
Información es exigida de forma activa a empleados y contratistas

13
Existen procesos de información, formación y sensibilización sobre las N/A 0
responsabilidades sobre la Seguridad de la Información.
Existe un plan disciplinario donde se comunica a los empleados y contratistas
14 las consecuencias de los incumplimientos sobre las políticas de la Seguridad N/A 0
de la Información.

15
Existe un procedimiento para garantizar la Seguridad de la Información en los N/A 0
cambios de empleo, puesto de trabajo o al finalizar un contrato

Se definen responsabilidades sobre la Seguridad de la información que se

16 extiendan más allá de la finalización de un contrato como por ejemplo N/A 0
cuestiones relativas a la confidencialidad de la Información.

17
Se ha realizado un inventarios de activos que dan soporte al negocio y de N/A 0
Información

18 Se ha identificado al responsable de cada activo en cuanto a su seguridad N/A 0

19 Se han establecido normas para el uso de activos en relación a su seguridad N/A 0

20
Existe un procedimiento para la devolución de activos cedidos a terceras N/A 0
partes o a la finalización de un puesto de trabajo o contrato

21
Se clasifica la información según su confidencialidad o su importancia en N/A 0
orden a establecer medidas de seguridad especificas.

22
Los activos de información son fácilmente identificables en cuanto a su grado N/A 0
de confidencialidad o su nivel de clasificación.

23
Existen procedimientos para el manipulado de la información de acuerdo a su N/A 0
clasificación.

24
Existen controles establecidos para aplicar a soportes extraíbles N/A 0
Uso,Cifrado, Borrado, Etc.
25 Existen procedimientos establecidos para la eliminación de soportes N/A 0

Existen procedimientos para el traslado de soportes de información para

26
proteger su seguridad N/A 0
-Control de salidas
-Cifrado etc.
Existe una política para definir los controles de acceso a la información que
27 tengan en cuenta el acceso selectivo a la información según las necesidades N/A 0
de cada actividad o puesto de trabajo

28
Se establecen accesos limitados a los recursos y necesidades de red según N/A 0
perfiles determinados

29 Existen procesos formales de registros de usuarios N/A 0

30 Existen procesos formales para asignación de perfiles de acceso N/A 0

31
Se define un proceso específico para la asignación y autorización de permisos N/A 0
especiales de administración de accesos
Se ha establecido una política específica para el manejo de información
32
clasificada cono secreta en cuanto a: N/A 0
-Autenticación
-Compromisos

33 Se establecen periodos concretos para renovación de permisos de acceso N/A 0

34
Existen un proceso definido para la revocación de permisos cuando se finalice N/A 0
una actividad, puesto de trabajo o cese de contratos.

35
Se establecen normas para la creación y salvaguarda de contraseñas de N/A 0
acceso

Se establecen niveles y perfiles específicos de acceso para los sistemas de

36 Información de forma que se restringa la información a la actividad específica N/A 0
a desarrollar
Se han implementado procesos de acceso seguro para el inicio de sesión
37 considerando limitaciones de intentos de acceso, controlando la información N/A 0
en pantalla etc.

38
Se establecen medidas para controlar el establecimiento de contraseñas N/A 0
seguras.

39
Se controla la capacitación y perfil de las personas que tienen permisos de N/A 0
administración con perfiles bajos de Seguridad.

40
Se restringe el acceso a códigos fuente de programas y se controla cualquier N/A 0
tipo de cambio a realizar.

41 Existe una política para el establecimiento de controles criptográficos N/A 0

42 Existe un control del ciclo de vida de las claves criptográficas N/A 0

43
Se establecen perímetros de seguridad física donde sea necesario con N/A 0
barreras de acceso.

44 Existen controles de acceso a personas autorizadas en áreas restringidas. N/A 0

45
Se establecen medidas de seguridad para zonas de oficinas para proteger la N/A 0
información de pantallas etc. en áreas de accesibles a personal externo

46 Se controla o supervisa la actividad de personal que accede a áreas seguras N/A 0

47
Se controlan las áreas de Carga y descarga con procedimientos de control de N/A 0
mercancías entregadas,etc.

48
Se protegen los equipos tanto del medioambiente como de accesos no N/A 0
autorizados

49 Se protegen los equipos contra fallos de suministro de energía N/A 0

50 Existen protecciones para los cableados de energía y de datos N/A 0

51 Se planifican y realizan tareas de mantenimiento sobre los equipos N/A 0

52
Se controlan y autorizan la salida de equipos, aplicaciones, etc. Que puedan N/A 0
contener información.

53
Se consideran medidas de protección específicas para equipos que se utilicen N/A 0
fuera de las instalaciones de la propia empresa

54
Se establecen protocolos para proteger o eliminar información de equipos N/A 0
que causan baja o van a ser reutilizados.

55
Se establecen normas para proteger la información de equipos cuando los N/A 0
usuarios abandonan el puesto de trabajo.

56
Se establecen reglas de comportamiento para abandonos momentáneos o N/A 0
temporales del puesto de trabajo.

57 Se documentan los procedimientos y se establecen responsabilidades N/A 0

58
Se controla que la información sobre procedimientos se mantenga N/A 0
actualizada
59
Se dispone de un procedimiento para evaluar el impacto en la seguridad de la N/A 0
información ante cambios en los procedimientos.

60
Se controla el uso de los recursos en cuanto al rendimiento y capacidad de los N/A 0
sistemas

61
Los entornos de desarrollo y pruebas están convenientemente separados de N/A 0
los entornos de producción

62 Existen sistemas de detección para Software malicioso o malware N/A 0

63
Se ha establecido un sistema de copias de seguridad acordes con las N/A 0
necesidades de la información y de los sistemas.
Se realiza un registro de eventos
64
-Intentos de acceso fallidos/exitosos N/A 0
-Desconexiones del sistema
-Alertas de fallos, etc.
65
Se ha establecido un sistema de protección para los registros mediante N/A 0
segregación de tareas o copias de seguridad.

66
Se protege convenientemente y de forma específica los accesos o los de los N/A 0
administradores

67 Existe un control de sincronización de los distintos sistemas N/A 0

68
Las instalaciones de nuevas aplicaciones SW o modificaciones son verificadas N/A 0
en entornos de prueba y existen protocolos de seguridad para su instalación

69
Se establecen métodos de control para vulnerabilidades técnicas "hacking N/A 0
ético" etc.

70
Se establecen medidas restrictivas para la instalación de Software en cuanto a N/A 0
personal autorizado evitando las instalaciones por parte de usuarios finales.

71 Existen mecanismos de auditorías de medidas de seguridad de los sistemas N/A 0

72
Se establecen protocolos específicos para desarrollo de auditorías Software N/A 0
considerando su impacto en los sistemas

73
En el entorno de red se gestiona la protección de los sistemas mediante N/A 0
controles de red y de elementos conectados

74
Se establecen condiciones de seguridad en los servicios de red tanto propios N/A 0
como subcontratados

75
Existe separación o segregación de redes tomando en cuenta condiciones de N/A 0
seguridad y clasificación de activos
76
Se establecen políticas y procedimientos para proteger la información en los N/A 0
intercambios

77
Se delimitan y establecen acuerdos de responsabilidad en intercambios de N/A 0
información con otras entidades

78 Se establecen normas o criterios de seguridad en mensajería electrónica N/A 0

79
Se establecen acuerdos de confidencialidad antes de realizar intercambios de N/A 0
información con otras entidades

80
Se definen y documentan los requisitos de Seguridad de la Información para N/A 0
los nuevos sistemas de Información

81
Se especifican los requisitos de Seguridad de la información en el diseño de N/A 0
nuevos sistemas

82
Se consideran requisitos de seguridad específicos para accesos externos o de N/A 0
redes públicas a los sistemas de información

83 Se establecen medidas de protección para transacciones Online N/A 0

84
Se establecen procedimientos que garanticen el desarrollo seguro del N/A 0
Software

85
Se gestiona el control de cambios en relación al impacto que puedan tener en N/A 0
los sistemas

86
Se establecen procedimientos de revisión después de efectuar cambios o N/A 0
actualizaciones

87
Se establecen procesos formales para cambios en versiones o nuevas N/A 0
funcionalidades para Software de terceros.

88
Se definen políticas de Seguridad de la Información en procesos de ingeniería N/A 0
de Sistemas

89
Se realiza una evaluación de riesgos para herramientas de desarrollo de N/A 0
Software

90
Se acuerdan los requisitos de seguridad de la Información para Software N/A 0
desarrollado por terceros

91
Se realizan pruebas funcionales de seguridad de los sistemas antes de su fase N/A 0
de producción

92
Se establecen protocolos y pruebas de aceptación de sistemas para nuevos N/A 0
sistemas y actualizaciones
93 Se utilizan datos de prueba en los ensayos o pruebas de los sistemas N/A 0

94
Existe una política de Seguridad de la información para proveedores que N/A 0
acceden a activos de la información de la empresa

95
Se han establecido requisitos de seguridad de la información en contratos con N/A 0
terceros

96
Se fijan requisitos para extender la seguridad de la información a toda la N/A 0
cadena de suministro

97
Se controla el cumplimiento de los requisitos establecidos con proveedores N/A 0
externos

98
Se controlan los posibles impactos en la seguridad ante cambios de servicios N/A 0
de proveedores externos

99
Se definen responsabilidades y procedimientos para responder a los N/A 0
incidentes de la Seguridad de la Información

100
Se han implementado canales adecuados para la comunicación de incidentes N/A 0
en la seguridad de la Información

101
Se promueve y se han establecidos canales para comunicar o identificar N/A 0
puntos débiles en la Seguridad de la Información

102
Se ha establecido un proceso para gestionar los incidentes en la Seguridad de N/A 0
la Información

103
Existen mecanismos para dar respuesta a los eventos de la Seguridad de la N/A 0
Información

104
La información que proporcionada por los eventos en la Seguridad de la N/A 0
información son tratados para tomar medidas preventivas

105
Existe un proceso para recopilar evidencias sobre los incidentes en la N/A 0
seguridad de la Información.

106
Se ha elaborado un plan de continuidad del negocio ante incidentes de N/A 0
Seguridad de la Información

107
Se ha implementado las medidas de recuperación previstas en el plan de N/A 0
Continuidad del Negocio

108
Se han verificado o probado las acciones previstas en el plan de Continuidad N/A 0
del Negocio

109 Se ha evaluado la necesidad de redundar los activos críticos de la Información N/A 0

 Se han identificado las legislaciones aplicables sobre protección de datos
personales y su cumplimiento
-LOPD
110 -Leyes para comercio Electrónico N/A 0
-Transacciones Bancarias -Información Protegida
-Otras propias del negocio o actividad
-Ley general de Telecomunicaciones

111 Existen procedimientos implementados sobre la propiedad intelectual N/A 0

112
Se establecen criterios para clasificación de registros y medidas de protección N/A 0
según niveles

113
Se establecen medidas para la protección de datos personales de acuerdo con N/A 0
la legislación vigente

114
Si se utiliza el cifrado, se establecen controles criptográficos de acuerdo a la N/A 0
legislación

115
Se revisan los controles de la Seguridad de la Información por personal N/A 0
independiente a los responsables de implementar los controles

116
Se revisa periódicamente el cumplimiento de las políticas y controles de la N/A 0
Seguridad de la información

117
Se realizan evaluaciones sobre el correcto funcionamiento de las medidas N/A 0
técnicas de protección para la seguridad de la información
Diagnóstico del Riesgo en Base a ISO 27001

OBJETIVO
ntes riesgos y/o factores de riesgos asociados a la seguidad de la informacion para el 2022

CONTENIDO
as para evaluar que la institucion está preparada para responder

CLASIFICACIÓN
ALTO N/A
NO N/A
5 0

RESPONSABLE PLAN DE ACCIÓN

FECHA DE IMPLEMENTACIÓN FECHA DE SEGUIMIENTO
 Informe sobre la Diagnóstico No.1: Riesgo en Seguridad de la información

Conforme la evaluación prevista sobre la Diagnóstico No.1 : Riesgo en seguridad de la información para el IDOPPRIL, de acuerdo con las calificaciones
cuantitativas obtenidas a partir de la percepción del personal que interviene en el proceso, presentamos el siguiente resumen del cuestionario:

Número de Criterios BAJO ALTO MEDIO N/A

,. 117 0 0 0 117

El promedio de riesgo que se evidencia al realizar el diagnóstico de riesgo en seguridad de la información en una escala de 1 a 5, es: 0.00

Resumen de los resultados del cuestionario

BAJO ALTO MEDIO N/A

100%

Conclusión

Se evidencia que en la organización no se aplica un diagnóstico de riesgo en ciberseguridad, se recomienda fortalecer este aspecto para mitigar el riesgo.