DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS ESCUELA DE POSGRADO Y ESTUDIO CONTINUOS - EPEC MÓDULO DE SEGURIDAD DE LA INFOR
Views 235 Downloads 3 File size 311KB
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
ESCUELA DE POSGRADO Y ESTUDIO CONTINUOS - EPEC
MÓDULO DE SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SUNARP - TRUJILLO
EMPRESA: CURSO
: ESTÁNDARES APLICADOS EN LA GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
DOCENTE
:
ALUMNOS
:
Lomparte Alvarado, Rómulo Fernando
ERICH SOLORZANO SALAS
TRUJILLO – PERÚ
2019
1 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
1.
INTRODUCCIÓN
El estándar ISO/IEC 27001 dispone las cláusulas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro del contexto de los requerimientos del negocio de una organización. Este estándar permite identificar, manejar y minimizar una variedad de amenazas, a las cuales la información de una organización se puede exponer, mediante la adopción de una serie de controles específicos propios de cada dominio.
2 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
1.1
OBJETIVO
El objetivo de la fase de diagnóstico del cumplimiento del estándar ISO/IEC 27001, es evaluar la implementación actual de cada control de la norma ISO /IEC 27001 con el fin de determinar el grado de cumplimiento de éstos y, como resultado del análisis, presentar los hallazgos en temas relacionados con Seguridad de la Información junto con las respectivas recomendaciones.
1.2
METODOLOGÍA
Con base en los tiempos y el cronograma establecido, las actividades llevadas a cabo durante esta fase son las siguientes:
Entrevistas en sitio realizadas con la División de Informática y con los responsables de otros procesos de negocio de la organización, con el fin de adquirir información sobre la operación y administración de los Sistemas de Información en la organización, además de contestar un cuestionario para conocer el estado de la implementación de los controles de la norma ISO/IEC 27001 y poder determinar su nivel de cumplimiento.
Revisión de la documentación de las políticas y procedimientos definidos en la organización.
Conclusiones y recomendaciones de acuerdo con el levantamiento de información realizado durante las entrevistas y la revisión de documentación.
Calificación general en Seguridad de la Información.
1.2.1
MÉTODO DE VALORACIÓN
Para la valoración se hizo un análisis del cumplimiento de cada uno de los controles de la norma ISO 27001 respecto a la norma ISO 27002 “Código de práctica para la gestión de Seguridad de Información”, en la cual se establece la guía para la implementación de cada uno de ellos, y se llevó a cabo la siguiente clasificación:
NO (0%- 30%): El control no se encuentra implantado, o su nivel de implantación y gestión es muy débil; PARCIAL (40% - 70%): Se tienen algún nivel de implantación con relación a los controles que el dominio especifica, pero no se hace en su totalidad. SI (80% - 100%): El dominio se encuentra implantado.
3 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
Los valores dados a cada control se suman y se promedian agrupados en el objetivo de control al cual pertenecen, y se calcula un valor numérico que indica el porcentaje de cumplimiento con la norma. Para obtener el promedio de cumplimiento de la norma por dominio, se suman y se promedian todos los controles pertenecientes al dominio. Este mismo ejercicio se hace para el total de los controles y se obtiene el porcentaje de cumplimiento frente al estándar ISO/IEC 27001.
2.
DESARROLLO Y RESULTADOS OBTENIDOS
A continuación, se presentan los resultados obtenidos en términos de seguridad de cada dominio luego de la evaluación de cada uno de los controles.
4 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
5. POLÍTICA DE SEGURIDAD 5.1. Política de seguridad de la información
CONTROL 5.1.1.Docum ento de política de Segurid ad de la Informa ción 5.1.2.Revisió n de la política de Segurid ad de la Informa ción
PARCIAL
SI
¿Ha sido aprobado por la dirección un documento que contenga la política de seguridad de la información, y ha sido publicado y comunicado a todos los empleados y terceras partes relevantes?
100 %
Resolución Dirección
¿La política de seguridad de la información se revisa en intervalos planificados, o si ocurren cambios significativos, para asegurar que sigue siendo conveniente, suficiente y efectiva?
80%
Intervalos, comunicado vía correo electrónico a todas las oficinas registrales
Rev 0.1; 24 - 11 - 2008
NO
N/A
PREGUNTA
CONCLUSIÓN –
PA
Respons able
Tiem po
Proponer y definir en reunión las áreas de interés con la alta dirección las políticas de seguridad y comunicarlos a los colaborados de la empresa.
Alta Dirección
1 mes
Alta
5 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 6.1. Organización Interna
CONTROL 6.1.1. Roles y responsabilidades en la Seguridad de Información
PREGUNTA ¿Se han definido y asignado claramente todas las responsabilidades de seguridad de la información?
6.1.2. Segregación de funciones
¿Se tienen adecuadamente separados los deberes y áreas, minimizando las oportunidades de mal uso de los activos de información?
6.1.3. Contacto con autoridades
¿Se mantiene una relación apropiada con las autoridades relevantes (p.e. Policía, Bomberos)?
SI 80%
PARCIAL
70%
100 %
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN Si están definidos, pero falta de compromiso
Se tiene establecido los roles y funciones para cada cargo en el MOF Alta dirección - Órgano de control interno
El área de de TI en conjunto con la alta dirección deberán revisar los roles y responsabilid ades de la seguridad de la información. Incluir en el MOF las responsabilid ades y funciones relacionadas a la seguridad de la información.
Alta dirección TI
Alta dirección Órgano de control interno
Existen documentos donde se evidencia la participación de los bomberos, serenazgo y policía nacional en 6
CONFIDENCIAL
1 me s
3 se ma nas
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
6.1.4. Contacto con grupos de interés
¿La organización mantiene contacto con grupos de interés, foros de especialistas en seguridad o en asociaciones profesionales?
6.1.5. Seguridad de información en la gestión de proyectos
¿Se incluyen y conducen aspectos de seguridad de información en la gestión de proyectos, de acuerdo al tipo de proyecto?
capacitaciones y ante cualquier emergencia. La empresa mantiene contacto con grupos de interés relacionados a su rubro, y PROSEGUR con respecto a la seguridad de nuestra entidad.
100 %
70%
Rev 0.1; 24 - 11 - 2008
Establecer proyecto para mejorar la seguridad de la información.
Alta dirección TI
7 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
6.2. Dispositivos Móviles y Teletrabajo
CONTROL 6.2.1. Política para dispositivo móvil
6.2.2.
Teletrabajo
PREGUNTA ¿Existe una política formal y se han adoptado las medidas de seguridad necesarias para protegerse en contra de los riesgos de utilizar computadores móviles e infraestructura de comunicaciones? ¿Se ha desarrollado una política, unos planes operativos, y unos procedimientos para regular las actividades del teletrabajo?
SI 100%
PARCIAL
NO
N/A
x
Rev 0.1; 24 - 11 - 2008
CONCLUSIÓN Se estableció políticas, y están aprobadas y comunicadas sobre el uso de dispositivos móviles e infraestructura de comunicación
NO APLICA
8 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS 7. SEGURIDAD DE LOS RECURSOS HUMANOS 7.1. Previo al empleo
CONTROL 7.1.1. Investigación de antecedentes
7.1.2. Términos y condiciones del empleo
PREGUNTA ¿Se realizan las verificaciones oportunas de los antecedentes de todos los candidatos para un empleo, de los contratistas y terceras partes, siempre de acuerdo a las leyes y regulaciones vigentes, la ética y siempre de manera proporcional a los requerimientos del negocio, la clasificación de la información a la que accederá y los riesgos percibidos? ¿Se les exige a los empleados, contratistas y terceras partes estar de acuerdo y firmar los términos y condiciones de su contrato de empleo, y este contrato establece las responsabilidades tanto del empleado como las de la organización, en materia de seguridad de la información?
SI 100%
PARCIAL
100%
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN La empresa solicita en la contratación del colaborador, los antecedentes penales, judiciales y policiales, entre otros documentos referidos al puesto de trabajo.
Se tiene contratos estableciendo las funciones y responsabilidades del colaborador y hace énfasis respecto a seguridad de la información.
9 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
7.2. Durante el empleo
CONTROL 7.2.1. Responsabilidades de la gerencia
7.2.2. Concientización, educación y entrenamiento en la seguridad de la información.
7.2.3. disciplinario
Proceso
PREGUNTA ¿La dirección exige a los empleados, contratistas y terceras partes aplicar seguridad de acuerdo con las políticas y procedimientos establecidos por la organización? ¿Los empleados y, cuando es relevante, contratistas y terceras partes, reciben el entrenamiento adecuado sobre concientización en seguridad de la información y se les mantiene actualizados sobre las políticas y procedimientos de la organización que son relevantes para el cumplimiento de las funciones de su trabajo? ¿Existe algún proceso disciplinario formal para tratar con los empleados que infringen la seguridad de la organización?
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN La empresa cuenta con políticas de seguridad de la información. Alta dirección: Establece políticas de seguridad y realiza un enfoque en los empleados, contratistas y terceras partes exigiendo el cumplimiento de estas.
100% El personal recibe capacitaciones centradas en seguridad de la información, haciendo referencia a políticas de seguridad establecidas. Alta dirección RRHH TI
100%
Rev 0.1; 24 - 11 - 2008
Existe un proceso disciplinarios considerando niveles de infracción a las políticas de seguridad de la información.
10 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
7.3. Finalización o cambio de empleo
CONTROL 7.3.1. Finalización de responsabilidades
PREGUNTA ¿Han sido claramente definidas y asignadas las responsabilidades para realizar la finalización de un contrato de trabajo o cambios en el empleo?
SI 100%
PARCIAL
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN Se cuentan con procedimientos de baja de usuario. RIT
11 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
8. GESTION DE ACTIVOS 8.1. Responsabilidad de los activos
CONTROL 8.1.1. Inventario de activos
8.1.2. Propiedad de activos
8.1.3. Uso adecuado de activos
PREGUNTA ¿Todos los activos están identificados de forma clara, y se ha elaborado y mantenido un inventario de todos los activos importantes? ¿Toda la información y activos asociados con la infraestructura para el procesamiento de la información, han sido asignados a un área específica de la organización? ¿Las reglas para el uso correcto de la información y de los activos asociados a la infraestructura para el procesamiento de la información, han sido
SI 100 %
PARCIAL
NO
100%
N/A
CONCLUSIÓN Si se realiza inventario de activos, donde cada área es responsable de la identificación y clasificación de sus activos.
PLAN DE ACCION
AREA
Cada área es responsable de sus activos. Áreas de UTI UREG - UADM
70%
–
Hay reglas para el uso aceptable de la información, activos asociados con la información y con las instalaciones de procesamiento de información.
Rev 0.1; 24 - 11 - 2008
Establecer reglas para el uso de la información y de los activos asociados con la información y con las instalaciones de procesamiento de información.
Alta dirección TI
12 CONFIDENCIAL
1 mes
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
8.1.4. Devolución de activos
identificadas, documentadas e implementadas? ¿Se requiere que todos los empleados, contratistas y usuarios de terceras partes, devuelvan todos los activos de la organización que se encuentren en su posesión en el momento de la terminación del empleo, contrato o acuerdo?
100 %
Existe un procedimiento que los empleados, contratistas y terceras partes que devuelvan los activos de la empresa al finalizar un contrato en el cual se estableció como cláusula de acuerdo.
Rev 0.1; 24 - 11 - 2008
13 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
8.2. CLASIFICACIÓN DE LA INFORMACION
CONTROL 8.2.1. Clasificación de la información
PREGUNTA ¿Se ha clasificado la información con base en su valor, requerimientos legales vigentes, sensibilidad y que tan crítica es para la organización?
8.2.2. Etiquetado de la información
¿Existen adecuados procedimientos de etiquetamiento de la información de acuerdo al esquema de clasificación de la organización?
SI
PARCIAL 70%
70%
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN La información está clasificada parcialmente Alta dirección Administración TI
Se realiza una revisión y clasificación de la información con la que se cuenta, luego de ello realizar un esquema para clasificarla por categorías y niveles de criticidad respecto a la divulgación o modificación no autorizada. Se define procedimientos para realizar el etiquetado de la información de acuerdo a la clasificación de la información en concordancia con el esquema de clasificación de la información.
Alta dirección TI
2 meses
Alta dirección TI
1 mes
14 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS 8.2.3. activos
Manejo
de
¿Se ha desarrollado e implantado un conjunto de procedimientos apropiado para el etiquetado y manejo de la información, de acuerdo con el esquema de clasificación adoptado por la organización?
70 %
Rev 0.1; 24 - 11 - 2008
Los procedimientos para realizar el etiquetado de la información de acuerdo a la clasificación de esta en concordancia con el esquema de clasificación de la información.
Alta dirección TI
15 CONFIDENCIAL
1 mes
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
8.3. Manejo de medios
CONTROL 8.3.1. Gestión los medios removibles
8.3.2. de medios
de
Eliminación
8.3.3. Transferencia de medios físicos
PREGUNTA ¿Existen procedimientos para la administración de los medios removibles?
SI 100 %
PARCIAL
¿Se revisan todos los medios, para asegurarse que ningún tipo de dato sensible o software licenciado haya sido eliminado o sobrescrito con seguridad antes del desecho o reutilización del medio?
70 %
¿Los medios que contienen información,
70%
NO
Rev 0.1; 24 - 11 - 2008
N/A
CONCLUSIÓN Existe un procedimiento para la gestión de los medios removibles en concordancia con la clasificación de información adoptada por la SUNARP Procedimiento de eliminación de cintas backups y TIVS Los procedimientos indican los pasos a seguir para la eliminación de los datos sensibles y reutilización de los medios, el personal solo realiza buenas prácticas e informa al personal a cargo. Existe procedimientos de protección de
PA
Responsable
Tiempo
Establecer y comunicar procedimientos de eliminación de datos sensibles y reutilización de los medios.
Alta dirección Administración TI
2 semanas
Establecer procedimientos protección
Alta dirección Administración TI
2 semanas
de de
16 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS están protegidos en contra del acceso no autorizado, el mal uso o su alteración durante el transporte más allá de los límites físicos de la organización?
medios que contengan información duran el transporte fuera de la empresa, estos deben ser protegidos contra el acceso no autorizado, el mal uso o la corrupción durante el transporte.
Rev 0.1; 24 - 11 - 2008
medios que contengan información duran el transporte fuera de la empresa, estos deben ser protegidos contra el acceso no autorizado, el mal uso o la corrupción durante el transporte.
17 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
9. CONTROL DE ACCESO 9.1. Requerimientos de negocio para el control del acceso
CONTROL 9.1.1. Política de control de acceso
9.1.2. Acceso a redes y servicios de red
PREGUNTA ¿Se ha establecido y documentado una política de control de acceso con base en los requisitos de seguridad y del negocio, y ésta política ha sido ha sido revisada de forma regular? ¿Los usuarios tienen acceso exclusivamente a los servicios a los que se les ha autorizado específicamente?
SI
PARCIAL
NO
N/A
CONCLUSIÓN Procedimientos de altas y bajas de usuarios
100%
Formato de autorización – perfiles por cada trabajador según su labor 100%
Rev 0.1; 24 - 11 - 2008
Los usuarios tienen acceso a la información de acuerdo al área que pertenece.
18 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
9.2. Gestión de accesos de usuarios
CONTROL 9.2.1. Registro de usuarios
9.2.2. Gestión de acceso de usuarios
9.2.3. de los privilegiados
Gestión accesos
9.2.4. Gestión de la información secreta de autenticación 9.2.5. Revisión de los derechos de acceso de los usuarios
PREGUNTA ¿Existe un procedimiento formal de registro y de salida del registro para los usuarios de la organización con el fin de garantizar o revocar el acceso a todos los sistemas de información y servicios? ¿Se restringe y controla la asignación y retiro accesos?
SI 100%
¿Se restringe y controla la asignación y uso de accesos privilegiados? ¿Existen procesos formales de gestión y control de la información de autenticación asignada? ¿Los derechos de acceso de los usuarios, se
100%
PARCIAL
NO
100%
N/A
CONCLUSIÓN Se cuenta con un procedimiento de registro y des registro de usuario al sistema de información
Existe procedimientos para el seguimiento y control de cuentas de usuarios en intervalos regulares. Existe procedimientos para el seguimiento y control de cuentas de administradoras 70%
Si existe procedimientos para el control de autenticación secreta
70%
Existe procedimiento de seguimiento de los privilegios de usuarios
Rev 0.1; 24 - 11 - 2008
Establecer procedimientos para el control de autenticación secreta Realizar un procedimiento de seguimiento
TI
1 semana
TI RRHH
1 semana
19 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS revisan en intervalos regulares de tiempo siguiendo un proceso formal? 9.2.6. de los acceso
Retiro permisos de
¿Una vez se termina el contrato, se retiran inmediatamente todos los derechos de acceso a la información y a la infraestructura para el procesamiento de la información de los empleados, contratistas y terceras partes, o si fuese el caso, se ajustan si hay cambios?
asignados en un intervalo de tiempo definido
100%
de los privilegios de usuarios asignados en un intervalo de tiempo definido
Cuentan con proceso de finalización de contrato.
Rev 0.1; 24 - 11 - 2008
20 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
9.3. Responsabilidades de usuario
CONTROL 9.3.1. Uso información secreta autenticación
de de
PREGUNTA ¿Se requiere que los usuarios sigan buenas prácticas de seguridad en la selección y el uso de información secreta de autenticación?
SI 100 %
Rev 0.1; 24 - 11 - 2008
PARCIAL
NO
N/A
CONCLUSIÓN La empresa si contempla el uso de buenas prácticas de seguridad para el acceso a la información secreta.
21 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
9.4. Control de acceso a la información y las aplicaciones
CONTROL 9.4.1.Rest ricci ón de acc eso a la info rma ción 9.4.2.Pro cedi mie ntos de inici o seg uro de sesi ón 9.4.3.Sist ema de gest ión de cont rase ñas 9.4.4.Uso
PREGUNTA ¿El acceso a las funciones del sistema de información y aplicación, es restringido para los usuarios y personal de soporte, de acuerdo con la política de control de acceso?
SI
100%
¿El acceso a los sistemas operativos está controlado por un procedimiento de inicio de sesión seguro?
100%
¿Los sistemas de gestión de contraseñas son interactivos y aseguran igualmente la calidad de las contraseñas?
100%
¿El
100%
uso
de
programas
de
Rev 0.1; 24 - 11 - 2008
PARCIAL
NO
N/A
CONCLUSIÓN Se Establece políticas de control de acceso, al personal de la empresa de manera que el acceso a la información debe estas restringida de acuerdo a las políticas Se cuentan con inicios de sesión segura
Se Define un patrón de contraseña segura y establecido en las políticas de control de acceso.
22 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS de las utili dad es del sist ema 9.4.5.Con trol de acc eso al códi go fuen te del pro gra ma
usuario capaces de modificar el sistema y los controles de las aplicaciones, está restringido y fuertemente controlado?
¿Está restringido el acceso al código fuente de los programas?
100%
Rev 0.1; 24 - 11 - 2008
Personal de TI (Desarrolladores) de la entidad tiene acceso al código fuente,
23 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
10. CRIPTOGRAFÍA 10.1.
CONTROL 10.1.1. Política en el uso de controles de cifrado
10.1.2. Administración de llaves
Controles criptográficos
PREGUNTA ¿Se ha desarrollado e implementada una política sobre el uso de controles criptográficos para la protección de la información?
SI
¿Se encuentra implantada una gestión de claves para soportar el uso de técnicas criptográficas por parte de la organización?
100 %
PARCIAL 70%
NO
N/A
CONCLUSIÓN La entidad tiene los siguientes controles Tokens, Certificados digitales Autentificación biométrica
Rev 0.1; 24 - 11 - 2008
PA Realizar un seguimiento a los controles criptográficos además de implementar nuevos controles de cifrado.
24 CONFIDENCIAL
TI
1 mes
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
11. SEGURIDAD FÍSICA Y AMBIENTAL 11.1. Áreas seguras
CONTROL 11.1.1. Pe rímetr o de seguri dad física 11.1.2. Co ntrole s físico s de entrad a 11.1.3. Se gurida d en oficin as, cuarto s y edifici os 11.1.4. Pr otecci ón contra
PREGUNTA ¿Se utilizan perímetros de seguridad (barreras como: paredes, puertas de acceso controladas por tarjetas de identidad, puestos de recepción, etc.) para proteger áreas que contengan información e infraestructura para el procesamiento de la información? ¿Están protegidas las áreas seguras por los controles de entrada apropiados para asegurarse de que solamente permiten el acceso de personal autorizado?
SI 100 %
100 %
Existe un control de acceso a las áreas seguras de la organización (ejm: Data center, archivo registral, central de monitoreo
¿Se ha diseñado e implantado un sistema de seguridad física para las oficinas, salas y resto de instalaciones?
100 %
Se cuenta con señalizaciones de acceso restringido y protección o adecuación en algunos ambientes .
¿Se ha sido diseñado y aplicado un sistema de protección física en contra de daños causados por incendios, inundaciones, terremotos,
100 %
El local cuenta con una infraestructura adecuada para soportar algún tipo de desastres naturales.
Rev 0.1; 24 - 11 - 2008
PARCIAL
NO
N/A
CONCLUSIÓN Se cuenta con un centro de datos que aloja los servidores y cuenta con un perímetro de seguridad bien definido, controlado.
25 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS amen azas extern as y ambie ntales 11.1.5. Tra bajo en áreas segur as 11.1.6. Áreas de acceso pública, carga y entrega
explosiones, ataques provocados por personas u otras formas de desastre natural o artificial?
Cuentan con sistemas contra incendios, antirrobos, señalizaciones de salida de emergencia, zona segura y luces de emergencia
¿Se han diseñado y aplicado las guías y medidas de protección adecuadas para trabajar en las áreas seguras?
100 %
¿Los puntos de acceso, tales como áreas de entrega o carga, y otros puntos donde personas no autorizadas puedan tener acceso, son controlados y, si es posible, aislados de las instalaciones para el procesamiento de la información, con el fin de evitar accesos no autorizados?
100 %
Rev 0.1; 24 - 11 - 2008
Se tienen establecidas medidas para el personal sobre el uso adecuado y protección de los equipos en las áreas seguras de la empresa. (archivo registral) Están limitadas las áreas de acceso al público, carga y entrega a través de señalizaciones
26 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
11.2. Equipamiento
CONTROL 11.2.1. Ubicación y protección de equipamiento
PREGUNTA ¿Los equipos están aislados o protegidos con la finalidad de reducir el riesgo de daños, amenazas y accesos no autorizados?
SI 100%
11.2.2. de soporte
Suministros
100%
11.2.3. el cableado
Seguridad
¿Los equipos se encuentran protegidos ante los posibles fallos de electricidad y otras perturbaciones causadas por los fallos en los sistemas de soporte (UPS, Planta eléctrica)? ¿El cableado eléctrico y el de telecomunicaciones, que transmiten datos o soportan servicios de información, están protegidos contra la intercepción o daño?
en
PARCIAL
NO
N/A
CONCLUSIÓN Los equipos que contienen información sensible para la empresa se encuentran en ambientes que están limitados solo para el personal autorizado, debido a la concurrencia de usuarios a la oficina, los equipos se encuentran alejados del público. Se cuenta con UPS Industrial que protegen el data center y el primer piso – hall de atención
100%
Rev 0.1; 24 - 11 - 2008
Si se cumple con estándares definidos para el cableado, el cual se puede observar en los planos de la empresa.
27 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS 11.2.4. de equipos
Mantenimiento
11.2.5. activos
Retiro
11.2.6. los equipos instalaciones
Seguridad de fuera de las
de
11.2.7. Desecho o “reutilización” seguro de los equipos
¿Se hace un mantenimiento correcto de los equipos para asegurar su continua disponibilidad e integridad? ¿Se requiere autorización previa para sacar de la organización equipos, información o software?
100%
La empresa cuenta con un cronograma de mantenimientos.
100%
¿Se aplica la seguridad adecuada los equipos que se encuentran fuera de las áreas pertenecientes a la organización, considerando los riesgos que implica trabajar fuera de las instalaciones de la organización? ¿Se revisan todos los equipos que tengan capacidad de almacenamiento, para asegurarse que ningún tipo de dato sensible o software licenciado haya sido eliminado o sobrescrito con seguridad antes del desecho o
100%
PROCEDIMIENTO PERMISO DE SALIDA Se informa y autoriza la salida del equipo a través de un formato establecido, el cual debe ser autorizado por el administrador Existe políticas e infracciones sobre el uso de los equipos fuera de las instalaciones de la empresa
100%
Rev 0.1; 24 - 11 - 2008
Existe procedimientos para el uso y revisión de los equipos que se reutilizarán y para los equipos que se desecharan
28 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS reutilización equipo?
11.2.8. Equipos usuarios desatendidos
del
de
¿Se requiere que los usuarios se aseguren que los equipos desatendidos tengan la protección adecuada?
11.2.9. Política de escritorio y pantalla limpia
¿Se ha adoptado una política de "escritorio despejado" para los papeles, medios de almacenamiento removibles y una política de "pantalla limpia" en la infraestructura para el procesamiento de información?
70%
100%
Rev 0.1; 24 - 11 - 2008
Se cuentan con un periodo de bloqueo por inactividad en la mayoría de PC, el tiempo de bloqueo es de un periodo de 5 minutos.
Revisar todos los equipos de la empresa e implementar en los que faltan una política de bloqueo para los equipos que se encuentren desatendidos.
TI
Existe una política de escritorio de escritorio limpio de papeles y de medios de almacenamiento removibles, así como una política de pantalla limpia.
29 CONFIDENCIAL
2 semanas
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12. SEGURIDAD DE LAS OPERACIONES 12.1. Responsabilidad y procedimientos operacionales
CONTROL 12.1.1. Procedimientos operacionales documentados
12.1.2. de cambios
Administración
12.1.3. Capacidad
Gestión de la
12.1.4.
Separación de
PREGUNTA ¿Los procedimientos operativos están documentados, mantenidos y puestos a disposición de todos los usuarios que los necesitan? ¿Se controlan los cambios a la infraestructura para el tratamiento de la información y los sistemas? ¿El uso de recursos es monitoreado, afinado y se realizan proyecciones de futuros requisitos de capacidad para asegurar el rendimiento del sistema? ¿Las instalaciones
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Existe los Documentos y procedimientos operativos y está a disposición de todos los usuarios
70%
Si se cuenta con un control de cambios de la infraestructura.
70%
Monitorear el uso de recursos y realizar proyecciones de los futuros requisitos de capacidad para asegurar el desempeño
70%
Sede Central.
Rev 0.1; 24 - 11 - 2008
Mejorar el control los cambios en la entidad, procesos de negocio y sistemas que afecten la seguridad Monitorear el uso de recursos y realizar proyecciones de los futuros requisitos de capacidad para asegurar el desempeño.
Administración TI
1 mes
Alta dirección Administración
1 mes
Alta 30
CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS ambientes
de desarrollo, producción y pruebas están separadas para reducir los riesgos de accesos o cambios en los sistemas operativos no autorizados?
Dirección TI
Rev 0.1; 24 - 11 - 2008
31 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.2. Protección contra código malicioso
CONTROL 12.2.1. Controles contra software malicioso
PREGUNTA ¿Se han implementado controles de detección, prevención y recuperación para protegerse de código malicioso, así como procedimientos apropiados para la concientización de los usuarios sobre éste?
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Plan de contingencia – Plan de continuidad de negocio Se establece controles de detección, prevención, y recuperación para la protección contra código malicioso, implementados en conjunto con la concientización apropiada de a los usuarios.
Rev 0.1; 24 - 11 - 2008
32 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.3. Copias de respaldo
CONTROL 12.3.1. Copia de respaldo de información
PREGUNTA ¿Se realizan las copias de seguridad y se comprueban regularmente conforme a lo establecido en la política acordada?
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Procedimiento de copias de seguridad y restauración Procedimiento de prueba de esfuerzo.
Rev 0.1; 24 - 11 - 2008
33 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.4. Registro y monitoreo
12.4.1. eventos
CONTROL Registro
de
12.4.2. Protección de la información de registros
12.4.3. Registros administrador y operador 12.4.4. de relojes
del
Sincronización
PREGUNTA ¿Los logs de auditoría registran y mantienen las actividades de los usuarios, las excepciones y los eventos de seguridad de la información, durante un periodo de tiempo acordado, con el fin de ser utilizados en investigaciones futuras y monitorear el control de acceso? ¿La infraestructura para los registros y la información de estos registros, son protegidos en contra de acceso forzoso o no autorizado? ¿Las actividades del administrador y del operador del sistema, son registradas? ¿Se encuentran sincronizados todos los relojes de todos los sistemas relevantes de procesamiento de información en la organización o contenidos en el dominio de seguridad, conforme a una
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN ALERT LOG – BD Se registra todos los eventos de actividades, excepciones, fallas y eventos de seguridad de la información y se revisan regularmente
100%
Se cuenta con protección a través de cuenta de usuarios de red y de sistema operativo.
100%
Se Registra las actividades del administrador del sistema en log, y están protegidas y revisadas regularmente. Cada equipo esta sincronizado (servidores) del data center
100%
Rev 0.1; 24 - 11 - 2008
34 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS fuente de confianza?
tiempo
de
Rev 0.1; 24 - 11 - 2008
35 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.5. Control de software operacional
CONTROL 12.5.1. Instalación de software sobre el sistema operativo
PREGUNTA ¿Existen procedimientos para el control de la instalación de software sobre sistemas operacionales?
SI
PARCIAL 70%
NO
N/A
Rev 0.1; 24 - 11 - 2008
CONCLUSIÓN Existe procedimientos para la instalación de un nuevo software y comunicarlas al personal que labora en la empresa
Revisar y dar un seguimiento de todos los nuevos softwares instalados.
TI
3 semanas
36 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.6. Gestión de vulnerabilidades técnicas
CONTROL 12.6.1. Gestión vulnerabilidades técnicas
PREGUNTA de
12.6.2. Restricciones en la instalación de software
¿Se obtiene oportunamente información sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, la exposición a dichas vulnerabilidades es evaluada y se toman las medidas oportunas para tratar el riesgo asociado? ¿Se establecieron e implementaron reglas para la instalación de software por parte de los usuarios?
SI
PARCIAL 70%
100 %
NO
N/A
CONCLUSIÓN Se identifica vulnerabilidades de información, se gestiona un proceso para tratarla, debido a que no han tenido un incidente de este tipo.
PLAN DE ACCION Contratación empresa para aplicar ethical hacking
AREA TI
2 semanas
Se restringe la instalación de software en cada equipo de usuario. Puertos USB y lectoras bloqueadas
Rev 0.1; 24 - 11 - 2008
37 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
12.7. Consideraciones de auditoria de sistemas de información
CONTROL 12.7.1. Controles de auditoría de los sistemas de información
PREGUNTA ¿Los requerimientos y las actividades de auditoría sobre los sistemas operativos, que involucran revisiones, son cuidadosamente planeados y acordados para minimizar el riesgo de perturbar los procesos del negocio?
SI
PARCIAL 70%
NO
Rev 0.1; 24 - 11 - 2008
N/A
CONCLUSIÓN Establecer requisitos de auditoria y actividades que involucran la verificación de los sistemas, y son planificados y acordados para minimizar las interrupciones de los procesos del negocio.
TI
1 semana
38 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
13. SEGURIDAD DE LAS COMUNICACIONES 13.1. Controles en la red
CONTROL 13.1.1. Co ntroles en la red
PREGUNTA ¿La red está adecuadamente administrada y controlada, con el fin de protegerla de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usa la red, incluida la información en
SI
PARCI AL
NO
100 %
N/A
CONCLUSIÓN Existe un control para la protección de la red hacia las amenazas internas y externas y proteger la información de los sistemas y aplicaciones.
Rev 0.1; 24 - 11 - 2008
39 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS tránsito?
13.1.2. Se guridad de servicios de red
13.1.3. gregación redes
Se en
¿Las características de seguridad, los niveles de servicio, y los requerimientos de administración de todos los servicios de red, están identificados e incluidos en los acuerdos con los diferentes proveedores de servicios de red, bien sean internos o externos? ¿Los controles para segregar grupos de dispositivos de información, usuarios y sistemas de información son adecuados?
70%
Identificar e incluir los servicios de red en mecanism os de seguridad
TI
3 semanas
Existe accesos y divisiones a la red definiendo un grupo de redes y restringiendo el acceso a cada uno de ellos.
100 %
Rev 0.1; 24 - 11 - 2008
40 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
13.2. Transferencia de información
CONTROL 13.2.1. Políticas y procedimientos de transferencia de información 13.2.2. transferencia
Acuerdos de
13.2.3. electrónica
Mensajería
13.2.4. Acuerdos de confidencialidad y no revelación
PREGUNTA ¿Hay establecida una política formal de intercambio, procedimientos y controles para proteger el intercambio de información a través de los servicios de comunicación? ¿Se han establecido acuerdos para el intercambio de información y software dentro de la organización y con organizaciones externas? ¿Está adecuadamente protegida la información involucrada en la mensajería electrónica? ¿Los acuerdos de confidencialidad y no revelación reflejan las necesidades de la organización, se documentan y revisan?
SI 100 %
PARCIAL
NO
N/A
CONCLUSIÓN Existe políticas para proteger el intercambio de información a través de los servicios de red – SEDE CENTRAL
100 %
Existe acuerdos para el intercambio de información y software. – SEDE CENTRAL
100 %
La mensajería electrónica se maneja a través de Gmail corporativo. Si se realizan acuerdos de confidencialidad, con sus clientes, colaboradores y proveedores en los cuales se reflejan en los contratos realizados.
100 %
Rev 0.1; 24 - 11 - 2008
41 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN 14.1. Requerimientos de seguridad de los sistemas de información
CONTROL 14.1.1. Análi sis y especific aciones de los requerim ientos de segurida d 14.1.2. Segur idad de servicios aplicativ os sobre redes públicas 14.1.3. Prote cción de transacci ones aplicativ as
PREGUNTA ¿Las declaraciones de los requerimientos del negocio para nuevos sistemas de información o para la mejora de los ya existentes, especifican los requerimientos de los controles de seguridad?
SI
PARCIAL 70%
¿La información disponible a través de un sistema público, se encuentra protegida para asegurar su integridad y prevenir modificaciones no autorizadas?
100 %
La información pública se encuentra protegida de no ser modificada o alterada. SEDE CENTRAL
¿La información involucrada en transacciones on-line, está protegida para prevenir transmisiones incompletas, desvío, modificación no autorizada del mensaje, divulgación no autorizada y para evitar la duplicación o reproducción?
100 %
SEDE CENTRAL
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN Existe los controles de seguridad – Sede Central.
Relacionar los requisitos de seguridad de la información a los nuevos requisitos del sistema de información.
42 CONFIDENCIAL
TI
1 mes
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
14.2. Seguridad en el desarrollo y soporte de procesos
CONTROL 14.2.1. Políti ca de desarroll o seguro 14.2.2. Proce dimiento s de control de cambios 14.2.3. Revisi ón técnica de aplicacio nes después de cambios al sistema operativo 14.2.4. Restri cciones en los cambios a los paquetes de software
PREGUNTA ¿Existen reglas de seguridad para el desarrollo de software? ¿Se utilizan procedimientos de control de cambios formales para controlar la implementación de cambios?
SI
PARCIAL
NO
N/A
CONCLUSIÓN
100 %
SEDE CENTRAL
100 %
Cuenta con un procedimiento de solicitud de cambios a través de un formato establecido con la entidad. SEDE CENTRAL
¿Cuando los sistemas operativos son cambiados, todas las aplicaciones críticas del negocio son revisadas y comprobadas para asegurar que no haya un impacto adverso en las operaciones o la seguridad de la organización?
100 %
Si se revisa previamente los equipos antes de realizar algún cambio y se tienen identificados los equipos en los cuales no se puede realizar ningún cambio o actualización en el sistema operativo.
¿Las modificaciones de los paquetes de software, son desalentadas, limitadas a los cambios necesarios y todos los cambios son estrictamente controlados?
100 %
Las modificaciones de los sistemas son controladas o realizadas por la entidad.
Rev 0.1; 24 - 11 - 2008
43 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS 14.2.5. Princi pios de ingenierí a de sistemas segura 14.2.6. Ambi ente de desarroll o seguro 14.2.7. Desar rollo de software en outsourci ng 14.2.8. Prueb a de segurida d del sistema 14.2.9. Prueb a de aceptaci ón del sistema
¿Se han establecido, documentados, mantenidos y aplicados principios de ingeniería de sistemas segura?
100 %
¿El ambiente de desarrollo está adecuadamente protegido durante el ciclo completo de codificación? ¿El desarrollo de software realizado en outsourcing, está siendo supervisado y monitoreado por la organización?
100 %
¿Se prueban las funcionalidades de seguridad durante el desarrollo?
100 %
¿Se programan pruebas de aceptación para sistemas nuevos o actualizados?
100 %
Sede Central
Sede Central
NO APLICA
SEDE CENTRAL
SEDE CENTRAL
Rev 0.1; 24 - 11 - 2008
44 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
14.3. Datos de prueba
CONTROL 14.3.1. Protecci ón de los datos de prueba del sistema
PREGUNTA ¿Los datos de prueba del sistema están seleccionados cuidadosamente, protegidos y controlados?
SI 100%
PARCIAL
Rev 0.1; 24 - 11 - 2008
NO
N/A
CONCLUSIÓN Se realiza el desarrollo y pruebas de los entregables, personal de la entidad
45 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
15. Relaciones con proveedores 15.1. Seguridad de información en relaciones con el proveedor
CONTROL 15.1.1. Políticas de seguridad de información en las relaciones con el proveedor 15.1.2. Gestión de la seguridad en los acuerdos con el proveedor
15.1.3. Cadena de suministro de tecnología de información y comunicaciones
PREGUNTA ¿Los requerimientos de seguridad de información para mitigar los accesos de proveedores a recursos de la organización están acordados y documentados? ¿Todos los requerimientos relevantes de seguridad de información están establecidos y acordados con cada proveedor que usa componentes de la infraestructura de TI? ¿Los acuerdos con proveedores incluyen requerimientos para gestionar los riesgos de seguridad en la cadena del suministro del servicio o producto?
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Se tiene establecido los accesos en las cláusulas del contrato realizado con el proveedor
100%
Se tiene establecido requerimientos de seguridad de información con los proveedores.
100%
Se tiene establecido los requerimientos para la gestión de riesgo.
Rev 0.1; 24 - 11 - 2008
46 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
15.2. Gestión de servicios por terceras partes
CONTROL 15.2.1. Monitoreo y revisión de los servicios de terceros
15.2.2. Administración de cambios en los servicios de terceros
PREGUNTA ¿Los servicios, informes y registros proporcionados por terceras partes, se monitorizan y revisan de forma regular, y se llevan a cabo auditorias de forma regular? ¿Se gestionan los cambios de provisión de los servicios (incluyendo el mantenimiento y mejora de las políticas existentes, procedimientos y controles de seguridad de la información) tomando en cuenta la criticidad de los sistemas y procesos del negocio implicados y la reevaluación del riesgo?
SI 100%
100%
Rev 0.1; 24 - 11 - 2008
PARCIAL
NO
N/A
CONCLUSIÓN
Se Realiza una auditoría interna y externa para evaluar el cumplimiento de los puntos establecidos por SUNARP
Se cuenta con proveedor siendo este indispensable. (telefónica transmisión de datos) Los demás proveedores podrían ser cambiados.
47 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 16.1. Informes de los eventos de seguridad de la información y vulnerabilidades
CONTROL 16.1.1. Responsabil idades y procedimientos
16.1.2. Reporte de eventos de seguridad de la información
16.1.3. Reporte de debilidades de seguridad
PREGUNTA ¿Se encuentran establecidos las responsabilidades y los procedimientos necesarios para establecer una respuesta rápida, efectiva y ordenada cuando se presentan incidentes de seguridad de la información? ¿Los eventos de seguridad de la información están siendo reportados a los canales de gestión adecuados tan pronto como sea posible? ¿Se requiere que los empleados contratistas y terceras partes, usuarios de sistemas de información, tomen nota y denuncien cualquier vulnerabilidad de
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Existe procedimiento de respuesta ante incidentes de seguridad de la información.
100%
Se reporta el incidente de seguridad
100%
Se reporta el incidente de seguridad.
Rev 0.1; 24 - 11 - 2008
48 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
16.1.4. Evaluación y decisión sobre los incidentes de seguridad de información 16.1.5. Respuesta a incidentes de seguridad de información
16.1.6. Aprender de los incidentes de seguridad de la información
16.1.7. de evidencia
Recolección
seguridad en los sistemas o en los servicios, que observen o sospechen? ¿Los eventos de seguridad de información son evaluados para ver si son clasificados como incidentes? ¿La respuesta a los incidentes de seguridad está de acuerdo a los procedimientos documentados?
¿Existen mecanismos para establecer los tipos, volúmenes y costos referidos a incidentes de seguridad de la información, que deban ser cuantificados y monitorizados? Cuando se presenta una acción de seguimiento en contra de una persona u organización después que un incidente de seguridad de la información implica una acción legal (ya
70%
Se realiza la evaluación de los eventos de seguridad presentados
Capacitar personal materias seguridad de información
al en de la
Alta dirección TI
3 semanas
70%
Se cuentan con procedimientos para la atención de incidentes.
Revisar conjuntamente con las áreas involucradas el procedimiento de respuesta ante incidentes de seguridad de la información.
Alta dirección TI
3 semanas
100% Existe un equipo de trabajo para la cuantificación y monitoreo de incidentes de seguridad de la información – SEDE CENTRAL 100%
Se tienen establecidas acciones legales para alguna incidencia de seguridad de información.
Rev 0.1; 24 - 11 - 2008
49 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS sea criminal o civil): ¿La evidencia, es recogida, retenida y presentada conforme a las reglas para la evidencia colocada en la jurisdicción relevante?
Rev 0.1; 24 - 11 - 2008
50 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
17. ASPECTOS DE SEGURIDAD DE INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO 17.1. Gestión de los aspectos de seguridad de la continuidad del negocio
CONTROL 17.1.1. Planeamient o de la continuidad de la seguridad de información
17.1.2. Implementa ción de la continuidad de la seguridad de información
17.1.3.
Verificación,
PREGUNTA ¿Se ha desarrollado y mantenido un proceso de gestión para la continuidad del negocio de toda la organización que trate los requerimientos de seguridad de la información que se necesitan para la continuidad del negocio de la organización? ¿Se han identificados todos los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad y el impacto de dichas interrupciones, y sus consecuencias para la seguridad de la información? ¿Los planes de
SI 100%
PARCIAL
NO
N/A
100%
CONCLUSIÓN Se cuenta con un plan de continuidad de negocio por el lado del sistema de información. Sede Central
Se tiene un plan de Riesgos Se conoce los eventos que pueden causar interrupciones en el proceso del negocio.
70%
Existen los planes
Rev 0.1; 24 - 11 - 2008
Revisar el presupuesto
Alta Direccion 51
CONFIDENCIAL
1 mes
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS revisión y evaluación de la continuidad de la seguridad de información
continuidad de negocio son probados y modificados para asegurar que son efectivos y se encuentran al día?
de continuidad de negocio.
Rev 0.1; 24 - 11 - 2008
para realizar las pruebas de los planes de continuidad de negocio
TI
52 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
17.2. Redundancias
CONTROL 17.2.1. Disponibil idad de centro de procesamiento de datos
PREGUNTA ¿Las instalaciones para el procesamiento de datos cuentan con la suficiente redundancia para cumplir con los requerimientos de disponibilidad?
SI 100%
Rev 0.1; 24 - 11 - 2008
PARCIAL
NO
N/A
CONCLUSIÓN REDUNDANCIA BASE DE DATOS.
EN
DATA CENTER Concientizar dirección en redundancia a fin de presupuesto fin.
a la alta materias de tecnológica, obtener el para dicho
53 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
18. CUMPLIMIENTO 18.1. Cumplimiento de los requerimientos legales
CONTROL 18.1.1. Identificación de la legislación aplicable
18.1.2. Derechos de propiedad intelectual (IPR)
18.1.3.
Protección
PREGUNTA ¿Todos los requerimientos estatutarios, regulatorios y contractuales, y el enfoque de la organización para cumplir con estos requerimientos, se encuentran explícitamente definidos, documentados y mantenidos al día para cada uno de los sistemas de información y para la organización? ¿Se han implementado los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales respecto al uso de materiales que pudieran estar protegidos por los derechos de propiedad intelectual, e igualmente respecto al uso de productos software propietario? ¿Los registros importantes
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Estos requerimientos se encuentran correctamente definidos, documentados. Los requisitos legislativos, regulatorios y contractuales relevantes deben ser identificados documentados y mantenidos para cada sistema de información
100%
SEDE CENTRAL Se tiene procedimientos establecidos que respetan la propiedad intelectual de los sistemas de información usada
100%
Rev 0.1; 24 - 11 - 2008
Se cuentan con un grado de 54
CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS de los registros
18.1.4. Protección y privacidad de la información personal
18.1.5. Regulación de controles de cifrado
están protegidos de pérdida, destrucción y falsificación, de acuerdo con los requerimientos estatutarios, regulatorios, contractuales y del negocio? ¿Se están aplicando controles para asegurar la protección y la privacidad de los datos, tal y como se requiere por la legislación, regulaciones aplicables y, si fuera el caso, cláusulas contractuales? ¿Se están utilizando controles criptográficos de acuerdo con las leyes, regulaciones y acuerdos relevantes?
protección de la información con la que cuenta la entidad, siguiendo buenas prácticas de manejo y acceso de la información.
100%
100%
Rev 0.1; 24 - 11 - 2008
Se aplican controles que aseguran la protección de datos de acuerdo a reglamentos establecidos en la norma técnica Se debe asegurar la protección de datos personales como se establece en la legislación y regulación relevante. Los control criptográfico como las contraseñas de los usuarios, tokens, certificados digital, tiempo para actualización de contraseñas
55 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
18.2. Revisiones a la seguridad de información
CONTROL 18.2.1. Revisión independiente de seguridad de información
la
18.2.2. Cumplimiento políticas y estándares seguridad
de de
18.2.3. Verificación cumplimiento técnico
del
PREGUNTA ¿Los requerimientos y las actividades de auditoría sobre los sistemas operativos, que involucran revisiones, son cuidadosamente planeados y acordados para minimizar el riesgo de perturbar los procesos del negocio? ¿Los directivos se aseguran que todos los procedimientos de seguridad dentro de su área de responsabilidad, se realizan correctamente para asegurar el cumplimiento con los estándares y políticas de seguridad de la organización? ¿Los sistemas de información son revisados regularmente en cumplimiento de los estándares de implementación de la seguridad?
SI 100%
PARCIAL
NO
N/A
CONCLUSIÓN Se han realizado procesos de auditoria al sistema de información
100%
Existe un compromiso de asegurar los procedimientos de la seguridad de la información
100%
Se realiza la revisión de los sistemas de información con regularidad.
Rev 0.1; 24 - 11 - 2008
56 CONFIDENCIAL
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
3.
NIVEL DE CUMPLIMIENTO
El modelo de gestión de seguridad definido en el estándar establece la necesidad de identificar los requerimientos de seguridad de la información en la organización, y establece una serie de controles que deben ser adoptados para que se logre asegurar que el nivel de riesgo de la información sea llevado a niveles aceptables. Luego del análisis y revisión de seguridad, se puede establecer el nivel de cumplimiento frente a cada dominio de la norma según se detalla en la siguiente tabla: Detalle de Objetivos de Control 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Calificación por Dominio
Política de seguridad de la información Organización de la seguridad de la información Seguridad de los recursos humanos Gestión de activos Control de Acceso Criptografía Seguridad física y ambiental Seguridad de las operaciones Seguridad de las comunicaciones Adquisición, desarrollo y mantenimiento de los sistemas de información Relaciones con proveedores Gestión de incidentes de seguridad de la información Aspectos de seguridad de información en la gestión de continuidad del negocio Cumplimiento
Tabla 1. Conclusiones y nivel de cumplimiento por dominio Como resultado de la calificación general el nivel de cumplimiento respecto de la norma ISO/IEC 27001, corresponde al %.
DIAGNÓSTICO DE SEGURIDAD - GAP ANÁLISIS
4.
CONCLUSIONES
Como resultado del ISO/IEC 27001 Gap Análisis, se puede concluir que el porcentaje actual es regular, considerando que su nivel de cumplimiento alcanzó el NN% respecto de los controles requeridos por la norma. Para mejorar el nivel de cumplimiento con relación a los requerimientos de la norma se realizan las siguientes recomendaciones: .