SlideShare una empresa de Scribd logo

ISO27002 plan de mejora

Eder Fernando Bolaño Rocha
Eder Fernando Bolaño Rocha

Actividad 5 de gestión y seguridad de base de datos SENA

Educación
1 de 12
Descargar para leer sin conexión
Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2 Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60 DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la información Revisión de la política de seguridad de la información 100 1 Documento de la política de seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la de seguridad de la información Organización Interna Estructura organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de Control Controles 5 Política de Seguridad 6
4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3 27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe 20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13 9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de procesamiento de información Contacto con grupos de interés Revisión independiente de la seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo Seguridad fisica y del entorno 3
6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70 70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2 Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69 1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de operación documentados Control de cambios Separación de funciones Separación de las instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5 Información de copias de seguridad Procedimientos operacionales y responsabilidades Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias de seguridad
2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70 70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3 Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2 Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe 3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4 16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos de negocio para el control de acceso Administración de acceso de usuarios Administración de privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los servicios de red Información públicamente disponible 7 Administración de los medios de computación removibles Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes
3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4 Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4 Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16 12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede 6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7 11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión Identificación de equipos en la red Administración remota y protección de puertos Segmentación de redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red 5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6 Control de acceso a las aplicaciones y la información
2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25 60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4 Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2 Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1 Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5 Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software Fugas de información Política de utilización de controles criptográficos Administración de llaves Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los archivos del sistema Control del software operacional
3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe 10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10 10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación de controles para el uso de criptografía Protección de los registros de la organización Protección de datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado de los recursos de procesamiento de información Protección de las herramientas de auditoria de sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y procesos independientes 7 Organizar la información según los procesos de calidad y la organización de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios de autorización de servicios Realizar auditorias externas y certificacion en SI
50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12 Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la empresa y clientes Protección de datos y privacidad de la información personal Regulación de controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección de las herramientas de auditoria de sistemas Protección de los registros de la organización Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Comercio electronico Transacciones en línea Información públicamente disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio
ISO27002 plan de mejora
ISO27002 plan de mejora
ISO27002 plan de mejora

Recomendados

16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridadprincess2105
 
Normas iso 27000
Normas iso 27000Normas iso 27000
Normas iso 27000Alberto Landa
 
2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricos2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricosFrancisco Sandoval
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 

Recomendados

16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridadprincess2105
 
Normas iso 27000
Normas iso 27000Normas iso 27000
Normas iso 27000Alberto Landa
 
2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricos2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricosFrancisco Sandoval
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Taller 1 ping
Taller 1 pingTaller 1 ping
Taller 1 pingjuan jose oviedo torres
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacionAlejandro Leon
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic Consultoría Tecnológica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos CompuArregla
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CROVWO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Practicas Laboratorio
Practicas LaboratorioPracticas Laboratorio
Practicas Laboratoriojuan jose oviedo torres
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Jaime Contreras
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Whitney International University System
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfErnestoJoseDuranLope
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciSymantec LATAM
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaEduardo Sanchez Piña
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaLisa Muthukumar
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoriaMayerly Urrego Guerrero
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informaticaEder Fernando Bolaño Rocha
 
SGI Mapamental
SGI Mapamental SGI Mapamental
SGI Mapamental Eder Fernando Bolaño Rocha
 

Más contenido relacionado

Similar a ISO27002 plan de mejora

Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacionAlejandro Leon
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic Consultoría Tecnológica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos CompuArregla
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CROVWO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Jaime Contreras
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Whitney International University System
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfErnestoJoseDuranLope
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciSymantec LATAM
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaEduardo Sanchez Piña
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaLisa Muthukumar
 

Similar a ISO27002 plan de mejora (20)

Taller 1 ping
Taller 1 pingTaller 1 ping
Taller 1 ping
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfg
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacion
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IP
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridad
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...
 
Practicas Laboratorio
Practicas LaboratorioPracticas Laboratorio
Practicas Laboratorio
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbrica
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 

Más de Eder Fernando Bolaño Rocha

Más de Eder Fernando Bolaño Rocha (13)

Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
 
SGI Mapamental
SGI Mapamental SGI Mapamental
SGI Mapamental
 
Mango's City 2014
Mango's City 2014Mango's City 2014
Mango's City 2014
 
SATUTS
SATUTSSATUTS
SATUTS
 
Preguntados
PreguntadosPreguntados
Preguntados
 
Seguridad de redes wifi 802
Seguridad de redes wifi 802Seguridad de redes wifi 802
Seguridad de redes wifi 802
 
Seminario
SeminarioSeminario
Seminario
 
Gestión documental
Gestión documentalGestión documental
Gestión documental
 
Evolucion telefonia movil celular
Evolucion telefonia movil celularEvolucion telefonia movil celular
Evolucion telefonia movil celular
 
Biomasa
BiomasaBiomasa
Biomasa
 
Red Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSIRed Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSI
 
Kalman_Filtros
Kalman_FiltrosKalman_Filtros
Kalman_Filtros
 
El origen de la vida
El origen de la vidaEl origen de la vida
El origen de la vida
 

Último

PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfPPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfEDILIAGAMBOA
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfCarol Andrea Eraso Guerrero
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfcoloncopias5
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
La evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariaLa evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariamarco carlos cuyo
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfCESARMALAGA4
 

Último (20)

PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfPPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdf
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 
La evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariaLa evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundaria
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
 
TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 

ISO27002 plan de mejora

  • 1. Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2 Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60 DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la información Revisión de la política de seguridad de la información 100 1 Documento de la política de seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la de seguridad de la información Organización Interna Estructura organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de Control Controles 5 Política de Seguridad 6
  • 2. 4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3 27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe 20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13 9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de procesamiento de información Contacto con grupos de interés Revisión independiente de la seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo Seguridad fisica y del entorno 3
  • 3. 6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70 70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2 Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69 1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de operación documentados Control de cambios Separación de funciones Separación de las instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5 Información de copias de seguridad Procedimientos operacionales y responsabilidades Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias de seguridad
  • 4. 2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70 70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3 Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2 Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe 3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4 16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos de negocio para el control de acceso Administración de acceso de usuarios Administración de privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los servicios de red Información públicamente disponible 7 Administración de los medios de computación removibles Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes
  • 5. 3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4 Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4 Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16 12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede 6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7 11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión Identificación de equipos en la red Administración remota y protección de puertos Segmentación de redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red 5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6 Control de acceso a las aplicaciones y la información
  • 6. 2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25 60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4 Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2 Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1 Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5 Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software Fugas de información Política de utilización de controles criptográficos Administración de llaves Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los archivos del sistema Control del software operacional
  • 7. 3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe 10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10 10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación de controles para el uso de criptografía Protección de los registros de la organización Protección de datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado de los recursos de procesamiento de información Protección de las herramientas de auditoria de sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
  • 8. DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y procesos independientes 7 Organizar la información según los procesos de calidad y la organización de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios de autorización de servicios Realizar auditorias externas y certificacion en SI
  • 9. 50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12 Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la empresa y clientes Protección de datos y privacidad de la información personal Regulación de controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección de las herramientas de auditoria de sistemas Protección de los registros de la organización Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Comercio electronico Transacciones en línea Información públicamente disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio