ISO27002 plan de mejora

319 visualizaciones

Publicado el

Actividad 5 de gestión y seguridad de base de datos SENA

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
319
En SlideShare
0
De insertados
0
Número de insertados
8
Acciones
Compartido
0
Descargas
20
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

ISO27002 plan de mejora

  1. 1. Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2 Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60 DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la información Revisión de la política de seguridad de la información 100 1 Documento de la política de seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la de seguridad de la información Organización Interna Estructura organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de Control Controles 5 Política de Seguridad 6
  2. 2. 4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3 27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe 20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13 9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de procesamiento de información Contacto con grupos de interés Revisión independiente de la seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo Seguridad fisica y del entorno 3
  3. 3. 6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70 70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2 Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69 1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de operación documentados Control de cambios Separación de funciones Separación de las instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5 Información de copias de seguridad Procedimientos operacionales y responsabilidades Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias de seguridad
  4. 4. 2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70 70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3 Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2 Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe 3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4 16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos de negocio para el control de acceso Administración de acceso de usuarios Administración de privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los servicios de red Información públicamente disponible 7 Administración de los medios de computación removibles Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes
  5. 5. 3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4 Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4 Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16 12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede 6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7 11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión Identificación de equipos en la red Administración remota y protección de puertos Segmentación de redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red 5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6 Control de acceso a las aplicaciones y la información
  6. 6. 2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25 60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4 Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2 Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1 Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5 Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software Fugas de información Política de utilización de controles criptográficos Administración de llaves Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los archivos del sistema Control del software operacional
  7. 7. 3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe 10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10 10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación de controles para el uso de criptografía Protección de los registros de la organización Protección de datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado de los recursos de procesamiento de información Protección de las herramientas de auditoria de sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
  8. 8. DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y procesos independientes 7 Organizar la información según los procesos de calidad y la organización de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios de autorización de servicios Realizar auditorias externas y certificacion en SI
  9. 9. 50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12 Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la empresa y clientes Protección de datos y privacidad de la información personal Regulación de controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección de las herramientas de auditoria de sistemas Protección de los registros de la organización Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Comercio electronico Transacciones en línea Información públicamente disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio

×