Upload
rafaelina-pichardo
View
276
Download
0
Embed Size (px)
Citation preview
7/21/2019 Analisis GAP ISO27k
1/49
Sobre el CuestionarioJefe de Infraestructura
Jefe de Comunicaciones
DBA
Jefe de Unidad de Gestin Informtica
Gestor de Proyecto
AlcancesMisin Institucin
Visin Institucin
Objetios !strate"icos Institucin
Objetios de #a Unidad
Misin
Visin
Objetio !strate"ico $ue Persi"ue
Objetio !strate"ico $ue a%oya e# &oft'are
Va#ores de #a UnidadEmpresa
Limitaciones
Comentarios
7/21/2019 Analisis GAP ISO27k
2/49
7/21/2019 Analisis GAP ISO27k
3/49
Historial de CambiosVersion No. Fecha Descripcin de Cambios
()** *+)*()+*(, Creacin de P#anti##as base
()*( +-)(+)+*(+
Version Fecha Tope Plan de Trabajo
()* (.)*()+*(, Inicio de !ntreista con P#anti##a Ane/o A
7/21/2019 Analisis GAP ISO27k
4/49
Persona - mpresa
Ju#io 0amas 1 Deca#in2
Autor
7/21/2019 Analisis GAP ISO27k
5/49
Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mero + porcentaje
Proceso Cum%#e c on #a norma y esta docum entado
Proceso se # #ea a c abo y se debe docum entar
Proceso no c um%#e con #a norma y debe ser redise3ado
Proceso no est en su #u"ar 4 no esta im%#ementado
Proceso no es a%#icab# e
*5(*5
+*5
6*5
,*5
7*5
8*5
.*5
9*5
-*5
(**5
Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + docum
!n
Percent
#, &$.
$ (.
!S" #$%%&'#%%( Controles Ap1ndice-A !mplementacin stado por la Clasi)icacin en n*mero + p
7/21/2019 Analisis GAP ISO27k
6/49
( /.
/0 ,$.
/0 ,$.
Contro#es documentados e im%#e mentados
Contro#es im%#em entados deben ser documentados
Contro#es im%#emen tados no cum%# en c on #as normas: tiene $u e redise3ar
Contro# no im%#ementado y documentado
Contro#es no a%#ic ados
7/21/2019 Analisis GAP ISO27k
7/49
ProcesoCum%#e con #anorma y estadocumentado
Proceso s e##ea a cabo yse debedocumentar
Proceso nocum%#e con #anorma y debeser redise3ado
Proceso noest en su#u"ar 4 no estaim%#ementado
*
+*
* * * *
Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mer
ntado
orcentaje
*5
(*5
+*5
6*5
,*5
7*5
8*5
.*5
9*5
-*5
(**5
Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + do
Com%#iance%ercenta"e
#ii
a
de
&
e"uridad
i
i
#
uridad
de
#a
inform
acin
in
de
A
ctios
i
#
s
recursos
"r4ani=acin de la se4uridad de la in)ormacin
A.>.& "r4ani=acin !nterna
A)8)()(
A)8)()+
A)8)()6
A)8)(),
A)8)()7 0os acuerdos de confidencia#idad
A)8)()8 Contacto con #as autoridades &e mantendrn #os contactos a%ro%iados con #as autoridades %ertinentes)
A)8)().
A)8)()9
A>.# Partes 3ternas
A)8)+)(
A)8)+)+
A)8)+)6
A.$
7/21/2019 Analisis GAP ISO27k
29/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A).)()+ Pro%iedad de Actios
A).)()6 Uso ace%tab#es de #os actios
A.$.# clasi)icacin de la in)ormacin
A).)+)( directrices de c#asificacin
A).)+)+
A.@a se4uridad de los recursos humanos
A.@.& Antes del mpleo
A)9)()( =o#es y =es%onsabi#idades
A)9)()+ Proyeccin
A)9)()6
A.@.# Durante el empleo
A)9)+)( Gestion de res%onsabi#idades
A)9)+)+
A)9)+)6 Proceso Dici%#inario
A.@., l termino o cambio de empleo
A)9)6)( ermino de res%onsabi#idades
A)9)6)+ =etorno de #os actios
A)9)6)6
A.0a se4uridad )isica + ambiental
oda #a informacin y #os actios asociados a #as insta#aciones detratamiento de #a informacin sern %ro%iedad de una %arte desi"nada de
#a or"ani;acin)ormas %ara e# uso ace%tab#e de #a informacin y de #os actios asociados
a #as insta#aciones de %rocesamiento de informacin debern seridentificados: documentados e im%#ementados)
Para ase4urar 9ue la in)ormacin reciba un ni5el adecuado deproteccin.0a informacin se c#asificar en funcin de su a#or: #os re$uisitos #e"a#es:
#a sensibi#idad y criticidad %ara #a or"ani;acin)
!ti$uetado de #a informacin y #amani%u#acin
Un conjunto a%ro%iado de %rocedimientos %ara e# eti$uetado deinformacin y de tramitacin se desarro##ar y ejecutar de conformidad
con e# sistema de c#asificacin ado%tado %or #a or"ani;acin)
Para ase4urarse de 9ue los empleados8 contratistas + usuarios deterceras partes entiendan sus responsabilidades8 + son adecuadospara las )unciones 9ue se consideran para8 + para reducir el ries4o derobo8 )raude o mal uso de las instalaciones.
@unciones y res%onsabi#idades de #os em%#eados: contratistas y usuariosde terceras %artes de %roteccin se definen y documentan de conformidad
con #a %o#Ftica de se"uridad de #a informacin de #a or"ani;acin)Contro#es de erificacin de antecedentes de todos #os candidatos a
em%#eo: contratistas y usuarios de terceras %artes se ##earn a cabo deconformidad con #as #eyes: re"u#aciones y Htica: y %ro%orciona# a #osre$uerimientos de# ne"ocio: #a c#asificacin de #a informacin $ue se
acceda: y #os ries"os %ercibidos)
erminos y condiciones de#em%#eo
Como %arte de su ob#i"acin contractua#: #os em%#eados: contratistas yusuarios de terceras %artes se %ondrn de acuerdo y firmar #os tHrminos y
condiciones de su contrato de trabajo: en e# $ue e/%ondr yres%onsabi#idades de sus de #a or"ani;acin %ara #a se"uridad de #a
informacin)Para ase4urar 9ue todos los empleados8 contratistas + usuarios deterceras partes son conscientes de la in)ormacin amena=as +preocupaciones8 sus responsabilidades + obli4aciones de se4uridad8+ est2n e9uipados para apo+ar la pol?tica de se4uridad de laor4ani=acin en el curso de su trabajo normal8 + para reducir el ries4ode error humano.Administracin e/i"ir a #os em%#eados: contratistas y usuarios de terceras
%artes %ara a%#icar #a se"uridad de conformidad con #as %o#Fticas y%rocedimientos de #a or"ani;acin estab#ecidas
Concienciacin sobre #ase"uridad de #a informacin: #a
educacin y #a formacin
odos #os em%#eados de #a or"ani;acin y: en su caso: #os contratistas yusuarios de terceras %artes: debern recibir una ca%acitacin adecuada
sensibi#i;acin y actua#i;aciones re"u#ares en #as %o#Fticas y %rocedimientosde #a or"ani;acin: $ue sea re#eante %ara su funcin de trabajo)
abr un %roceso disci%#inario forma# %ara #os em%#eados $ue
7/21/2019 Analisis GAP ISO27k
30/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A0.& Areas Se4uras
A-)()( PerFmetro de se"uridad fFsica
A-)()+ Contro#es de entradas fisicas
A-)()6
A-)(),
A-)()7 rabajar en ;onas se"uras
A-)()8
A0.# Se4uridad de los e9uipos
A-)+)(
A-)+)+ A%oyo a #os sericios %b#icos
A-)+)6 se"uridad de# cab#eado
A-)+), !# mantenimiento de# e$ui%o
A-)+)7
A-)+)8
A-)+). !#iminacin de #os e$ui%os
A&%
7/21/2019 Analisis GAP ISO27k
31/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A(*)+)+
A(*)+)6
A&%., Para minimi=ar el ries4o de )allo de los sistemas.
A(*)6)( "estin de #a ca%acidad
A(*)6)+ #a ace%tacin de# sistema
A&%./ Para prote4er la inte4ridad del so)tGare + la in)ormacin.
A(*),)( Contro#es contra cdi"o ma#icioso
A(*),)+ Contro#es contra cdi"os mi#es
A&%.( ac-up
A(*)7)(
A&%.>
A(*)8)( contro#es de red
A(*)8)+ &e"uridad de #os sericios de red
A&%.$ manejo del soporte
A(*).)( Gestin de so%ortes e/traFb#es
A(*).)+
A(*).)6
A(*).),
A&%.@ !ntercambio de in)ormacin
A(*)9)(
A(*)9)+ 0os acuerdos de intercambio
A(*)9)6 Medios fFsicos en trnsito
!# se"uimiento y #a reisin de #ossericios de terceros
0os sericios: #os informes y #os re"istros %ro%orcionados %or e# tercerodebern ser contro#ados re"u#armente y reisados: y #as auditorFas se
##earn a cabo con re"u#aridad)
Gestin de cambios en #ossericios de terceros
os cambios en #a %restacin de sericios: inc#uido e# mantenimiento y #amejora de #as actua#es %o#Fticas de se"uridad de informacin:
%rocedimientos y contro#es: se "estionarn: teniendo en cuenta #a criticidadde #os sistemas y %rocesos $ue interienen em%resas y re1ea#uacin de
#os ries"os)Plani)icacin + aceptacin del
sistema
!# uso de #os recursos deber ser monitoreada: afinado: y %royecciones de
#as futuras necesidades de ca%acidad %ara ase"urar e# rendimiento de#sistema re$uerido)
0os criterios de ace%tacin %ara #os nueos sistemas de informacin:actua#i;aciones y nueas ersiones sern estab#ecidos y #as %ruebas
adecuadas de# sistemaE ##earon a cabo durante e# desarro##o y antes de #aace%tacin)
Proteccin contra cdi4omalicioso + m5il
&e ##earn a cabo #a deteccin: %reencin y recu%eracin contro#es de%roteccin contra cdi"o ma#icioso y #os %rocedimientos a%ro%iados de
sensibi#i;acin usuario)
Cuando se autorice e# uso de cdi"o mi#: #a confi"uracin deber"aranti;ar $ue e# cdi"o mi# autori;ado o%era de acuerdo con una %o#Ftica
de se"uridad c#aramente definido: y e# cdi"o mi# no autori;ado %uedeser im%edido de ejecutar)
Para mantener la inte4ridad + la disponibilidad de instalaciones deprocesamiento de la in)ormacin + de la in)ormacin.
Informacinbac21u%
Co%ias de res%a#do de #a informacin y soft'are sern tomadas yana#i;adas con re"u#aridad de acuerdo con #a %o#Ftica de co%ia de
se"uridad acordado)
7/21/2019 Analisis GAP ISO27k
32/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A(*)9), Mensajeria !#ectronica
A(*)9)7
A&%.0
A(*)-)( Comercio !#ectronico
A(*)-)+ ransacciones On1#ine
A(*)-)6 Informacin %b#ica
A&%.&% 6onitoreo
A(*)(*)( =e"istro de Auditoria
A(*)(*)+ Uso de# sistema de monitoreo
A(*)(*)6
A(*)(*), Actiidades de# administrador de# sistema y "estor de #a red se re"istrarn)
A(*)(*)7 @a##o de =e"istros @a##os se re"istrarn: ana#i;arn y tomarn #as medidas corres%ondientes)
A(*)(*)8 &incroni;acin de =e#ojes
A&& Control de Acceso
A&&.& Para controlar el acceso a la in)ormacin.
A(()()( Po#Ftica de contro# de acceso
A&&.#
A(()+)( =e"istro de Usuarios
A(()+)+ Administracin de Prii#e"ios 0a asi"nacin y e# uso de #os %rii#e"ios se #imitarn y contro#ados)
A(()+)6
A(()+),
A&&.,
A(()6)( Uti#i;acin de Contrase3a
A(()6)+ !$ui%o de usuarios desatendido
Informacin ino#ucrado en #a mensajerFa e#ectrnica ser debidamente%reserado)
&istemas de informacin dene"ocios
0as %o#Fticas y %rocedimientos debern ser desarro##ados e im%#ementados%ara %rote"er #a informacin asociada a #a intercone/in de #os sistemas de
informacin de ne"ocios)
Ser5icios de comercioelectrnico
Para 4aranti=ar la se4uridad de los ser5icios de comercio electrnico8+ su uso se4uro.
Informacin ino#ucrado en e# comercio e#ectrnico $ue %asa a traHs deredes %b#icas: sern %rote"idos de #a actiidad fraudu#enta: dis%uta de
contrato: y #a diu#"acin y modificacin no autori;ada)
Informacin ino#ucrada en #as transacciones en #Fnea debern estar%rote"idos %ara %reenir #a transmisin incom%#eta: ma# enrutamiento:
a#teracin mensaje no autori;ado: #a diu#"acin no autori;ada: #adu%#icacin de mensajes no autori;ada o #a re%roduccin)
0a inte"ridad de #a informacin %uesta a dis%osicin de un sistema deacceso %b#ico debe ser %rote"ido %ara eitar #a modificacin no
autori;ada)Para detectar las acti5idades de procesamiento de in)ormacin noautori=ados.
0os re"istros de auditorFa de "rabacin de #as actiidades de# usuario:e/ce%ciones y eentos de se"uridad de informacin se %roducen y se
conserarn durante un %erFodo acordado %ara ayudar en futurasinesti"aciones y #a i"i#ancia de# contro# de acceso)
Procedimientos %ara e# uso de i"i#ancia de #as insta#aciones de%rocesamiento de informacin se estab#ecern y #os resu#tados de #as
actiidades de se"uimiento de reisiones re"u#ares)
Proteccin de #os re"istros deinformacin
Insta#aciones de re"istro y #a informacin de re"istro se %rote"ern contra#a mani%u#acin y acceso no autori;ado)
Administracin y o%eracin de #osre"istros de informacin
0os re#ojes de todos #os sistemas de %rocesamiento de informacin%ertinentes dentro de una or"ani;acin o dominio de se"uridad se %ueden
sincroni;ar con una fuente
7/21/2019 Analisis GAP ISO27k
33/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A(()6)6
A&&./ Control de acceso de red Para pre5enir el acceso no autori=ado a los ser5icios en red.
A((),)(
A((),)+
A((),)6
A((),),
A((),)7 &e"re"acin en redes
A((),)8 Contro# de #a cone/in de red
A((),). Contro# de =uta de red
A&&.( Para pre5enir el acceso no autori=ado a los sistemas operati5os.
A(()7)( Procedimientos de Inicio &e"uro
A(()7)+
A(()7)6
A(()7), Uso de #as uti#idades de# sistema
A(()7)7 &esin de tiem%o de es%era
A(()7)8 0imitacin de tiem%o de cone/in
A&&.>
A(()8)(
A(()8)+ Ais#amiento de# sistema &ensib#e &istemas sensib#es deben tener un ais#adoE entorno informtico dedicado)
A&&.$
A(().)(
A(().)+ e#etrabajo
AAd9uisicin de sistemas de in)ormacin8 desarrollo + mantenimiento
Po#Ftica de escritorio y %anta##a enb#anco o des%ejado
&e ado%tarn una %o#Ftica de escritorio #im%io de %a%e#es y so%ortes dea#macenamiento e/traFb#es y una %o#Ftica de #a %anta##a c#ara %ara #as
insta#aciones de %rocesamiento de informacin)
Po#Ftica sobre e# uso de #ossericios de red
0os usuarios s#o debern dis%oner de acceso a #os sericios $ue
7/21/2019 Analisis GAP ISO27k
34/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A.&
A(+)()(
A.#
A(+)+)( Va#idacin de Datos de !ntrada
(+)+)+ Contro# de# %rocesamiento interno
(+)+)6 Inte"ridad de #os mensajes
(+)+), Va#idacin de datos de sa#ida
A., Controles cripto4r2)icos
A(+)6)(
(+)6)+ Gestin de c#aes
A./ Para 4aranti=ar la se4uridad de los archi5os del sistema
A(+),)( Contro# de# &oft'are O%eraciona#
A(+),)+
A(+),)6 !# acceso a# cdi"o fuente de# %ro"rama se #imitar)
A.(
A(+)7)(
A(+)7)+
A(+)7)6
A(+)7), fi#tracin de informacin &e im%edir O%ortunidades %ara #a fu"a de informacin)
A(+)7)7
A.>
A(+)8)(
A&,
7/21/2019 Analisis GAP ISO27k
35/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A(6)()(
A(6)()+
A&,.#
A(6)+)(
A(6)+)+
A(6)+)6 Aco%io de !idencias
A&/
7/21/2019 Analisis GAP ISO27k
36/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin
A(7)()7
A(7)()8
A&(.#
A(7)+)(
A(7)+)+
A&(.,
A(7)6)(
A(7)6)+
e+enda
Cantidad Codi4os Status Si4ni)icado
Preencin de# uso indebido de#as insta#aciones de
%rocesamiento de informacin
0os usuarios se decidan a uti#i;ar #as insta#aciones de %rocesamiento deinformacin %ara fines no autori;ados)
=e"u#acin de #os contro#escri%to"rficos
Contro#es cri%to"rficos sern uti#i;ados en cum%#imiento de todos #osacuerdos: #eyes y re"#amentos)
l cumplimiento de laspol?ticas de se4uridad + lasnormas + el cumplimiento
t1cnico
Para 4aranti=ar el cumplimiento de los sistemas con las pol?ticas +est2ndares de se4uridad de la or4ani=acin
!# cum%#imiento de #as %o#Fticas ynormas de se"uridad
Administradores se ase"urarn de $ue todos #os %rocedimientos dese"uridad dentro de su rea de res%onsabi#idad se ##ean a cabo
correctamente %ara #o"rar e# cum%#imiento con #as %o#Fticas y estndares dese"uridad)
Com%robacin de# cum%#imientotHcnico
0os sistemas de informacin deben ser reisados re"u#armente %or e#cum%#imiento de #as normas de a%#icacin de #a se"uridad)
Consideraciones de auditor?adel sistema de in)ormacin
Para ma3imi=ar la e)icacia + minimi=ar la inter)erencia a : desde elproceso de auditor?a de sistemas de in)ormacin.
Contro#es de auditorFa desistemas de informacin
=e$uisitos de auditorFa y #as actiidades re#acionadas con #os contro#es de#os sistemas o%eratios debern ser %#aneadas cuidadosamente y
acordaron reducir a# mFnimo e# ries"o de interru%ciones en #os %rocesos dene"ocio)
Proteccin de #as
7/21/2019 Analisis GAP ISO27k
37/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
ne3o A de re)erencia T?tulo de control Descripcin del control Funcin* D !# contro# se document e im%#ement
* 6D
* ;D
* PNP
* NA BNot Applicable !# contro# no es a%#icab#e %ara #a em%resa ni %ara e# ne"ocio
%
!# Contro# se ##ea a cabo y e# %roceso debe ser documentado %araase"urar #a re%etibi#idad de# %roceso y miti"ar #os ries"os)
!# contro# no cum%#e #as normas y debe ser redise3ado %ara cum%#ir con#as normas
!# %roceso no est en su #u"ar 4 no im%#ementado)Contro# re$ueridos ni documentado ni im%#ementadoE
7/21/2019 Analisis GAP ISO27k
38/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
39/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
40/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
41/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
42/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
43/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
44/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
45/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
46/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
47/49
ero/ Interna# Use On#y +.-.-(,.+)/#s
;ecomendaciones
7/21/2019 Analisis GAP ISO27k
48/49
Nota ' os n*meros en esta hoja deben ser llenados en marcha manualment
Cantidad de &tatus &tatus
Funciones D PP =D A MD Gran ota#
Administracion 8 ( 9 ( (8
CI&O ( (- (6 ( 6,
@inan;as 6 6
=ecursos umanos , ( , -
I 9 +7 (8 8 6 79
&4 , 6 ( 9
A#ta Direccin 6 ( ,
!m%#eados ( (
Gran ota# +6 ,- ,- . 7 (66
Funciones D PNP ;D 6D
7/21/2019 Analisis GAP ISO27k
49/49
para re)lejar en el resumen de la hoja : dashboard
NA Net Total
8
(
. (66