SlideShare una empresa de Scribd logo

ISO27002 plan de mejora

Eder Fernando Bolaño Rocha
Eder Fernando Bolaño Rocha

Actividad 5 de gestión y seguridad de base de datos SENA

Educación
1 de 12
Descargar para leer sin conexión
Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2 Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60 DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la información Revisión de la política de seguridad de la información 100 1 Documento de la política de seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la de seguridad de la información Organización Interna Estructura organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de Control Controles 5 Política de Seguridad 6
4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3 27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe 20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13 9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de procesamiento de información Contacto con grupos de interés Revisión independiente de la seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo Seguridad fisica y del entorno 3
6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70 70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2 Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69 1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de operación documentados Control de cambios Separación de funciones Separación de las instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5 Información de copias de seguridad Procedimientos operacionales y responsabilidades Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias de seguridad
2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70 70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3 Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2 Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe 3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4 16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos de negocio para el control de acceso Administración de acceso de usuarios Administración de privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los servicios de red Información públicamente disponible 7 Administración de los medios de computación removibles Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes
3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4 Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4 Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16 12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede 6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7 11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión Identificación de equipos en la red Administración remota y protección de puertos Segmentación de redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red 5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6 Control de acceso a las aplicaciones y la información
2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25 60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4 Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2 Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1 Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5 Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software Fugas de información Política de utilización de controles criptográficos Administración de llaves Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los archivos del sistema Control del software operacional
3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe 10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10 10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación de controles para el uso de criptografía Protección de los registros de la organización Protección de datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado de los recursos de procesamiento de información Protección de las herramientas de auditoria de sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y procesos independientes 7 Organizar la información según los procesos de calidad y la organización de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios de autorización de servicios Realizar auditorias externas y certificacion en SI
50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12 Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la empresa y clientes Protección de datos y privacidad de la información personal Regulación de controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección de las herramientas de auditoria de sistemas Protección de los registros de la organización Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Comercio electronico Transacciones en línea Información públicamente disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio
ISO27002 plan de mejora
ISO27002 plan de mejora
ISO27002 plan de mejora

Recomendados

16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridadprincess2105
 
Normas iso 27000
Normas iso 27000Normas iso 27000
Normas iso 27000Alberto Landa
 
2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricos2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricosFrancisco Sandoval
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 

Recomendados

16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridadprincess2105
 
Normas iso 27000
Normas iso 27000Normas iso 27000
Normas iso 27000Alberto Landa
 
2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricos2 fundamentos enlaces_radioelectricos
2 fundamentos enlaces_radioelectricosFrancisco Sandoval
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Taller 1 ping
Taller 1 pingTaller 1 ping
Taller 1 pingjuan jose oviedo torres
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacionAlejandro Leon
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic Consultoría Tecnológica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos CompuArregla
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CROVWO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Practicas Laboratorio
Practicas LaboratorioPracticas Laboratorio
Practicas Laboratoriojuan jose oviedo torres
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Jaime Contreras
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Whitney International University System
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfErnestoJoseDuranLope
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciSymantec LATAM
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaEduardo Sanchez Piña
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaLisa Muthukumar
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoriaMayerly Urrego Guerrero
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informaticaEder Fernando Bolaño Rocha
 
SGI Mapamental
SGI Mapamental SGI Mapamental
SGI Mapamental Eder Fernando Bolaño Rocha
 

Más contenido relacionado

Similar a ISO27002 plan de mejora

Presentación tfg
Presentación tfgPresentación tfg
Presentación tfgDrossMisses
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacionAlejandro Leon
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic Consultoría Tecnológica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos CompuArregla
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CROVWO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Jaime Contreras
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Whitney International University System
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfErnestoJoseDuranLope
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciSymantec LATAM
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaEduardo Sanchez Piña
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaLisa Muthukumar
 

Similar a ISO27002 plan de mejora (20)

Taller 1 ping
Taller 1 pingTaller 1 ping
Taller 1 ping
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfg
 
Normatividad y certificacion
Normatividad y certificacionNormatividad y certificacion
Normatividad y certificacion
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IP
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridad
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
Manual de procedimientos
Manual de procedimientos Manual de procedimientos
Manual de procedimientos
 
7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO7 puntos clave y prácticos en todo proyecto de CRO
7 puntos clave y prácticos en todo proyecto de CRO
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...
 
Practicas Laboratorio
Practicas LaboratorioPracticas Laboratorio
Practicas Laboratorio
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07
 
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
Evolucion de las Organizaciones con el impacto de las TIC, Tesis Doctoral Osc...
 
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdfLIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
LIBRO DE ADMINISTRACION DE LOS SISTEMAS DE INFORMACION.pdf
 
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pciBe Aware Webinar - Consideraciones más importantes para cumplir con pci
Be Aware Webinar - Consideraciones más importantes para cumplir con pci
 
Configuración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbricaConfiguración del acceso a lan inalámbrica
Configuración del acceso a lan inalámbrica
 
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J SousaAdministraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
Administraci N De Los Sistemas De Informaci N 7Ma Edici N Kenneth J Sousa
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 

Más de Eder Fernando Bolaño Rocha

Más de Eder Fernando Bolaño Rocha (13)

Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
 
SGI Mapamental
SGI Mapamental SGI Mapamental
SGI Mapamental
 
Mango's City 2014
Mango's City 2014Mango's City 2014
Mango's City 2014
 
SATUTS
SATUTSSATUTS
SATUTS
 
Preguntados
PreguntadosPreguntados
Preguntados
 
Seguridad de redes wifi 802
Seguridad de redes wifi 802Seguridad de redes wifi 802
Seguridad de redes wifi 802
 
Seminario
SeminarioSeminario
Seminario
 
Gestión documental
Gestión documentalGestión documental
Gestión documental
 
Evolucion telefonia movil celular
Evolucion telefonia movil celularEvolucion telefonia movil celular
Evolucion telefonia movil celular
 
Biomasa
BiomasaBiomasa
Biomasa
 
Red Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSIRed Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSI
 
Kalman_Filtros
Kalman_FiltrosKalman_Filtros
Kalman_Filtros
 
El origen de la vida
El origen de la vidaEl origen de la vida
El origen de la vida
 

Último

Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxAleParedes11
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 

Último (20)

Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 

ISO27002 plan de mejora

  • 1. Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2 Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60 DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la información Revisión de la política de seguridad de la información 100 1 Documento de la política de seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la de seguridad de la información Organización Interna Estructura organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de Control Controles 5 Política de Seguridad 6
  • 2. 4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3 27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe 20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13 9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de procesamiento de información Contacto con grupos de interés Revisión independiente de la seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo Seguridad fisica y del entorno 3
  • 3. 6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70 70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2 Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69 1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de operación documentados Control de cambios Separación de funciones Separación de las instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5 Información de copias de seguridad Procedimientos operacionales y responsabilidades Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias de seguridad
  • 4. 2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70 70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3 Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2 Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe 3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4 16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos de negocio para el control de acceso Administración de acceso de usuarios Administración de privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los servicios de red Información públicamente disponible 7 Administración de los medios de computación removibles Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes
  • 5. 3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4 Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4 Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4 40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16 12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede 6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7 11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión Identificación de equipos en la red Administración remota y protección de puertos Segmentación de redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red 5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6 Control de acceso a las aplicaciones y la información
  • 6. 2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25 60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4 Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2 Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1 Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5 Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software Fugas de información Política de utilización de controles criptográficos Administración de llaves Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los archivos del sistema Control del software operacional
  • 7. 3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe 10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10 10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación de controles para el uso de criptografía Protección de los registros de la organización Protección de datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado de los recursos de procesamiento de información Protección de las herramientas de auditoria de sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
  • 8. DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y procesos independientes 7 Organizar la información según los procesos de calidad y la organización de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de formularios de autorización de servicios Buscar acompañamiento de entidades como la policia. Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios de autorización de servicios Realizar auditorias externas y certificacion en SI
  • 9. 50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12 Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la empresa y clientes Protección de datos y privacidad de la información personal Regulación de controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección de las herramientas de auditoria de sistemas Protección de los registros de la organización Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de información del negocio Comercio electronico Transacciones en línea Información públicamente disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio