Instrumentos-Autónomo

Universidad Laica “Eloy Alfaro” de Manabí
Faculta de ciencias de la vida y tecnologías
Seguridad de la información
Grupo No 5
Séptimo Paralelo A
Autores:
CÉDULA APELLIDOS Y NOMBRES

1310724081 Mendoza Alcívar Javier Alejandro
1315597433 Murillo Laje Naum Policarpo
1316488319 Solorzano Vélez Edison Alexander
Carrera de Ingeniería en Tecnologías de la Información
Contenido
Antecedentes/Introducción ............................................................................................... 3
Controles del marco de referencia base ISO – 2700k ...................................................... 4
Definiciones de los controles seleccionados .................................................................... 5

Antecedentes/Introducción
La empresa WION cuenta con un departamento de Redes y Telecomunicaciones,
el cual se encarga de la infraestructura física y lógica, mantenimiento, y transmisión de
datos de la red corporativa de la organización. Este proceso se lleva a cabo con la
utilización de equipos de hardware y software, necesarios para cumplir dichas tareas
encomendadas, por esta razón los equipos deben mantenerse en estado optimo y con
conexión satisfactoria de internet.
Se puede declarar que el departamento dispone de un crecimiento continuo de
información ocasionando que la búsqueda se vuelva vulnerable, así mismo, se suma la
incorrecta utilización de las tecnologías, esto provoca molestias tanto al personal usuario
de la empresa, como al personal del departamento de Redes y Telecomunicaciones que
realiza el mantenimiento.
Así, que es de alta importancia mantener un nivel de seguridad para garantizar que
la información y las instalaciones de la red corporativa se encuentren protegidas ante un
eventual ataque informático que destruya, modifique o secuestre la información de la
organización.
Se hace necesario establecer objetivos de control y procedimientos sobre la
seguridad de la información en la empresa WION, específicamente los objetivos 1 y 2 del
ANEXO 13 de la ISO/IEC 27002:2013.

Controles del marco de referencia base ISO – 2700k
A13. Seguridad en la Comunicaciones

Objetivo de Control Control
A9.2.2 Gestión de los derechos de acceso asignados
A9.2 Gestión de acceso de a los usuarios
usuario A9.2.3 Gestión de los derechos de acceso con
privilegios especiales
A9.4 Control de accesos a

A9.4.1 Restricción del acceso a la informa
sistemas y aplicaciones
A10.1 Controles A10.1.1 Política de uso de los controles

Criptográficos criptográficos
A12.3 Copias de seguridad A12.3.1 Copias de seguridad de la información
A13.1.1 Controles de red

A13.1 Gestión de seguridad
A13.1.2 Seguridad en los servicios en red
en red
A13.1.3 Segregación en redes
A13.2.1 Políticas y procedimientos para la

transferencia de información
A13.2 Transferencia de A13.2.2 Acuerdos en la transferencia de información
información A13.2.3 Mensajería electrónica
A13.2.4 Acuerdos de confidencialidad o no-
revelación
Definiciones de los controles seleccionados
Valores para identificar el enfoque de cada pregunta relacionada a los controles de la política planteada: Política de seguridad (PO), Plan de
seguridad (PL), Normas y procedimientos (NP), Medidas tecnológicas implantadas (MT).
Controles ISO
27002
13. Seguridad en las Comunicaciones
Componente
Fuente Control Preguntas PO-PL-NP-MT
9.2 Gestión de acceso de usuario
¿El acceso a sistemas y servicios de información se basa en las necesidades del
PL-NP-MT
Anexo negocio?
Gestión de los
Excel derechos de acceso ¿Se garantiza que todo acceso que se concede se ajuste a las políticas de control NP-MT
9.2.2 asignados a los de acceso y segregación de funciones?
usuarios
Anexo ¿Existe un registro documental de la solicitud y aprobación de acceso? PL-MT
Test
¿Hay un proceso para realizar revisiones más frecuentes y periódicas de
Anexo cuentas privilegiadas para identificar y deshabilitar / eliminar cuentas con PO-PL-NP-MT
Excel privilegios redundantes y / o reducir los privilegios?
Gestión de los ¿Se genera un ID de usuario separado para otorgar privilegios elevados? NP-MT
derechos de acceso
9.2.3 con privilegios
especiales ¿Se ha establecido una caducidad para los ID de usuario con privilegios? NP-MT
Anexo ¿Se controlan las actividades de los usuarios privilegiados de forma más
NP-MT
Test detallada?
9.4 Control de accesos a sistemas y aplicaciones
¿Existen controles de acceso adecuados? PL-NP-MT

Anexo
Excel Restricción del
¿Se identifican los usuarios de forma individual? NP-MT
9.4.1 acceso a la
información
Anexo ¿Cómo se definen, autorizan, asignan, revisan, gestionan y retiran los derechos
PL-NP-MT
Test de acceso, los permisos y las reglas asociadas?
10.1 Controles Criptográficos
¿Existe una política que cubra el uso de controles criptográficos? PO-PL

Anexo
Excel Política de uso de
los controles ¿Se aplica casos en los que información debe ser protegida a través de la
10.1.1 PO-PL-NP-MT
criptográficos criptografía?
Anexo ¿Se cumple con la política y requerimientos de cifrado? PO-PL-NP-MT

Test
12.3 Copias de seguridad
¿Existen políticas y procedimientos asociados a las copias de seguridad? PO-PL-NP-MT

Anexo
Excel ¿Existe un mandato basado en el riesgo para un registro preciso y completo de
copias de seguridad cuya política de retención y frecuencia reflejen las PL-NP-MT
Política de uso de
necesidades del negocio?
12.3.1 los controles
criptográficos ¿Las copias de seguridad cubren los datos y metadatos, sistema y programas de
aplicación y los parámetros de configuración de copias de seguridad para todos
Anexo los sistemas, incluyendo servidores, ordenadores de sobremesa, teléfonos / NP-MT
Test sistemas de red, sistemas de gestión de red, portátiles, sistemas de control,
sistemas de seguridad, etc.?
13.1 Gestión de la seguridad de las redes

¿Existen políticas de redes físicas e inalámbricas? PO-PL-NP
Anexo
¿Existe un mecanismo de registro y monitorización de la red y los dispositivos NP-MT
Excel
13.1.1 que se conectan ella?
Controles de red ¿Hay un sistema de autenticación para todos los accesos a la red de la PL-NP-MT
organización?
Anexo ¿Existe una segmentación de red adecuada usando cortafuegos, VLAN, VPN, PL-MT
Test etc.?
¿Se gestionan, clasifican y protegen los servicios de red de forma adecuada? PL-NP
¿Existe un monitoreo de servicios de red? PL-NP-MT

PO-PL-NP
Anexo
Excel Seguridad en los ¿Se mantiene un derecho a auditar servicios de red gestionados por terceros PO-PL
13.1.2 (contratos, SLA y requisitos de informes de gestión)?
servicios de red
¿Se emplean mecanismos de autenticación en la red, cifrado de tráfico de red? PO-PL-NP-MT
Anexo ¿Se hace una revisión periódica de las configuraciones de cortafuegos, IDS / PL-NP-MT
PO-PL-NP
Test IPS, WAF, DAM?
PO-PL
¿Existe una política de segmentación de red? PO-PL
¿Se segmenta la red inalámbrica de la red física? ¿Y la red de invitados? PL-NP-MT

Anexo
Excel PL-NP-MT
¿Se controla la segmentación con proveedores y clientes?
Segregación en
13.1.3
redes ¿La seguridad es adecuada dados los riesgos y el apetito de riesgo de la PL-NP
organización?
¿Es basada en la clasificación, los niveles de confianza, dominios (público, PL-NP
Anexo escritorios, servidor, funciones, etc.)?
Test PL-MT
¿Se monitorea y controla la segregación?
13.2 Intercambio de información
¿Existen políticas y procedimientos relacionados con la transmisión segura de PO-PL-NP

información?
Anexo Políticas y ¿Contempla mecanismos como correo electrónico, FTP y otras aplicaciones
PL-NP-MT
Excel procedimientos de de transferencia de datos y protocolos Web, WiFi y Bluetooth, CD / DVD,
intercambio de almacenamiento externo USB, mensajería, etc.?
13.2.1 información ¿Existen controles de acceso adecuados para esos mecanismos? PL-MT
Anexo PO-PL-NP
¿Se sigue el principio de confidencialidad y privacidad?
Test
¿Se asocian responsabilidades a la perdida, corrupción o divulgación de PL-MT
datos?
Anexo ¿Existe una identificación y sincronización de los niveles de clasificación de
Acuerdos de PL-MT
13.2.2 Excel información de todas las partes involucradas?
intercambio de
información
¿Se mantiene una cadena de custodia para las transferencias de datos? NP-MT
Anexo NP-MT
¿Se implementan las firmas digitales
Test
¿Existe una política de mensajería que cubra controles de intercambio de
datos por comunicación de red, incluyendo correo electrónico y FTP / SFTP, PO-PL-NP-MT
Anexo etc.?
Excel
13.2.3 Mensajería ¿Hay controles de seguridad adecuados (ej. cifrado de correo electrónico, la PL-NP-MT
electrónica autenticidad, la confidencialidad y la irrenunciabilidad de mensajes, etc.)?
Anexo ¿Existen controles de seguridad para la interacción con sistemas Internet, NP-MT
Test Intranet relacionados con foros y tableros de anuncios electrónicos?
¿Existen acuerdos de confidencialidad? PO-PL-NP
Anexo PO-PL-NP
¿Han sido revisados y aprobados por el Departamento Legal?
Excel Acuerdos de
13.2.4 confidencialidad o ¿Han sido aprobados y firmados por las personas adecuadas? PO-PL-NP
no revelación
Anexo ¿Existen sanciones adecuadas y acciones esperadas en caso de incumplimiento PL-NP-MT
Test y / o beneficios por el cumplimiento (ej. una bonificación de rendimiento)?
10/12/22, 23:23 Estado de los Controles de Seguridad de la Información - Anexo A
Estado de los Controles de Seguridad de la Infor‐

mación - Anexo A
1 10:33 Activo
Respuestas Tiempo medio para finalizar Estado
1. ¿Existen políticas de redes físicas e inalámbricas?
Cumplimiento Total 1
Cumplimiento Parcial 0
No Cumplimiento 0
2. ¿Existe un mecanismo de registro y monitorización de la red y los dispositivos que se

conectan ella?
No Cumplimiento 0
https://forms.office.com/pages/designpagev2.aspx?auth_pvr=OrgId&auth_upn=e1315332336%40live.uleam.edu.ec&origin=OfficeDotCom&lang=… 1/8
3. ¿Hay un sistema de autenticación para todos los accesos a la red de la organización?
No Cumplimiento 0
4. ¿Existe una segmentación de red adecuada usando cortafuegos, VLAN, VPN, etc.?
No Cumplimiento 1
5. ¿Se gestionan, clasifican y protegen los servicios de red de forma adecuada?
No Cumplimiento 0
6. ¿Existe un monitoreo de servicios de red?
No Cumplimiento 0
7. ¿Se mantiene un derecho a auditar servicios de red gestionados por terceros

(contratos, SLA y requisitos de informes de gestión)?
No Cumplimiento 1
8. ¿Se emplean mecanismos de autenticación en la red, cifrado de tráfico de red?
No Cumplimiento 0
9. ¿Se hace una revisión periódica de las configuraciones de cortafuegos, IDS / IPS,
WAF, DAM?
No Cumplimiento 0
10. ¿Existe una política de segmentación de red?
No Cumplimiento 0
11. ¿Se segmenta la red inalámbrica de la red física? ¿Y la red de invitados?
No Cumplimiento 0
12. ¿Se controla la segmentación con proveedores y clientes?
No Cumplimiento 1
13. ¿La seguridad es adecuada dados los riesgos y el apetito de riesgo de la

organización?
No Cumplimiento 0
14. ¿Es basada en la clasificación, los niveles de confianza, dominios (público, escritorios,
servidor, funciones, etc.)?
No Cumplimiento 0
15. ¿Se monitorea y controla la segregación?
No Cumplimiento 0
16. ¿Existen políticas y procedimientos relacionados con la transmisión segura de

información?
No Cumplimiento 0
17. ¿Contempla mecanismos como correo electrónico, FTP y otras aplicaciones de

transferencia de datos y protocolos Web, WiFi y Bluetooth, CD / DVD,
almacenamiento externo USB, mensajería, etc.?
No Cumplimiento 0
18. ¿Existen controles de acceso adecuados para esos mecanismos?
No Cumplimiento 0
19. ¿Se sigue el principio de confidencialidad y privacidad?
No Cumplimiento 0
20. ¿Se asocian responsabilidades a la perdida, corrupción o divulgación de datos?
No Cumplimiento 0
21. ¿Existe una identificación y sincronización de los niveles de clasificación de

información de todas las partes involucradas?
No Cumplimiento 0
22. ¿Se mantiene una cadena de custodia para las transferencias de datos?
No Cumplimiento 0
23. ¿Se implementan las firmas digitales
No Cumplimiento 0
24. ¿Existe una política de mensajería que cubra controles de intercambio de datos por
comunicación de red, incluyendo correo electrónico y FTP / SFTP, etc.?
No Cumplimiento 1
25. ¿Hay controles de seguridad adecuados (ej. cifrado de correo electrónico, la

autenticidad, la confidencialidad y la irrenunciabilidad de mensajes, etc.)?
No Cumplimiento 1
26. ¿Existen controles de seguridad para la interacción con sistemas Internet, Intranet
relacionados con foros y tableros de anuncios electrónicos?
No Cumplimiento 0
27. ¿Existen acuerdos de confidencialidad?
No Cumplimiento 0
28. ¿Han sido revisados y aprobados por el Departamento Legal?
No Cumplimiento 0
Resultados
ESTADO DE LOS CONTROLES

Cumplimiento Total Cumplimiento Parcial No Cumplimiento
18%
29%
53%

Instrumentos-Autónomo

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Instrumentos-Autónomo

Cargado por

Copyright:

Formatos disponibles

Universidad Laica “Eloy Alfaro” de Manabí

Faculta de ciencias de la vida y tecnologías

CÉDULA APELLIDOS Y NOMBRES

Controles del marco de referencia base ISO – 2700k ...................................................... 4

Definiciones de los controles seleccionados .................................................................... 5

La empresa WION cuenta con un departamento de Redes y Telecomunicaciones,

el cual se encarga de la infraestructura física y lógica, mantenimiento, y transmisión de

datos de la red corporativa de la organización. Este proceso se lleva a cabo con la

utilización de equipos de hardware y software, necesarios para cumplir dichas tareas

conexión satisfactoria de internet.

Se puede declarar que el departamento dispone de un crecimiento continuo de

información ocasionando que la búsqueda se vuelva vulnerable, así mismo, se suma la

de la empresa, como al personal del departamento de Redes y Telecomunicaciones que

la información y las instalaciones de la red corporativa se encuentren protegidas ante un

eventual ataque informático que destruya, modifique o secuestre la información de la

Se hace necesario establecer objetivos de control y procedimientos sobre la

seguridad de la información en la empresa WION, específicamente los objetivos 1 y 2 del

ANEXO 13 de la ISO/IEC 27002:2013.

Controles del marco de referencia base ISO – 2700k

A13. Seguridad en la Comunicaciones

A9.4 Control de accesos a

A10.1 Controles A10.1.1 Política de uso de los controles

A12.3 Copias de seguridad A12.3.1 Copias de seguridad de la información

A13.1.1 Controles de red

A13.2.1 Políticas y procedimientos para la

Definiciones de los controles seleccionados

9.4 Control de accesos a sistemas y aplicaciones

¿Existen controles de acceso adecuados? PL-NP-MT

¿Existe una política que cubra el uso de controles criptográficos? PO-PL

Anexo ¿Se cumple con la política y requerimientos de cifrado? PO-PL-NP-MT

¿Existen políticas y procedimientos asociados a las copias de seguridad? PO-PL-NP-MT

13.1 Gestión de la seguridad de las redes

¿Existe un monitoreo de servicios de red? PL-NP-MT

¿Se segmenta la red inalámbrica de la red física? ¿Y la red de invitados? PL-NP-MT

13.2 Intercambio de información

¿Existen políticas y procedimientos relacionados con la transmisión segura de PO-PL-NP

¿Existen acuerdos de confidencialidad? PO-PL-NP

Estado de los Controles de Seguridad de la Infor‐

1. ¿Existen políticas de redes físicas e inalámbricas?

2. ¿Existe un mecanismo de registro y monitorización de la red y los dispositivos que se

3. ¿Hay un sistema de autenticación para todos los accesos a la red de la organización?

5. ¿Se gestionan, clasifican y protegen los servicios de red de forma adecuada?

6. ¿Existe un monitoreo de servicios de red?

7. ¿Se mantiene un derecho a auditar servicios de red gestionados por terceros

8. ¿Se emplean mecanismos de autenticación en la red, cifrado de tráfico de red?

10. ¿Existe una política de segmentación de red?

11. ¿Se segmenta la red inalámbrica de la red física? ¿Y la red de invitados?

12. ¿Se controla la segmentación con proveedores y clientes?

13. ¿La seguridad es adecuada dados los riesgos y el apetito de riesgo de la

15. ¿Se monitorea y controla la segregación?

16. ¿Existen políticas y procedimientos relacionados con la transmisión segura de

17. ¿Contempla mecanismos como correo electrónico, FTP y otras aplicaciones de

18. ¿Existen controles de acceso adecuados para esos mecanismos?

19. ¿Se sigue el principio de confidencialidad y privacidad?

20. ¿Se asocian responsabilidades a la perdida, corrupción o divulgación de datos?

21. ¿Existe una identificación y sincronización de los niveles de clasificación de

23. ¿Se implementan las firmas digitales

25. ¿Hay controles de seguridad adecuados (ej. cifrado de correo electrónico, la

27. ¿Existen acuerdos de confidencialidad?

28. ¿Han sido revisados y aprobados por el Departamento Legal?

ESTADO DE LOS CONTROLES

También podría gustarte