FASE DE EJECUCIN DISEO DE LISTAS DE CHEQUEO PARA

DETERMINACIN NIVEL DE MADUREZ, PTR Y SOA

DORIAN ALONSO GMEZ BARRIENTOS

Docente
Esp. FRANCISCO NICOLAS SOLARTE

UNVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESPECIALIZACIN EN SEGURIDAD INFORMTICA
MEDELLIN
2017

1
 TABLA DE CONTENIDO

RESUMEN ............................................................................................................................................ 4
ABSTRACT ............................................................................................................................................ 4
INTRODUCCIN ................................................................................................................................... 5
OBJETIVOS ........................................................................................................................................... 6
Objetivo General ............................................................................................................................. 6
Objetivos Especficos ....................................................................................................................... 6
DESARROLLO DE LA ACTIVIDAD .......................................................................................................... 7
Contextualizacin alcance de un Sistema de gestin de seguridad informtica ............................ 7
Alcance ............................................................................................................................................ 9
Contextualizacin declaracin de Aplicabilidad SOA- ................................................................. 10
Declaracin de Aceptabilidad........................................................................................................ 10
Resultados del anlisis aplicado .................................................................................................... 35
LISTA DE CHEQUEO ....................................................................................................................... 40
BIBLIOGRAFIA .................................................................................................................................... 74

2
 LISTA DE FIGURAS

Figura 1. Dominios de norma ISO27001 ...................................................................................... 7

Figura 2 Estado de clasificacin en nmero y porcentaje ................................................................ 35
Figura 3 Estado de Clasificacion en nmeros .................................................................................... 35
Figura 4 Implementacin de procesos .............................................................................................. 36
Figura 5 Implementacion de procesos por reas .............................................................................. 37
Figura 6 Estado por clasificacin ....................................................................................................... 38
Figura 7 Estado por Dominio ............................................................................................................. 39

3
 RESUMEN

Este trabajo tiene como objetivo desarrollar destrezas en el diseo, diagnstico y

puesta en marcha de los sistemas de gestin de seguridad informtica SGSI alineado a la
norma ISO7IE 27000. Parte de la puesta en marcha que es componente fundamental del
proceso Verificar es la auditora y el diagnstico del sistema a implementar o sistema
implementado mediante el diseo de listas de chequeo (PTR) y la declaracin de
aplicabilidad (SOA). Los resultados obtenidos ayudarn con la estabilizacin y la mejora
continua del SGSI.

ABSTRACT
This work has as aim develop skills in the design, diagnosis and putting in playing of
the systems of management of IT security SGSI aligned to the norm ISO7IE 27000. Part of
the putting in playing that is a fundamental component of the process to check is the audit
and the diagnosis of the system to helping or system implemented by means of the design
of lists of checkup (PTR) and the declaration of applicability (SOA). The obtained results will
help with the stabilization and the improvement continues of the SGSI.

4
 INTRODUCCIN

La informacin es uno de los activos que puede adquirir un valor invaluable, es por
esto que se requiere de medidas de proteccin para proteger el acceso a la misma. Parte
de esta proteccin consiste en la implementacin de sistemas de gestin en seguridad
informtica SGSI-.

La puesta en marcha de contramedidas son efectivas con un correcto diagnstico

y auditora en el sistema, el cual contempla el anlisis de riesgos informticos, la
implantacin de controles, las pruebas de campo y el monitoreo permanente de los
procesos enmarcados en unos indicadores de gestin los cuales determinarn la
efectividad y/o cumplimiento del estndares de gestin.

El proceso de auditoria ISO/IEC 27001 requiere de evidencias y registros para

determinar el estado de madurez y acciones de mejoramiento que fortalecen el sistema,
para esto se hace uso de las listas de chequeo y la declaracin de aplicabilidad SOA-.

Es por esto que uno de los mecanismos ms utilizados y ms efectivos son las listas
de chequeo PTR- y la aceptacin de la aplicabilidad de los requisitos- SOA- pues gracias
a estas herramientas en un proceso de auditora permiten generar una radiografa para la
toma de decisiones y correcciones rpidas y eficientes al sistema de gestin de seguridad
de la informacin

5
 OBJETIVOS

Objetivo General
- Dar solucin a cada uno de los puntos planteados en la gua de aprendizaje
de la lista de chequeo y declaracin de aplicabilidad.

Objetivos Especficos
- Elaborar un documento definiendo los alcances del SGSI para la empresa.
- Seleccionar los dominios y controles aplicables de acuerdo a los activos
informticos existentes.
- El disea las listas de chequeo para verificacin del cumplimiento de los
controles de acuerdo a la norma ISO/IEC 27002 para determinar el nivel de
madurez o grado de cumplimiento en porcentaje (%).

6
 DESARROLLO DE LA ACTIVIDAD

Contextualizacin alcance de un Sistema de gestin de seguridad informtica

La delimitacin del alcance permite enmarcar la implementacin de un

sistema de gestin de calidad, pues este determina la viabilidad y aplicabilidad de
mismo, pues un alcance excesivo y ambicioso puede hacer el proyecto inabordable
y en contra posicin un alcance reducido puede dejar brechas en los procesos y
procedimientos y aportara poco para la organizacin.

Un buen alcance abarca a correcta delimitacin de cada uno de los criterios

del negocio: criterios administrativos, misionales y tcnicos. Para esto la norma ISO
tiene definido de manera clara una lista de dominios:

Figura 1. Dominios de norma ISO27001

Fuente: http://4.bp.blogspot.com/

7
 Al determinar el alcance de SGSI se debe tener en cuenta todo el entorno, pues existen
riesgos controlables y no controlables al interior y al exterior de la organizacin En conclusin, el
alcance es la identificacin y la interrelacin de manera clara y medible de los procesos articulados,
relaciones y lmites, con sus respectivas exclusiones, por lo que se debe indicar desde donde inicia
el alcance al SGSI y en donde finaliza y a que partes de la organizacin y terceros involucra.

8
Alcance
El alcance de este proyecto abarca el diseo del sistema de gestin de
seguridad de la informacin cubriendo la fase de implementacin que corresponde
a la etapa de planeacin y aplica para los procesos de gestin tecnolgica para la
nica sede, se incluye la clasificacin de activos de informacin, la valoracin de
riesgos y el proceso de verificacin mediante la declaracin de aplicabilidad y la lista
de chequeo.

Las polticas, registros y procedimientos debern ser cumplidos por los

directivos, funcionarios, contratistas y terceros que brinden sus servicios o tengan
algn tipo de relacin comercial, tcnica o administrativa con la empresa.

9
Contextualizacin declaracin de Aplicabilidad SOA-
La declaracin de aplicabilidad o SOA (por sus siglas en ingls) es la
definicin de cmo se implementar el SGSI. Esta declaracin es el enlace directo
entre el anlisis de riesgos y la implementacin del sistema y se definen cules de
los controles son los que se implementar y en los controles que apliquen el cmo
se implementar.

El portal Web de Advisera (Advisera, s.f.) Explica los motivos por los cuales
se debe realizar el SOA:

Es importante porque con esta declaracin se identific los riesgos

que se necesitan disminuir indicando los motivos: legales,
contractuales, procesos, entre otros.
La declaracin de aplicabilidad es un resumen del resultado del
anlisis de riesgos, de manera que hace que sea ms fcil de
interpretarse.
Mediante el SOA se puede identificar cada control agrupado por
dominios, el tipo de control y si aplica o no.
Sirve como insumo bsico para el auditor y su respectivo plan de
auditora.

Declaracin de Aceptabilidad
Para la declaracin de aceptabilidad se estableci los siguientes estados:
Estado Descripcin
D El control se document e implement
El Control se lleva a cabo y el proceso debe ser
MD documentado para asegurar la repetibilidad del
proceso y mitigar los riesgos.
El control no cumple las normas y debe ser
RD
rediseado para cumplir con las normas
El proceso no est en su lugar / no implementado.
PNP (Control requeridos ni documentado ni
implementado)

El control no es aplicable para la empresa ni para

NA
el negocio

10
Dominio: A.5 Poltica de Seguridad
Objetivo: Para proporcionar a la direccin de gestin y apoyo a la seguridad de la informacin de acuerdo con los
requerimientos del negocio y las leyes y reglamentos pertinentes.

Descripcin del control Status Hallazgos Recomendaciones

5.1.1 Un documento de poltica de seguridad de la informacin deber ser Se evidencia en la Intranet la

aprobado por la administracin, y publicado y comunicado a todos los D poltica de seguridad de la
empleados y colaboradores externos. informacin
5.1.2 La poltica de seguridad de la informacin ser revisada a intervalos Se evidencia en la Intranet la
planificados o si se producen cambios significativos para asegurar su D poltica de seguridad de la
conveniencia, adecuacin y eficacia. informacin

11
Dominio: A.6 Organizacin de la informacin
Objetivo: Para gestionar la seguridad de la informacin dentro de la organizacin
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
Existe la
Gestin apoyar activamente a la seguridad dentro de la
poltica Existe la poltica
organizacin a travs de una direccin clara, demuestra el
A.6.1.1 D dentro del dentro del manual de Se debe realizar la campaa de despiegue
compromiso, la asignacin explcita, y el reconocimiento de las
manual de SI
responsabilidades de seguridad de la informacin.
SI
Actividades de seguridad de informacin estarn coordinadas No Existe
No se tiene el
A.6.1.2 por representantes de diferentes sectores de la organizacin MD evidencia Se debe identficar en el cronograma la jerarquia
cronograma
con un papel relevante y funcin de trabajo.
No Existe Los perfiles no tienen
Todas las responsabilidades de seguridad de la informacin evidencia responsabilidades Se debe incluir en el perfil de cargo el nivel de
A.6.1.3 RD
deben estar claramente definidas. relacionadas con el responsabilidad en relacin con SGSI
SGSI
Un proceso de autorizacin de la administracin para las No Existe
No se tiene el Se debe crear el proceso para la administacin
A.6.1.4 nuevas instalaciones de procesamiento de informacin se PNP evidencia
proceso definido de nuevas instalaciones
define y se aplica.
Requisitos para los acuerdos de confidencialidad o de no Se tienen
divulgacin que reflejen las necesidades de la organizacin para NDA Se revisan NDA de
A.6.1.5 D
la proteccin de la informacin deben ser identificados y Firmados terceros
revisados c on regularidad.
Se mantendrn los contactos apropiados con las autoridades No se tiene No se evidencia Se debe crear listado de contactos y se debe
A.6.1.6 PNP
pertinentes. listado listado actualizar regularmente
Se mantendrn los contactos apropiados con los grupos de N/A N/A N/A
A.6.1.7 inters especial u otros foros de seguridad especializados y NA
asociaciones profesionales.
Cotizacin
El enfoque de la organizacin para la gestin de seguridad de la
de Se tienen
informacin y su aplicacin (es decir, los objetivos de control,
proveedores cotizaciones pero no
controles, polticas, procesos y procedimientos para la
A.6.1.8 RD para Etical se ha realizado Se debe ejecutar auditorias de seguridad
seguridad de la informacin) se revisar de forma independiente
Hacking auditoras ni internas
a intervalos planificados, o cuando se producen cambios
ni externas
significativos en la implementacin de seguridad se producen.
Los riesgos para la informacin y las instalaciones de No se tiene
procesamiento de informacin de la organizacin de los evidencia
Se debe realizar analisis de riesgos a teceros y
A.6.2.1 procesos de negocio relacionados con las partes externas PNP No Existe control
consignar evidencia
deben ser identificados y los controles apropiados
implementados antes de conceder el acceso.
Todos los requisitos de seguridad identificados debern dirigirse No se tiene
Se debe crear procedimiento de ingreso a
A.6.2.2 antes de dar a los clientes el acceso a la informacin o de los PNP evidencia No Existe control
terceros enfocado en 6.2.2
activos de la organizacin.
Acuerdos con terceros relacionados con el acceso, Se tiene una clausula
tratamiento, la comunicacin o la gestin de la informacin o de de confidencialidad
las instalaciones de procesamiento de informacin de la en los contratos
A.6.2.3 RD Contratos de terceros
organizacin, o la adicin de productos o servicios a las
instalaciones de procesamiento de informacin se referirn a
todos los requisitos de seguridad pertinentes.

12
Dominio: A.7 Gestin de Activos
Objetivo: Para lograr y mantener la proteccin adecuada de los activos de la organizacin.

Descripcin del control Estado Evidencia Hallazgos Recomendaciones

Software
Todos los activos deben estar claramente identificados y un GLPI con Se identifica que se
Se recomienda sincronizar los equipos con
A.7.1.1 inventario de todos los activos importantes establecimiento y el D plugin de tiene correctamente
mayor frecuencia
mantenimiento. OCS un inventario
Inventory
En tiene un En los acuerdos de
Toda la informacin y los activos asociados a las instalaciones NDA confidencialidad se
A.7.1.2 de tratamiento de la informacin sern propiedad de una parte MD tiene una clausula
designada de la organizacin. indicando la
propiedad intelectual
No se
Normas para el uso aceptable de la informacin y de los activos
encuentra No se encuentra
A.7.1.3 asociados a las instalaciones de procesamiento de informacin PNP
evidencia evidencia
debern ser identificados, documentados e implementados.

La informacin se clasificar en funcin de su valor, los No se

No se encuentra Se debe determinar una matriz para controlar
A.7.2.1 requisitos legales, la sensibilidad y criticidad para la PNP encuentra
evidencia este punto
organizacin. evidencia
Un conjunto apropiado de procedimientos para el etiquetado de No se
informacin y de tramitacin se desarrollar y ejecutar de encuentra No se encuentra Se debe generar etiquetado de la informarcin
A.7.2.2 PNP
conformidad con el sistema de clasificacin adoptado por la evidencia evidencia son su respectivo control
organizacin.

13
Dominio: A.8 Seguridad de recursos humanos.
Objetivo: Para asegurarse de que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades, y son adecuados para las funciones que se consideran para, y para reducir el riesgo de robo, fraude o
mal uso de las instalaciones.
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
Contrato Se evidencia una
Funciones y responsabilidades de los empleados, contratistas Laboral- clausula de
y usuarios de terceras partes de proteccin se definen y Contrato de confidenciaidad Se debe modificar los contratos para terceros
A.8.1.1 RD
documentan de conformidad con la poltica de seguridad de la Tercero global, pero no est aplicando SGSI
informacin de la organizacin. especificado la
poltica de SGSI
Controles de verificacin de antecedentes de todos los Hoja de Vida-
Se validan las
candidatos a empleo, contratistas y usuarios de terceras partes Formato de
referencias en la
se llevarn a cabo de conformidad con las leyes, regulaciones y validacin de
A.8.1.2 D procuradura y se
tica, y proporcional a los requerimientos del negocio, la referecias
llama a empeos
clasificacin de la informacin que se acceda, y los riesgos
anteriores
percibidos.
Contrato Se tiene unas
Como parte de su obligacin contractual, los empleados,
Laboral- clausulas
contratistas y usuarios de terceras partes se pondrn de
Contrato de compromisorias que
A.8.1.3 acuerdo y firmar los trminos y condiciones de su contrato de D
Tercero hacen relacin a la
trabajo, en el que expondr y responsabilidades de sus de la
confidencialidad de la
organizacin para la seguridad de la informacin.
informacion.
No se tiene
Administracin exigir a los empleados, contratistas y usuarios
evidencia Se debe realizar campaa de despliegue y
A.8.2.1 de terceras partes para aplicar la seguridad de conformidad con PNP No se tiene evidencia
documentacin del proceso
las polticas y procedimientos de la organizacin establecidas
Todos los empleados de la organizacin y, en su caso, los Registro de
Se tiene evidencia de
contratistas y usuarios de terceras partes, debern recibir una capacitacin
capacitacin de una Se debe impartir la capacitacin al 100% de la
A.8.2.2 capacitacin adecuada sensibilizacin y actualizaciones MD
muestra poco poblacin
regulares en las polticas y procedimientos de la organizacin,
significativa
que sea relevante para su funcin de trabajo.
Manual
Se tiene especificado
interno de
una escala de
trabajo
Habr un proceso disciplinario formal para los empleados que sanciones cuando se
A.8.2.3 D
han cometido una infraccin de seguridad. comete alguna
accin que ponga en
riesgo e SGSI
Las responsabilidades para la realizacin de la terminacin del No se tiene
Se debe crear el proceso documentado para el
A.8.3.1 empleo o cambio de empleo, debern estar claramente PNP evidencia No se tiene Evidencia
cese o cambio con sus respectivos registros
definidas y asignadas.
Acta de Se tiene un acta de
Todos los empleados, contratistas y usuarios de terceras Se recomienda depurar el proceso de manera
Entrega entrega pero no todas
A.8.3.2 partes debern devolver todos los activos de la organizacin en MD que se pueda generar un paz y salvo a la
en su totalidad estn
su poder a la terminacin de su empleo, contrato o acuerdo.. persona que se retira
firmadas
Los derechos de acceso de todos los empleados, contratistas Directorio Se identifica que no
y usuarios de terceras partes a las instalaciones de Activo de todos los usuarios
Se debe garantizar el retiro de todos los
A.8.3.3 procesamiento de la informacin y de la informacin del MD Windows retirados son dados
aplicativos
reglamento ser eliminado despus de la terminacin de su de alta en los
empleo, contrato o acuerdo, o se ajustan al cambio. diferentes SI

14
Dominio: A.9 Seguridad Fsica y del Entorno.
Objetivo: Para prevenir el acceso no autorizado fsico, daos e interferencia a las instalaciones y la informacin de la
organizacin.
Permetros de proteccin se Registro de control de
utilizarn (barreras tales como Acceso RBH
paredes, puertas de entrada de la
Permetro de Se evidencia que
tarjeta controlada o mostradores
A9.1.1 seguridad D se tiene control de
de recepcin tripulados) para
fsica ingresos
proteger reas que contienen las
instalaciones de procesamiento de
la informacin y de la informacin.
Las reas seguras quedar Registro de control de
Controles de protegido por entrada apropiada Acceso RBH Se evidencia que
A9.1.2 entradas controles para asegurarse de que D se tiene control de
fsicas se les permite el acceso slo el ingresos
personal autorizado ...
Asegurar La seguridad fsica de las oficinas, Se tienen las
A9.1.3 oficinas, salas habitaciones e instalaciones, se D protecciones
e instalaciones dise y aplic mnimas
Sistema de intrusin, Se tienen
La proteccin fsica contra daos
La proteccin inundacin, elementos de
por incendio, inundacin, Se debe disear la
contra emergencia y de seguridad
terremoto, explosin, disturbios poltica de
A9.1.4 amenazas MD incendios electrnica pero no
civiles, y otros tipos de catstrofes continuidad de
externas y se tiene un plan de
naturales o de origen humano negocio
ambientales continuidad de
debe ser diseada y aplicada.
negocio
Proteccin fsica y pautas para el No se tiene evidencia
Trabajar en No se tiene Se deben establecer
A9.1.5 trabajo en las reas de seguridad PNP
zonas seguras evidencia este tipo de controles
deben ser diseadas y aplicadas.
Los puntos de acceso, tales como
La Zona de cargue
Zonas de las zonas de entrega y de carga y
y descargue est
acceso pblico, otros puntos en los que las
A9.1.6 D lejos de la zona de
de entrega y personas no autorizadas puedan
servidores y de la
de carga entrar los locales se debern
zona restringida
controlar y, si es posible, aislada

15
 de las instalaciones de
procesamiento de informacin
para evitar el acceso no
autorizado.

El equipo deber estar situado o Guaya

Emplazamiento protegido para reducir los riesgos
Se tiene guayas en
A9.2.1 y Proteccin de las amenazas y peligros D
todos los equipos
del equipo ambientales, y las oportunidades
para el acceso no autorizado.
UPS y fuentes de Se tiene UPS,
El equipo deber estar protegida Respaldo Planta y fuentes de
Debe implementar un
Apoyo a los contra fallas de energa y otras respaldo. No
sistema de
A9.2.2 servicios interrupciones causadas por fallas MD cuentan con la
contingencia de
pblicos en el apoyo a los servicios contingencia en
telefona
pblicos. telefona pero si en
Internet
Energa y telecomunicaciones No se tiene Evidencia
cableadas que transporta datos o
Se debe proteger el
seguridad del el apoyo a los servicios de No se tiene
A9.2.3 RD acceso al cableado
cableado informacin deben estar proteccin
expuesto
protegidos contra la interceptacin
o dao.
Plan de Alinear la fase del
El equipo debe mantenerse mantenimiento Se tiene un plan de planear con la fase
El
correctamente para permitir su mantenimiento de ejecucin y tomar
A9.2.4 mantenimiento MD
continua disponibilidad e pero su ejecucin acciones para
del equipo
integridad. no es real garantizar el correcto
mantenimiento
Seguridad se aplicar a los No se tiene evidencia Se debe crear el
Seguridad de No se tiene
equipos fuera de las instalaciones, procedimiento y
los equipos registros de
A9.2.5 teniendo en cuenta los diferentes PNP poltica para la
fuera de las equipos que salen
riesgos de trabajar fuera de los aplicacin de este
instalaciones de las instalaciones
locales de la organizacin. numeral

16
 Todos los elementos del equipo Listado de inventario
que contiene los medios de de software
La eliminacin almacenamiento debern ser Se tiene
Se debe documentar
segura o evaluados para verificar que los parcialmente
A9.2.6 MD y aplicar el proceso
de re-uso de datos sensibles y el software con documentando el
en su totalidad
equipos licencia se han eliminado o proceso
sobrescrito de forma segura antes
de su eliminacin.
Bodega de Sistemas Se tiene control
Equipo, la informacin o el sobre los medios y
Eliminacin de
A9.2.7 software no se tomarn fuera del D licencias de
los equipos
sitio sin la previa autorizacin. instalacin con
software encriptado

17
Dominio: A.10 Gestin de las operaciones y las comunicaciones.
Objetivo: Para asegurar la comunicacin segura y las operaciones de intercambio de informacin

Descripcin del control Estado Evidencia Hallazgos Recomendaciones

Intranet Se evidencian
Los procedimientos de operacin debern
algunos
ser documentados, mantenidos y puestos a Se deben crear y publicar todos
RD procedimientos
disposicin de todos los usuarios que los los procedimientos
documentados
necesitan.
y socializados
Los cambios en las instalaciones y los No se Se debe establecer un
No se tiene
sistemas de procesamiento de informacin PNP tiene procedimiento sobre control de
evidencia
deben controlarse. evidencia cambios
Deberes y reas de responsabilidad deben No se
estar separados para reducir las PNP tiene No se tiene
No se tiene segregacin de
oportunidades de modificacin o mal uso evidencia segregacin
tareas
de los activos de la organizacin no de tareas
autorizado o involuntario.
Estarn separadas de desarrollo, prueba e No se Se trabaja en
instalaciones operacionales para reducir el tiene un nico Se deben separar los entornos
PNP
riesgo de acceso no autorizado o evidencia entorno: de produccin y pruebas
alteraciones en el sistema operativo. Produccin
Se velar por que los controles de Poltica de
seguridad, las definiciones de servicio, y los SLA
Se tiene una
niveles de envo incluidos en el tercer
D poltica de SLA
acuerdo de prestacin de servicios del
definida
partido se implementan, operado y
mantenido por el tercero.
Los servicios, los informes y los registros No se
proporcionados por el tercero debern ser evidencia No se tiene
Se debe implementar el numeral
controlados regularmente y revisados, y las PNP registro monitoreo
10.2.2
auditoras se llevarn a cabo con activo
regularidad.

18
 Los cambios en la prestacin de servicios,
incluido el mantenimiento y la mejora de las
Se tiene
actuales polticas de seguridad de
planeacin de
informacin, procedimientos y controles, se
MD cambios de Se debe crear el procedimiento
gestionarn, teniendo en cuenta la
manera
criticidad de los sistemas y procesos que
superficial
intervienen empresas y re-evaluacin de
los riesgos.
El uso de los recursos deber ser No se
monitoreada, afinado, y proyecciones de evidencia No se tiene Establecer e implementar los
las futuras necesidades de capacidad para PNP registro control ni procedimientos necesarios para
asegurar el rendimiento del sistema procedimientos garantizar las proyecciones
requerido.
No se No se tiene
Los criterios de aceptacin para los nuevos
evidencia registro de
sistemas de informacin, actualizaciones y
registro aceptacin
nuevas versiones sern establecidos y las Crear criterios de aceptacin
PNP adems no se
pruebas adecuadas del sistema) llevaron a con los responsables
tienen
cabo durante el desarrollo y antes de la
responsables
aceptacin.
designados
Se llevarn a cabo la deteccin, prevencin Fortigate
Se tienen
y recuperacin controles de proteccin 80-C
habilitadas las Implementar otras alternativas
contra cdigo malicioso y los MD
opciones del de proteccin y monitoreo
procedimientos apropiados de
UTM
sensibilizacin usuario.
Cuando se autorice el uso de cdigo mvil, No Aplica
la configuracin deber garantizar que el
cdigo mvil autorizado opera de acuerdo
NA No Aplica No Aplica
con una poltica de seguridad claramente
definido, y el cdigo mvil no autorizado
puede ser impedido de ejecutar.
Copias de respaldo de la informacin y Manual de
Se tiene la
software sern tomadas y analizadas con seguridad
D poltica de
regularidad de acuerdo con la poltica de informtica
backups
copia de seguridad acordado.

19
 Redes se gestionarn adecuadamente y Fortigate Realizar anlisis peridicos para
controlados, con el fin de protegerse de las 80-C Se tiene establecer medidas de
amenazas, y para mantener la seguridad monitoreo pero proteccin basado en ataques
MD
de los sistemas y aplicaciones que utilizan no se analiza
la red, incluyendo la informacin en el reporte
trnsito.
Las caractersticas de seguridad, niveles de No se
servicio y los requisitos de gestin de todos tiene
los servicios de la red deben ser evidencia
No se tienen Se deben establecer los
identificados e incluidos en cualquier PNP
controles requisitos de gestin para la red
acuerdo de servicios de red, si estos
servicios se ofrecen en la empresa o
subcontratado.
Manual de Se tiene el
Deber haber procedimientos establecidos seguridad manual pero el Aplicar el control a los medios
MD
para el manejo de los medios extrables. informtica control no se extrables
est aplicando
Medios debern ser desechados de forma No se No se utiliza
segura y sin peligro cuando ya no sea tiene un mecanismo Creacin del procedimiento de
PNP
necesario, utilizando procedimientos evidencia seguro de destruccin de informacin
formales. destruccin
Los procedimientos para el manejo y Manual de
Se tiene el
almacenamiento de la informacin se seguridad
manual pero el
establecern para proteger esta MD informtica Aplicar el control
control no se
informacin contra su divulgacin o uso no
est aplicando
autorizado.
Manual de Se tiene
Documentacin del sistema deben estar seguridad documentado
D
protegidos contra el acceso no autorizado. informtica el proceso de
custodia
Polticas formales de cambio, los No se
procedimientos y los controles debern tienen No se tienen
estar en su lugar para proteger el evidencia poltica de Definir la poltica y la aplicacin
PNP
intercambio de informacin mediante el uso intercambio de de todo el numeral 10.8
de todo tipo de instalaciones de la informacin
comunicacin.

20
 Los acuerdos se establecieron para el No se
tienen No existen Definir la poltica y la aplicacin
intercambio de informacin y software entre PNP
evidencia acuerdos de todo el numeral 10.8
la organizacin y las partes externas.
Los medios que contienen informacin
deben estar protegidos contra el acceso no Se encriptan
Definir la poltica y la aplicacin
autorizado, mal uso o corrupcin durante el RD algunos de los
de todo el numeral 10.8
transporte ms all de los lmites fsicos de datos
una organizacin.
No se No se tiene los
Informacin involucrada en la mensajera Definir la poltica y la aplicacin
PNP tienen respectivos
electrnica ser debidamente preservada. de todo el numeral 10.8
evidencia controles
Las polticas y procedimientos debern ser Fortigate
desarrollados e implementados para 80-C No se tiene los
Definir la poltica y la aplicacin
proteger la informacin asociada a la MD respectivos
de todo el numeral 10.8
interconexin de los sistemas de controles
informacin de negocios.
Informacin involucrado en el comercio Fortigate Se tiene la
electrnico que pasa a travs de redes 80-C proteccin Se debe redoblar la seguridad y
pblicas, sern protegidos de la actividad MD propia del el monitoreo para este tipo de
fraudulenta, disputa de contrato, y la UTM con la conexiones
divulgacin y modificacin no autorizada. funcin IDS
Informacin involucrada en las Tokens
transacciones en lnea debern estar financieros Se hace uso
protegidos para prevenir la transmisin de los
incompleta, mal enrutamiento, alteracin D mecanismos
mensaje no autorizado, la divulgacin no de seguridad
autorizada, la duplicacin de mensajes no SSL y Token
autorizada o la reproduccin.
La integridad de la informacin puesta a No Aplica
disposicin de un sistema de acceso
NA No Aplica
pblico debe ser protegida para evitar la
modificacin no autorizada.
Los registros de auditora de grabacin de No se
las actividades del usuario, excepciones y tiene Generar proceso de auditoras
evidencia No se tienen
eventos de seguridad de informacin se PNP para garantizar el cumplimiento
auditorias
producen y se conservarn durante un de estndares
perodo acordado para ayudar en futuras

21
investigaciones y la vigilancia del control de
acceso.

Procedimientos para el uso de vigilancia de Fortigate

las instalaciones de procesamiento de 80-C Se tiene
Enmarcar el monitoreo activo a
informacin se establecern y los RD monitoreo mas
la auditora
resultados de las actividades de no auditoria
seguimiento de revisiones regulares.
Instalaciones de registro y la informacin de Fortigate
No se analizan Analizar los incidentes de
registro se protegern contra la RD 80-C
los logs seguridad
manipulacin y acceso no autorizado.
Fortigate Se registran
Actividades del administrador del sistema y 80-C los logs pero Analizar los incidentes de
MD
gestor de la red se registrarn. no se seguridad
evidencian
No se
Fallos se registrarn, analizarn y tomarn No se tiene Tomar medidas correctivas,
PNP tiene
las medidas correspondientes. evidencia preventivas y correctivas
evidencia
Los relojes de todos los sistemas de Servidor
Se tiene
procesamiento de informacin pertinentes de
configurado
dentro de una organizacin o dominio de D Windows
por domino
seguridad se pueden sincronizar con una Server
SNTP
fuente horaria exacta acordada.

22
Dominio: A.11 Control de acceso.
Objetivo: Para controlar el acceso a la informacin
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
Se establecer una poltica de control de Manual de Se tiene
acceso, documentado y revisado basado SI documentado
A11.1.1 D
en los requisitos empresariales y de el
seguridad para el acceso. procedimiento
GLPI Se hace
Habr un registro de usuario formal y mediante el
procedimiento de la matrcula en el lugar help desk Registrar todos los cambios
A11.2.1 MD
para otorgar y revocar el acceso a todos pero no aplica de contrasea
los sistemas y servicios de informacin. en todos los
casos
DA Se tienen
La asignacin y el uso de los privilegios Windows privilegios
A11.2.2 D
se limitarn y controlados. Server claros y
establecidos
GLPI Se hace
mediante el
La asignacin de contraseas se
help desk Registrar todos los cambios
A11.2.3 controla a travs de un proceso de MD
pero no aplica de contrasea
gestin formal.
en todos los
casos
La direccin revisar los derechos de GLPI No se tiene
Revisar la matriz de usuarios
A11.2.4 acceso de los usuarios a intervalos RD una revisin
de manera peridica
regulares utilizando un proceso formal. peridica
GPO Se tiene
Los usuarios estarn obligados a seguir
Windows poltica de
A11.3.1 las buenas prcticas de seguridad en la D
Server contraseas
seleccin y uso de contraseas.
seguras
Los usuarios debern asegurarse de GPO La poltica del Garantizar que los equipos
A11.3.2 que el equipo desatendido tiene la RD Windows GPO no est desatendidos se auto
proteccin adecuada. Server aplicando bloqueen

23
 Se adoptarn una poltica de escritorio No se
limpio de papeles y soportes de tiene
almacenamiento extrables y una poltica evidencia
A11.3.3 PNP
de la pantalla clara para las
instalaciones de procesamiento de
informacin.
Los usuarios slo debern disponer de Fortigate
Se controla
acceso a los servicios que han sido 80-C
A11.4.1 D mediante el
especficamente autorizados para su
UTM
uso.
Mtodos de autenticacin adecuados se Fortigate Se controla
A11.4.2 utilizan para controlar el acceso de D 80-C mediante el
usuarios remotos. UTM
Identificacin automtica de los equipos Fortigate Se identifican
se considerar como un medio para 80-C conexiones Analizar las conexiones
A11.4.3 MD
autenticar las conexiones de los lugares pero no se remotas
y equipos especficos. analizan
Se controlar el acceso fsico y lgico a No Aplica
A11.4.4 los puertos de diagnstico y NA No Aplica
configuracin.
Grupos de servicios de informacin, los Cisco
Core Se segmenta Se debe buscar diferentes
A11.4.5 usuarios y los sistemas de informacin MD
por VLAN mecanismos de autenticain
debern estar separados de las redes
Para las redes compartidas, Fortigate
especialmente aquellas que se 80-C Se
extienden a travs de fronteras de la establecen
organizacin, la capacidad de los conexiones Crear poltica de conexiones
A11.4.6 MD
usuarios para conectarse a la red se seguras pero remotas
limitar, en lnea con la poltica y los no se tiene
requisitos de las aplicaciones de negocio poltica
de control de acceso (vase 11.1).
Controles de enrutamiento se aplicarn Fortigate
a las redes para garantizar que las 80-C
Se controla
conexiones de la computadora y los
A11.4.7 D mediante el
flujos de informacin no infringen la
UTM
poltica de control de acceso de las
aplicaciones de negocio.

24
 El acceso a los sistemas operativos se DA
Windows Se tiene
A11.5.1 controla mediante un procedimiento de D
Server control
inicio de sesin seguro.
Todos los usuarios deben tener un DA
identificador nico (ID de usuario) slo Windows
para su uso personal, y una tcnica de Server Se tiene
A11.5.2 D
autenticacin adecuados sern elegidos autenticacion
para corroborar la identidad declarada
de un usuario.
Sistemas de gestin de contraseas DA
Windows Se tiene
A11.5.3 sern interactivos y se asegurarn de D
Server poltica
contraseas de calidad.
El uso de programas utilitarios que GPO
podran ser capaces de sistema y de Windows Se tiene
A11.5.4 D
aplicacin controles primordiales ser server} control
restringido y estrechamente controlado.
GPO Se evidencia
Windows que no se
Sesiones inactivas se cerrarn despus Garantizar que se aplique la
A11.5.5 RD server est
de un perodo definido de inactividad. poltica
aplicando la
poltica
Fortigate No se
Las restricciones a los tiempos de
80-C evidencia las
conexin se utilizan para proporcionar Establecer horarios de
A11.5.6 PNP ventanas de
seguridad adicional para aplicaciones de conexin
tiempo de
alto riesgo.
conexin
El acceso a las funciones de informacin DA
y sistemas de aplicaciones por los Windows
A11.6.1 usuarios y el personal de apoyo se MD
limitar de acuerdo con la poltica de
control de acceso definido.
Sistemas sensibles deben tener un No Aplica
A11.6.2 NA
(aislado) entorno informtico dedicado.

25
 Una poltica formal deber estar en su No Aplica
lugar, y se adoptar medidas de
A11.7.1 seguridad para proteger contra los NA
riesgos del uso de las instalaciones de
computacin mvil y la comunicacin.
Una poltica, planes y procedimientos No Aplica
operativos debern ser desarrollados e
A11.7.2 NA
implementado para las actividades de
teletrabajo.

26
Dominio: A.12 Adquisicin, desarrollo y mantenimiento de SI

Objetivo: Para asegurar que la seguridad es una parte integral de los sistemas de informacin.
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
Declaraciones de los requerimientos del No se No Aplica
negocio para los nuevos sistemas de registra
informacin, o mejoras de los sistemas evidencia
A12.1.1 PNP
de informacin existentes especificarn
los requisitos para los controles de
seguridad.
La entrada de datos a las aplicaciones No Aplica No Aplica
deber ser validada para asegurarse de
A12.2.1 NA
que esta informacin es correcta y
apropiada.
Comprobaciones de validacin debern No Aplica No Aplica
ser incorporadas en las aplicaciones
12.2.2 para detectar cualquier corrupcin de la NA
informacin a travs de los errores de
procesamiento o actos deliberados.
Requisitos para garantizar la No Aplica No Aplica
autenticidad y la proteccin de la
integridad del mensaje en las
12.2.3 NA
aplicaciones deben ser identificados, y
los controles apropiados identificados e
implementados.
La salida de datos desde una aplicacin No Aplica No Aplica
deber ser validada para asegurarse de
12.2.4 que el procesamiento de la informacin NA
almacenada es correcta y adecuada a
las circunstancias.
Una poltica sobre el uso de controles No Aplica No Aplica
criptogrficos para la proteccin de la
A12.3.1 NA
informacin debe ser desarrollado e
implementado
Gestin de claves estar en el lugar para No Aplica No Aplica
12.3.2 apoyar el uso de la organizacin de las NA
tcnicas criptogrficas.

27
 Habr procedimientos para controlar la No Aplica No Aplica
A12.4.1 instalacin de software en los sistemas NA
operativos
Los datos de prueba deben No Aplica No Aplica
A12.4.2 seleccionarse cuidadosamente y NA
protegidos y controlados.
El acceso al cdigo fuente del programa No Aplica No Aplica
A12.4.3 NA
se limitar.
La implementacin de los cambios se No Aplica No Aplica
controla mediante el uso de
A12.5.1 NA
procedimientos formales de control de
cambios.
Cuando se cambian los sistemas No Aplica No Aplica
operativos, aplicaciones crticas de
negocio deben ser revisados y probados
A12.5.2 NA
para asegurar que no hay impacto
negativo en las operaciones de la
organizacin o de la seguridad.
Las modificaciones a los paquetes de No Aplica No Aplica
software se pondrn trabas, otros, las
A12.5.3 modificaciones necesarias, y todos los NA
cambios deben ser estrictamente
controlados.
Se impedir Oportunidades para la fuga No Aplica No Aplica
A12.5.4 NA
de informacin.
Desarrollo de software externalizado No Aplica No Aplica
A12.5.5 ser supervisado y controlado por la NA
organizacin
La informacin oportuna acerca de las No Aplica No Aplica
vulnerabilidades tcnicas de los sistemas
de informacin que se utilizan se
A12.6.1 obtiene, la exposicin de la organizacin NA
a tales vulnerabilidades evaluado y
tomado las medidas adecuadas para
hacer frente a los riesgos asociados.

28
Dominio: A.13 Gestin de los incidentes de la seguridad de la informacin
Objetivo: Para garantizar la seguridad de la informacin de eventos y debilidades asociadas a los sistemas de
informacin se comunican de una manera que permite acciones correctivas oportunas que deban tomarse.
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
GLPI Se tiene el
Los eventos de seguridad de procedimiento
informacin se comunicarn a travs de establecido
A13.1.1 D
canales de gestin adecuadas tan para la
pronto como sea posible. gestin de
incidentes
Todos los empleados, contratistas y GLPI
usuarios de terceras partes de los
Se reportan
sistemas y servicios de informacin
los incidentes
A13.1.2 estarn obligados a observar y reportar D
por el Help
cualquier debilidad de seguridad que
Desk
observen o sospechen en los sistemas o
servicios.
Responsabilidades y procedimientos de GLPI Se deben establecer los
No se tiene
manejo debern ser establecidos para canales y recursos para
una
A13.2.1 asegurar una respuesta rpida, eficaz y RD garantizar una mayor
respuesta
ordenada a los incidentes de seguridad oportunidad en relacin con
inmediata
de la informacin. los incidentes de seguridad
Habr mecanismos que permitan a los No se Se tiene la
tipos, volmenes y costos de los tiene herramienta
Se debe desplegar la
A13.2.2 incidentes de seguridad de la PNP evidencia de anlisis de
herramienta de anlisis
informacin para ser cuantificados y impacto pero
controlados. no se usa
Cuando una accin de seguimiento GLPI
contra una persona u organizacin
despus de un incidente de seguridad
Se preservan
A13.2.3 de informacin implica una accin D
las evidencias
jurdica (civil o penal), se percibir la
evidencia, conservado, y se present a
cumplir con las reglas para la prueba

29
prevista en la jurisdiccin
correspondiente (s ).

30
Dominio: A.14 Gestin de la continuidad de negocio
Objetivo: Para contrarrestar las interrupciones a las actividades comerciales y proteger los procesos crticos de
negocio de los efectos de los fallos principales de los sistemas de informacin o los desastres y asegurar su oportuna
reanudacin.
Descripcin del control Estado Evidencia Hallazgos Recomendaciones
Un proceso gestionado se desarrolla y No se
se mantiene la continuidad del negocio tiene
No se tiene
en toda la organizacin que se ocupa de evidencia
plan de
A14.1.1 los requisitos de seguridad de la PNP
continuidad
informacin necesaria para la
de negocio
continuidad del negocio de la
organizacin.
Los eventos que pueden causar No se
interrupciones en los procesos de tiene No se tiene
negocio deben ser identificados, junto evidencia plan de
A14.1.2 PNP
con la probabilidad y el impacto de estas continuidad
interrupciones y de sus consecuencias de negocio
para la seguridad de la informacin.
Los planes debern desarrollarse y No se
aplicarse para mantener o restaurar las tiene
No se tiene
operaciones y asegurar la disponibilidad evidencia
plan de
A14.1.3 de informacin al nivel requerido y en las PNP
recuperacin
escalas de tiempo requeridas siguientes
de desastres
a la interrupcin o el fracaso de los
procesos crticos de negocio.
Deber mantenerse un nico marco de No se
los planes de continuidad del negocio tiene
No se tiene
para asegurar que todos los planes son evidencia
plan de
A14.1.4 consistentes, para abordar de manera PNP
continuidad
coherente los requisitos de seguridad de
de negocio
la informacin, y para identificar las
prioridades de prueba y mantenimiento.

31
 Los planes de continuidad debern ser No se No se tiene
probados y actualizados regularmente tiene plan de
A14.1.5 PNP
para asegurarse de que estn al da y evidencia continuidad
efectivo. de negocio

32
Dominio: A.15 Cumplimiento
Objetivo: Para evitar el rebasamiento de cualquier ley, obligaciones legales, reglamentarias o contractuales, y de los
requisitos de seguridad.

Descripcin del control Estado Evidencia Hallazgos Recomendaciones

Todos los requisitos legales, Matriz
reglamentarios y contractuales Legal
pertinentes y por el enfoque de la
La matriz
organizacin para cumplir con estos
A15.1.1 MD legal no est Actualizar la matriz legal
requisitos se definirn explcitamente,
actualizada
documentados, y se mantienen al da
para cada sistema de informacin y la
organizacin.
Procedimientos apropiados se aplicarn
para garantizar el cumplimiento de
requisitos legales, reglamentarios y
Se protege
contractuales sobre el uso de material
A15.1.2 D los derechos
con respecto al cual puede haber
de autor
derechos de propiedad intelectual y
sobre el uso de productos de software
propietario.
Poltica de Se tiene una
Registros importantes estarn protegidos
backups poltica de
contra prdida, destruccin y
backup pero Proteger de manera segura
A15.1.3 falsificacin, de acuerdo con los MD
debe los registros
requisitos legales, reglamentarios,
ampliarse el
contractuales y de negocios.
alcance
Poltica de Se tiene una
Proteccin de datos y privacidad se
proteccin poltica de
garantizar como se requiere en la
A15.1.4 D de datos proteccin
legislacin pertinente, los reglamentos, y,
de datos
si procede, las clusulas contractuales.
desplegada

33
 Se controla
Los usuarios se decidan a utilizar las
de manera Generar mecanismos
A15.1.5 instalaciones de procesamiento de MD
superflua los efectivos de control
informacin para fines no autorizados.
accesos
Protocolos La
Controles criptogrficos sern utilizados seguros: informacin
A15.1.6 en cumplimiento de todos los acuerdos, D SSL, se transmite
leyes y reglamentos. Https de manera
segura
Administradores se asegurarn de que No se
todos los procedimientos de seguridad tiene
dentro de su rea de responsabilidad se evidencia Se debe asegurar este
A15.2.1 RD
llevan a cabo correctamente para lograr numeral
el cumplimiento con las polticas y
estndares de seguridad.
Los sistemas de informacin deben ser No se
No se
revisados regularmente por el tiene Se debe realizar auditoras
A15.2.2 PNP realizan
cumplimiento de las normas de evidencia peridicas a los SI
auditoras
aplicacin de la seguridad.
Requisitos de auditora y las actividades No se
relacionadas con los controles de los tiene
sistemas operativos debern ser evidencia No se
Se debe realizar auditoras
A15.3.1 planeadas cuidadosamente y acordaron PNP realizan
perimidas a los SI
reducir al mnimo el riesgo de auditoras
interrupciones en los procesos de
negocio.
El acceso a las herramientas de No se
No se
auditora de sistemas de informacin tiene Se debe realizar auditoras
A15.3.2 PNP realizan
debe ser protegido para evitar cualquier evidencia perimidas a los SI
auditoras
posible mal uso o el compromiso.

34
Resultados del anlisis aplicado
Figura 2 Estado de clasificacin en nmero y porcentaje

Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmero y

porcentaje

4, 4%
0, 0%

18, 15%
11, 9%

85, 72%

Proceso Cumple con la norma y esta documentado

Proceso se lleva a cabo y se debe documentar
Proceso no cumple con la norma y debe ser rediseado
Proceso no est en su lugar / no esta implementado
Proceso no es aplicable

Fuente: El Autor
Figura 3 Estado de Clasificacin en nmeros

Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmeros

100
85
80

60

40
18
20 11
4 0
0
Proceso Cumple Proceso se lleva a Proceso no cumple Proceso no est en Proceso no es
con la norma y esta cabo y se debe con la norma y su lugar / no esta aplicable
documentado documentar debe ser implementado
rediseado

Fuente: El Autor

35
 Figura 4 Implementacin de procesos

Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y

documentado

100%
90%
80%
70%
In Percent

60%
50%
40%
30%
20%
10%
0%

Fuente: El Autor

36
 Figura 5 Implementacin de procesos por reas

Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y

documentado
100%

90%

80%
Compliance percentage

70%

60%
Conformidad %
50%
Meta
40%

30%

20%

10%

0%

Fuente: El Autor

37
 Figura 6 Estado por clasificacin

ISO 27001:2005 Controles Apndice-A Implementacin Estado por la

Clasificacin en nmero y porcentaje

7, 5% 23, 17%
5, 4%
49, 37%

49, 37%

Controles documentados e implementados

Controles implementados deben ser documentados
Controles implementados no cumplen con las normas, tiene que redisear
Control no implementado y documentado
Controles no aplicados

Fuente: El Autor

38
 0%
20%
40%
60%
80%
100%
Politica de 120%
Seguridad
Organizacin de
la seguridad
Gestin de
Activos
La seguridad de
los recursos
La seguridad
fisica y ambiental
Gestin de
Comunicacin
Control de
Acceso
Adquisicin de

Fuente: El Autor
sistemas de
Figura 7 Estado por Dominio

Gestin de
incidentes de
Gestin de
continuidad del

Conformidad
Apendice A - Controles Implementacin - Estado por dominio

Meta
Conformidad %

39
LISTA DE CHEQUEO

Numeral Ttulo de control Descripcin del Status Lista de Chequeo

Norma control
A.5 Poltica de Seguridad
A5.1 Informacin Poltica de Seguridad
Un documento de
poltica de
seguridad de la
informacin deber
Documento de ser aprobado por la
Se encuentra
Poltica de administracin, y
A.5.1.1 D publicada la poltica de
seguridad de la publicado y
Informacin
informacin comunicado a
todos los
empleados y
colaboradores
externos.
La poltica de
seguridad de la
informacin ser
revisada a
intervalos
Revisin de la Se encuentra
planificados o si se
A.5.1.2 Poltica de D publicada la poltica de
producen cambios
Seguridad Informacin
significativos para
asegurar su
conveniencia,
adecuacin y
eficacia.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin Interna
Gestin apoyar
activamente a la
seguridad dentro
de la organizacin
a travs de una
direccin clara,
Compromiso de la Existen polticas claras
demuestra el
direccin de por parte de la alta
A.6.1.1 compromiso, la D
seguridad de la direccin en relacin
asignacin
informacin al SGSI?
explcita, y el
reconocimiento de
las
responsabilidades
de seguridad de la
informacin.

40
 Actividades de
seguridad de
informacin estarn
Existe un organigrama
coordinadas por
Coordinacin de la donde se evidencie los
representantes de
A.6.1.2 seguridad de MD cargos asignados con
diferentes sectores
informacin la confidencialidad de
de la organizacin
la informacin?
con un papel
relevante y funcin
de trabajo.
Todas las
La asignacin de Se debe validar un
responsabilidades
las perfil del cargo y all
de seguridad de la
A.6.1.3 responsabilidades RD deben estar las
informacin deben
de seguridad de la responsabilidades en
estar claramente
informacin relacion al SGSI
definidas.
Un proceso de
autorizacin de la
Proceso de
administracin para
autorizacin para Se tiene el proceso
las nuevas
A.6.1.4 instalaciones de PNP documentado para las
instalaciones de
procesamiento de nuevas instalaciones
procesamiento de
informacin
informacin se
define y se aplica.
Requisitos para los
acuerdos de
confidencialidad o
de no divulgacin
que reflejen las Se tienen NDA
Los acuerdos de necesidades de la creados y
A.6.1.5 D
confidencialidad organizacin para debidamente
la proteccin de la identificados?
informacin deben
ser identificados y
revisados con
regularidad.
Se mantendrn los
Se tiene un listado de
contactos
Contacto con las contactos de las
A.6.1.6 apropiados con las PNP
autoridades autoridades de
autoridades
manera actualizada?
pertinentes.
Se mantendrn los N/A
contactos
apropiados con los
Contacto con grupos de inters
A.6.1.7 grupos de inters especial u otros NA
especial foros de seguridad
especializados y
asociaciones
profesionales.

41
 El enfoque de la
organizacin para
la gestin de
seguridad de la
informacin y su
aplicacin (es
decir, los objetivos
de control,
controles, polticas,
procesos y
Revisiones
procedimientos
independientes de Validar informes de
para la seguridad
A.6.1.8 la policita de RD auditoras internas o
de la informacin)
seguridad de la externas
se revisar de
informacin
forma
independiente a
intervalos
planificados, o
cuando se
producen cambios
significativos en la
implementacin de
seguridad se
producen.
A6.2 Partes Externas
Los riesgos para la
informacin y las
instalaciones de
procesamiento de
informacin de la
organizacin de los
Identificacin de los procesos de
riesgos negocio
Se realiza Anlisis de
A.6.2.1 relacionados con relacionados con PNP
Riesgos a terceros?,
los agentes las partes externas
externos deben ser
identificados y los
controles
apropiados
implementados
antes de conceder
el acceso.
Todos los
requisitos de
seguridad Existe un registro de
identificados ingreso con las
Abordar la
debern dirigirse caractersticas
A.6.2.2 seguridad cuando PNP
antes de dar a los requeridas para
se trata de clientes
clientes el acceso a conceder permiso a
la informacin o de terceros
los activos de la
organizacin.

42
 Acuerdos con
terceros
relacionados con el
acceso,
tratamiento, la
comunicacin o la
gestin de la
informacin o de
las instalaciones de
Abordar la procesamiento de
Se tienen definidos en
seguridad en los informacin de la
A.6.2.3 RD los contratos de
contratos de organizacin, o la
terceros un SGSI
terceros adicin de
productos o
servicios a las
instalaciones de
procesamiento de
informacin se
referirn a todos
los requisitos de
seguridad
pertinentes.
A.7 Gestin de Activos

A.7.1 La responsabilidad de los activos

Todos los activos

deben estar
claramente
identificados y un
Inventarios de Se tienen inventario
A.7.1.1 inventario de todos D
Activos de Activos?
los activos
importantes
establecimiento y el
mantenimiento.
Toda la informacin
y los activos
asociados a las
instalaciones de Se tiene responsahle
Propiedad de
A.7.1.2 tratamiento de la MD de cada activo con su
Activos
informacin sern respectiva evidencia
propiedad de una
parte designada de
la organizacin.
Normas para el uso
aceptable de la
informacin y de
los activos
Uso aceptables de asociados a las Existen controles para
A.7.1.3 PNP
los activos instalaciones de uso de activos
procesamiento de
informacin
debern ser
identificados,

43
 documentados e
implementados.

A.7.2 clasificacin de la informacin

La informacin se
clasificar en
funcin de su valor,
Existe una matriz de
directrices de los requisitos
A.7.2.1 PNP clasificacin de
clasificacin legales, la
requisitos legales
sensibilidad y
criticidad para la
organizacin.
Un conjunto
apropiado de
procedimientos
para el etiquetado
de informacin y de
Etiquetado de la tramitacin se Se encuentra
A.7.2.2 informacin y la desarrollar y PNP etiquetada toda la
manipulacin ejecutar de informacin
conformidad con el
sistema de
clasificacin
adoptado por la
organizacin.
A.8 La seguridad de los recursos humanos

A.8.1 Antes del Empleo

Funciones y
responsabilidades
de los empleados,
contratistas y En el perfil de cargo
usuarios de est definidas de
Roles y
A.8.1.1 terceras partes de RD manera clara las
Responsabilidades
proteccin se funciones y
definen y responsabilidades?
documentan de
conformidad con la
poltica de

44
 seguridad de la
informacin de la
organizacin.

Controles de
verificacin de
antecedentes de
todos los
candidatos a
empleo,
contratistas y
usuarios de
terceras partes se
llevarn a cabo de Existe evidencia de la
A.8.1.2 Proyeccin conformidad con D investigacin de
las leyes, antecedentes
regulaciones y
tica, y
proporcional a los
requerimientos del
negocio, la
clasificacin de la
informacin que se
acceda, y los
riesgos percibidos.
Como parte de su
obligacin
contractual, los
empleados,
contratistas y
usuarios de
terceras partes se
pondrn de Se tiene una clusula
Trminos y acuerdo y firmar los de confidencialidad y
A.8.1.3 condiciones del trminos y D de derechos de autor,
empleo condiciones de su comerciales y
contrato de trabajo, patrimoniales?
en el que expondr
y
responsabilidades
de sus de la
organizacin para
la seguridad de la
informacin.

45
A.8.2 Durante el empleo

Administracin
exigir a los
empleados,
contratistas y
usuarios de Se tiene evidencia de
terceras partes que las
Gestin de
A.8.2.1 para aplicar la PNP responsabilidades son
responsabilidades
seguridad de socializadas con los
conformidad con terceros
las polticas y
procedimientos de
la organizacin
establecidas
Todos los
empleados de la
organizacin y, en
su caso, los
contratistas y
usuarios de
terceras partes,
Concienciacin debern recibir una
sobre la seguridad capacitacin
Se tiene evidencia de
A.8.2.2 de la informacin, la adecuada MD
las capacitaciones
educacin y la sensibilizacin y
formacin actualizaciones
regulares en las
polticas y
procedimientos de
la organizacin,
que sea relevante
para su funcin de
trabajo.
Habr un proceso Se tiene un
disciplinario formal procedimiento
Proceso para los empleados documentado o se
A.8.2.3 D
Disciplinario que han cometido tiene en el manual
una infraccin de interno de trabajo la
seguridad. escala de sanciones

46
A.8.3 El termino o cambio de empleo

Las
responsabilidades
para la realizacin
de la terminacin
Se tiene documentado
Termino de del empleo o
A.8.3.1 PNP el proceso de cese o
responsabilidades cambio de empleo,
cambio?
debern estar
claramente
definidas y
asignadas.
Todos los
empleados,
contratistas y
usuarios de
terceras partes
SE tiene un registro
Retorno de los debern devolver
A.8.3.2 MD que certifique la
activos todos los activos de
devolucin de activos?
la organizacin en
su poder a la
terminacin de su
empleo, contrato o
acuerdo..
Los derechos de
acceso de todos
los empleados,
contratistas y
usuarios de
terceras partes a
las instalaciones de
procesamiento de Se retiran los
Eliminacin de los
A.8.3.3 la informacin y de MD privilegios a cada
derechos de acceso
la informacin del usuario retirado
reglamento sern
eliminados
despus de la
terminacin de su
empleo, contrato o
acuerdo, o se
ajustan al cambio.
A.9 La seguridad fsica y ambiental

A9.1 reas Seguras

47
 Permetros de
proteccin se
utilizarn (barreras
tales como
paredes, puertas
de entrada de la
Existen control de
tarjeta controlada o
acceso o puertas de
Permetro de mostradores de
A9.1.1 D seguridad para
seguridad fsica recepcin
impedir el acceso a
tripulados) para
reas no autorizadas?
proteger reas que
contienen las
instalaciones de
procesamiento de
la informacin y de
la informacin.
Las reas seguras
quedar protegido
por entrada
apropiada controles
Controles de Se tiene registro de
A9.1.2 para asegurarse de D
entradas fsicas los ingresos
que se les permite
el acceso slo el
personal
autorizado...
La seguridad fsica
Asegurar oficinas, de las oficinas, Se tiene controles de
A9.1.3 salas e habitaciones e D acceso, UPS y
instalaciones instalaciones, se personal de vigilancia
dise y aplic
La proteccin fsica
contra daos por
incendio,
inundacin,
terremoto, Se tiene sensores de
La proteccin contra explosin, humo, inundacin y
A9.1.4 amenazas externas disturbios civiles, y MD plan de contingencia
y ambientales otros tipos de en caso de un evento
catstrofes catastrfico
naturales o de
origen humano
debe ser diseada
y aplicada.
Proteccin fsica y
pautas para el
trabajo en las reas
Trabajar en zonas Se tiene proteccin
A9.1.5 de seguridad PNP
seguras para las reas seguras
deben ser
diseadas y
aplicadas.

48
 Los puntos de
acceso, tales como
las zonas de
entrega y de carga
y otros puntos en
los que las
personas no
Zonas de acceso autorizadas puedan Se tiene controles en
A9.1.6 pblico, de entrega entrar los locales D las zonas de cargue o
y de carga se debern descargue
controlar y, si es
posible, aislada de
las instalaciones de
procesamiento de
informacin para
evitar el acceso no
autorizado.

A9.2 Seguridad de los equipos

El equipo deber
estar situado o
protegido para
reducir los riesgos
Emplazamiento y Se tienen proteccin
de las amenazas y
A9.2.1 Proteccin del D con guayas a los
peligros
equipo equipos
ambientales, y las
oportunidades para
el acceso no
autorizado.
El equipo deber
estar protegida
Se tiene UPS, fuentes
contra fallas de
de respaldo o planta
Apoyo a los energa y otras
A9.2.2 MD electica, lneas
servicios pblicos interrupciones
telefnicas de
causadas por fallas
contingencia
en el apoyo a los
servicios pblicos.
Energa y
telecomunicaciones
cableadas que
transporta datos o
el apoyo a los
seguridad del Se tiene el cableado
A9.2.3 servicios de RD
cableado protegido
informacin deben
estar protegidos
contra la
interceptacin o
dao.
El equipo debe
Se tiene y se aplica un
El mantenimiento mantenerse
A9.2.4 MD plan de
del equipo correctamente para
mantenimiento?
permitir su continua

49
 disponibilidad e
integridad.

Seguridad se
aplicar a los
equipos fuera de
Se tiene un control de
Seguridad de los las instalaciones,
los equipos que estn
A9.2.5 equipos fuera de las teniendo en cuenta PNP
fuera de las
instalaciones los diferentes
instalaciones
riesgos de trabajar
fuera de los locales
de la organizacin.
Todos los
elementos del
equipo que
contiene los
medios de
almacenamiento
Se tiene proteccin de
La eliminacin debern ser
Pendrives, USB,
segura o evaluados para
A9.2.6 MD Discos duros para
de re-uso de verificar que los
evitar la fuga de
equipos datos sensibles y el
informacin
software con
licencia se ha
eliminado o
sobrescrito de
forma segura antes
de su eliminacin.
Equipo, la
informacin o el Se tiene controles
Eliminacin de los software no se sobre las licencias de
A9.2.7 D
equipos tomarn fuera del uso y sus medios de
sitio sin la previa instalacin?
autorizacin.
A10 Gestin de Comunicacin y Operaciones

A10.1 Procedimientos y responsabilidades operacionales

Los procedimientos
de operacin
debern ser
Procedimientos Existen
documentados,
operacionales, procedimientos
A10.1.1 mantenidos y RD
adecuadamente documentados y
puestos a
documentados socializados
disposicin de
todos los usuarios
que los necesitan.
Los cambios en las
instalaciones y los
sistemas de Se tiene control sobre
A10.1.2 Gestin del Cambio PNP
procesamiento de los cambios?
informacin deben
controlarse.

50
 Deberes y reas de
responsabilidad
deben estar
separados para
reducir las
La segregacin de Las tareas son
A10.1.3 oportunidades de PNP
funciones segregadas
modificacin o mal
uso de los activos
de la organizacin
no autorizado o
involuntario.
Estarn separadas
de desarrollo,
prueba e
Separacin de instalaciones
Se tienen diferentes
desarrollo, prueba e operacionales para
A10.1.4 PNP entornos de manera
instalaciones reducir el riesgo de
independiente?
operacionales acceso no
autorizado o
alteraciones en el
sistema operativo.

A10.2 Gestin de entrega de servicios de terceros

Se velar por que

los controles de
seguridad, las
definiciones de
servicio, y los
niveles de envo
incluidos en el
Se tienen polticas de
A10.2.1 Servicio de entrega tercer acuerdo de D
SLA
prestacin de
servicios del
partido se
implementan,
operado y
mantenido por el
tercero.
Los servicios, los
informes y los
registros
proporcionados por
El seguimiento y la
el tercero debern
revisin de los Se monitorean los
A10.2.2 ser controlados PNP
servicios de servicios
regularmente y
terceros
revisados, y las
auditoras se
llevarn a cabo con
regularidad.

51
 Los cambios en la
prestacin de
servicios, incluido
el mantenimiento y
la mejora de las
actuales polticas
de seguridad de
informacin,
Gestin de cambios procedimientos y
A10.2.3 en los servicios de controles, se MD Se planea los cambios
terceros gestionarn,
teniendo en cuenta
la criticidad de los
sistemas y
procesos que
intervienen
empresas y re-
evaluacin de los
riesgos.
A10.3 Planificacin y aceptacin del sistema
El uso de los
recursos deber
ser monitoreada,
afinado, y Existe el control sobre
proyecciones de las capacidades de
gestin de la
A10.3.1 las futuras PNP manera que garantice
capacidad
necesidades de las nuevas
capacidad para implementaciones
asegurar el
rendimiento del
sistema requerido.
Los criterios de
aceptacin para los
nuevos sistemas
de informacin,
actualizaciones y
Se tiene
nuevas versiones
la aceptacin del procedimientos y
A10.3.2 sern establecidos PNP
sistema registros de
y las pruebas
aceptacin
adecuadas del
sistema) llevaron a
cabo durante el
desarrollo y antes
de la aceptacin.
A10.4 Proteccin contra cdigo malicioso y mvil
Se llevarn a cabo
la deteccin,
Se tienen las
prevencin y
protecciones y el
Controles contra recuperacin
A10.4.1 MD monitoreo de
cdigo malicioso controles de
inyeccin de cdigo
proteccin contra
malicioso
cdigo malicioso y
los procedimientos

52
 apropiados de
sensibilizacin
usuario.

Cuando se autorice
el uso de cdigo
mvil, la
configuracin
deber garantizar
que el cdigo mvil
autorizado opera
Controles contra de acuerdo con
A10.4.2 NA N/A
cdigos mviles una poltica de
seguridad
claramente
definido, y el
cdigo mvil no
autorizado puede
ser impedido de
ejecutar.
Para mantener la
integridad y la
disponibilidad de
A10.5 Back-up instalaciones de
procesamiento de
la informacin y
de la informacin.
Copias de respaldo
de la informacin y
software sern
tomadas y
Se tiene y se ejecuta
Informacin analizadas con
A10.5.1 D una poltica de copia
back-up regularidad de
de seguridad
acuerdo con la
poltica de copia de
seguridad
acordado.
Para garantizar la
proteccin de la
Gestin de la informacin en
A10.6 seguridad de la las redes y la
red proteccin de la
infraestructura de
apoyo.

53
 Redes se
gestionarn
adecuadamente y
controlados, con el
fin de protegerse
de las amenazas, y
Se tiene monitoreo de
para mantener la
A10.6.1 controles de red MD la red con algn
seguridad de los
mecanismo activo?
sistemas y
aplicaciones que
utilizan la red,
incluyendo la
informacin en
trnsito.
Las caractersticas
de seguridad,
niveles de servicio
y los requisitos de
gestin de todos
los servicios de la
red deben ser Se tiene control para
Seguridad de los
A10.6.2 identificados e PNP proteger la
servicios de red
incluidos en informacin sensible?
cualquier acuerdo
de servicios de red,
si estos servicios
se ofrecen en la
empresa o
subcontratado.
Para evitar la
divulgacin no
autorizada,
modificacin,
manejo del eliminacin o
A10.7
soporte destruccin de
bienes, y la
interrupcin de
las actividades
comerciales.
Deber haber
procedimientos
Gestin de soportes Se controlan los
A10.7.1 establecidos para MD
extrables medios extrables
el manejo de los
medios extrables.
Medios debern
ser desechados de
forma segura y sin
La eliminacin de Se tiene poltica para
peligro cuando ya
A10.7.2 los medios de PNP destruccin y baja de
no sea necesario,
comunicacin datos de forma segura
utilizando
procedimientos
formales.

54
 Los procedimientos
para el manejo y
almacenamiento de
Se tienen controles
Informacin del la informacin se
para evitar
A10.7.3 manejo de los establecern para MD
vulnerabilidad de la
procedimientos proteger esta
informacin
informacin contra
su divulgacin o
uso no autorizado.
Documentacin del
Seguridad de la sistema deben Se posee custodia
A10.7.4 documentacin del estar protegidos D sobre la informacin
sistema contra el acceso no del sistema?
autorizado.
Para mantener la
seguridad de la
informacin y
software
Intercambio de
A10.8 intercambiado
informacin
dentro de una
organizacin y
con cualquier
entidad externa.
Polticas formales
de cambio, los
procedimientos y
los controles
debern estar en
Las polticas y los
su lugar para Se tiene poltica para
procedimientos de
A10.8.1 proteger el PNP intercambio de
intercambio de
intercambio de informacin?
informacin
informacin
mediante el uso de
todo tipo de
instalaciones de
comunicacin.
Los acuerdos se
establecieron para
el intercambio de Existen acuerdos de
Los acuerdos de
A10.8.2 informacin y PNP intercambio con
intercambio
software entre la terceros
organizacin y las
partes externas.
Los medios que
contienen
informacin deben
estar protegidos
contra el acceso no
Medios fsicos en autorizado, mal uso Se tienen polticas de
A10.8.3 RD
trnsito o corrupcin encripcin de datos
durante el
transporte ms all
de los lmites
fsicos de una
organizacin.

55
 Informacin
involucrada en la
Se tiene seguridad
Mensajera mensajera
A10.8.4 PNP sobre la mensajera
Electrnica electrnica ser
electrnica
debidamente
preservada.
Las polticas y
procedimientos
debern ser
desarrollados e
implementados Existen controles y
Sistemas de
para proteger la monitoreo de
A10.8.5 informacin de MD
informacin conexiones internas y
negocios
asociada a la externas
interconexin de
los sistemas de
informacin de
negocios.
Para garantizar la
seguridad de los
Servicios de
servicios de
A10.9 comercio
comercio
electrnico
electrnico, y su
uso seguro.
Informacin
involucrado en el
comercio
electrnico que
pasa a travs de
redes pblicas, Se protegen los
Comercio
A10.9.1 sern protegidos MD canales de comercio
Electrnico
de la actividad electrnico
fraudulenta, disputa
de contrato, y la
divulgacin y
modificacin no
autorizada.
Informacin
involucrada en las
transacciones en
lnea debern estar
protegidos para
prevenir la
transmisin
incompleta, mal
Transacciones On- Se protegen las
A10.9.2 enrutamiento, D
line transacciones en lnea
alteracin mensaje
no autorizado, la
divulgacin no
autorizada, la
duplicacin de
mensajes no
autorizada o la
reproduccin.

56
 La integridad de la
informacin puesta
a disposicin de un
sistema de acceso Se protege la
A10.9.3 Informacin pblica pblico debe ser NA informacin que se
protegida para publica?
evitar la
modificacin no
autorizada.
Para detectar las
actividades de
A10.10 Monitoreo procesamiento de
informacin no
autorizados.
Los registros de
auditora de
grabacin de las
actividades del
usuario,
excepciones y
eventos de
seguridad de
Registro de Existen registros de
A10.10.1 informacin se PNP
Auditoria auditorias?
producen y se
conservarn
durante un perodo
acordado para
ayudar en futuras
investigaciones y la
vigilancia del
control de acceso.
Procedimientos
para el uso de
vigilancia de las
instalaciones de
procesamiento de
Uso del sistema de informacin se Existe monitoreo del
A10.10.2 RD
monitoreo establecern y los sistema
resultados de las
actividades de
seguimiento de
revisiones
regulares.
Instalaciones de
registro y la
informacin de
Proteccin de los Existen controles a los
registro se
A10.10.3 registros de RD logs generados por los
protegern contra
informacin SI
la manipulacin y
acceso no
autorizado.
Actividades del
Administracin y
administrador del
operacin de los Se monitorea el
A10.10.4 sistema y gestor de MD
registros de acceso a la red
la red se
informacin
registrarn.

57
 Fallos se
registrarn,
Se tiene control sobre
analizarn y
A10.10.5 Fallo de Registros PNP los incidentes de
tomarn las
seguridad
medidas
correspondientes.
Los relojes de
todos los sistemas
de procesamiento
de informacin
pertinentes dentro
de una
Sincronizacin de Se tiene un servidor
A10.10.6 organizacin o D
Relojes SNTP
dominio de
seguridad se
pueden sincronizar
con una fuente
horaria exacta
acordada.
A11 Control de Acceso
Requerimiento de Para controlar el
A11.1 negocio de control acceso a la
de acceso informacin.
Se establecer una
poltica de control
de acceso,
documentado y
Poltica de control Se tiene una poltica
A11.1.1 revisado basado en D
de acceso de control de Acceso
los requisitos
empresariales y de
seguridad para el
acceso.
Para garantizar el
acceso del
usuario
Gestin de acceso autorizado y
A11.2
de los usuarios evitar el acceso
no autorizado a
los sistemas de
informacin.
Habr un registro
de usuario formal y
procedimiento de la
matrcula en el Se tiene un
Registro de
A11.2.1 lugar para otorgar y MD procedimiento claro de
Usuarios
revocar el acceso a registro de usuario?
todos los sistemas
y servicios de
informacin.
La asignacin y el
uso de los
Administracin de Se tiene restriccin
A11.2.2 privilegios se D
Privilegios por perfiles
limitarn y
controlados.

58
 La asignacin de
Se evidencia el
Administracin de contraseas se
proceso de asignacin
A11.2.3 Password de controla a travs de MD
y baja de
Usuarios un proceso de
contraseas?
gestin formal.
La direccin
revisar los
derechos de Se tiene matriz de
Revisin de los
acceso de los usuarios y permisos y
A11.2.4 derechos de acceso RD
usuarios a esta es revisada de
de usuario
intervalos regulares manera peridica?
utilizando un
proceso formal.
Para prevenir el
acceso no
autorizado de
usuarios, y el
Responsabilidades compromiso o el
A11.3
de los usuarios robo de las
instalaciones de
procesamiento de
la informacin y
de la informacin.
Los usuarios
estarn obligados a
seguir las buenas
Utilizacin de Se tiene poltica de
A11.3.1 prcticas de D
Contrasea contraseas seguras?
seguridad en la
seleccin y uso de
contraseas.
Los usuarios
debern
asegurarse de que Se tiene auto bloqueo
Equipo de usuarios
A11.3.2 el equipo RD para los sistemas
desatendido
desatendido tiene desatendidos
la proteccin
adecuada.
Se adoptarn una
poltica de
escritorio limpio de
papeles y soportes
Poltica de escritorio de almacenamiento
Se tiene poltica de
A11.3.3 y pantalla en blanco extrables y una PNP
escritorios limpios?
o despejado poltica de la
pantalla clara para
las instalaciones de
procesamiento de
informacin.
Para prevenir el
Control de acceso acceso no
A11.4
de red autorizado a los
servicios en red.

59
 Los usuarios slo
debern disponer
de acceso a los
Poltica sobre el uso Se tienen polticas de
servicios que han
A11.4.1 de los servicios de D control de acceso a la
sido
red redes?
especficamente
autorizados para su
uso.
Mtodos de
autenticacin
Autenticacin de
adecuados se Se tienen medidas de
usuario para las
A11.4.2 utilizan para D autenticacin para
conexiones
controlar el acceso conexiones externas
externas
de usuarios
remotos.
Identificacin
automtica de los
equipos se
Identificacin de los considerar como
Se identifican las
A11.4.3 equipos en las un medio para MD
conexiones remotas?
redes autenticar las
conexiones de los
lugares y equipos
especficos.
Se controlar el Se tiene proteccin a
Diagnstico remoto acceso fsico y los puertos de
A11.4.4 y proteccin puerto lgico a los puertos NA configuracin y
de configuracin de diagnstico y diagnstico de los
configuracin. dispositivos
Grupos de
servicios de
informacin, los
usuarios y los
Segregacin en Las redes son
A11.4.5 sistemas de MD
redes segmentadas?
informacin
debern estar
separados de las
redes
Para las redes
compartidas,
especialmente
aquellas que se
extienden a travs
de fronteras de la
organizacin, la
capacidad de los
Control de la Se tiene poltica de
A11.4.6 usuarios para MD
conexin de red conexiones externas
conectarse a la red
se limitar, en lnea
con la poltica y los
requisitos de las
aplicaciones de
negocio de control
de acceso (vase
11.1).

60
 Controles de
enrutamiento se
aplicarn a las
redes para
garantizar que las
conexiones de la
Control de Ruta de computadora y los Se tienen filtros de
A11.4.7 D
red flujos de enrutamiento
informacin no
infringen la poltica
de control de
acceso de las
aplicaciones de
negocio.
Para prevenir el
Control de acceso acceso no
A11.5 del sistema autorizado a los
operativo sistemas
operativos.
El acceso a los
sistemas
operativos se
Procedimientos de Se tiene control de
A11.5.1 controla mediante D
Inicio Seguro inicio de sesin
un procedimiento
de inicio de sesin
seguro.
Todos los usuarios
deben tener un
identificador nico
(ID de usuario) slo
para su uso
Identificacin y personal, y una
Se tiene autenticacion
A11.5.2 autenticacin de tcnica de D
por usuario
usuarios autenticacin
adecuados sern
elegidos para
corroborar la
identidad declarada
de un usuario.
Sistemas de
gestin de
contraseas sern Se gestionan las
Sistema de gestin
A11.5.3 interactivos y se D contraseas de forma
de contraseas
asegurarn de segura?
contraseas de
calidad.
El uso de
programas
utilitarios que
Uso de las podran ser
Se limita el uso de
A11.5.4 utilidades del capaces de D
software?
sistema sistema y de
aplicacin controles
primordiales ser
restringido y

61
 estrechamente
controlado.

Sesiones inactivas
Se cierran las
se cerrarn
Sesin de tiempo conexiones por
A11.5.5 despus de un RD
de espera inactividad de manera
perodo definido de
automtica
inactividad.
Las restricciones a
los tiempos de
conexin se utilizan Hay restriccion de
Limitacin de
A11.5.6 para proporcionar PNP horarios de conexin
tiempo de conexin
seguridad adicional remota
para aplicaciones
de alto riesgo.
Para prevenir el
acceso no
El control de
autorizado a la
aplicaciones y
A11.6 informacin
acceder a
contenida en los
informacin
sistemas de
aplicacin.
El acceso a las
funciones de
informacin y
sistemas de
aplicaciones por los Se tienen ACL para
Restriccin de
A11.6.1 usuarios y el MD acceder a la
acceso Informacin
personal de apoyo informacin
se limitar de
acuerdo con la
poltica de control
de acceso definido.
Sistemas sensibles
deben tener un Se tienen aislados los
Aislamiento del
A11.6.2 (aislado) entorno NA sistemas con
sistema Sensible
informtico informacin sensible?
dedicado.
Para garantizar la
seguridad de la
Computadores informacin
A11.7 Mviles y cuando se utilizan
Teletrabajo las instalaciones
de computacin y
teletrabajo mvil.

62
 Una poltica formal
deber estar en su
lugar, y se
adoptar medidas
Computadores Se controlan las
de seguridad para
A11.7.1 Mviles y NA comunicaciones
proteger contra los
comunicaciones mviles?
riesgos del uso de
las instalaciones de
computacin mvil
y la comunicacin.
Una poltica, planes
y procedimientos
operativos deber
A11.7.2 Teletrabajo ser desarrollado e NA Se hace teletrabajo?
implementado para
las actividades de
teletrabajo.
Adquisicin de sistemas de informacin, desarrollo y
A12 mantenimiento
Para asegurar que
Los requisitos de
la seguridad es
seguridad de los
A12.1 una parte integral
sistemas de
de los sistemas
informacin
de informacin.
Declaraciones de
los requerimientos
del negocio para
los nuevos
sistemas de
Se tiene poltica y
Anlisis de los informacin, o
alcance para la
requisitos de mejoras de los
A12.1.1 PNP adquisicin de los
seguridad y las sistemas de
nuevos sistemas de
especificaciones informacin
informacin
existentes
especificarn los
requisitos para los
controles de
seguridad.
Para evitar
errores, la
prdida,
Procesamiento
modificacin o
A12.2 correcto en
mal uso de la
aplicaciones
informacin en la
aplicacin no
autorizada.
La entrada de
datos a las
aplicaciones
deber ser validada Se poseen reglas de
Validacin de Datos
A12.2.1 para asegurarse de NA validacin para las
de Entrada
que esta aplicaciones
informacin es
correcta y
apropiada.

63
 Comprobaciones
de validacin
debern ser
incorporadas en las
aplicaciones para
Control del
detectar cualquier Se valida la calidad
12.2.2 procesamiento NA
corrupcin de la del dato?
interno
informacin a
travs de los
errores de
procesamiento o
actos deliberados.
Requisitos para
garantizar la
autenticidad y la
proteccin de la Se tiene control sobre
integridad del la integridad y las
Integridad de los mensaje en las respectivos controles
12.2.3 NA
mensajes aplicaciones deben de error de manera
ser identificados, y que para el usuario
los controles sea entendible
apropiados
identificados e
implementados.
La salida de datos
desde una
aplicacin deber
ser validada para
asegurarse de que
Validacin de datos Se controla la salida
12.2.4 el procesamiento NA
de salida de los datos?
de la informacin
almacenada es
correcta y
adecuada a las
circunstancias.
Para proteger la
confidencialidad,
autenticidad o
Controles
A12.3 integridad de la
criptogrficos
informacin por
medios
criptogrficos.
Una poltica sobre
el uso de controles
Poltica sobre el uso criptogrficos para
Se encriptan la
A12.3.1 de controles la proteccin de la NA
informacin sensible?
criptogrficos informacin debe
ser desarrollado e
implementado
Gestin de claves
estar en el lugar
para apoyar el uso Se encriptan las
12.3.2 Gestin de claves NA
de la organizacin claves
de las tcnicas
criptogrficas.

64
 Para garantizar la
Seguridad de los
seguridad de los
A12.4 archivos del
archivos del
sistema
sistema
Habr
procedimientos
para controlar la Se tiene un correcto
Control del Software
A12.4.1 instalacin de NA proceso para
Operacional
software en los instalacin segura?
sistemas
operativos
Los datos de
prueba deben Se tiene
Proteccin de los
seleccionarse documentadas las
A12.4.2 datos de prueba del NA
cuidadosamente y pruebas de
sistema
protegidos y funcionalidad
controlados.
El acceso al cdigo
Control de acceso
fuente del Se tiene control al
A12.4.3 al cdigo fuente del NA
programa se cdigo fuente
programa
limitar.
Para mantener la
Seguridad en seguridad de
desarrollo y software de
A12.5
soporte de sistema de
procesos aplicacin y la
informacin.
La implementacin
de los cambios se
controla mediante
Procedimientos de Se tiene la gestin de
A12.5.1 el uso de NA
control de cambio cambios?
procedimientos
formales de control
de cambios.
Cuando se
cambian los
sistemas
operativos,
aplicaciones
Revisin tcnica de crticas de negocio
Se tienen los
aplicaciones deben ser
procedimientos de
A12.5.2 despus de revisados y NA
testing y de entornos
cambios en el probados para
de prueba
sistema operativo asegurar que no
hay impacto
negativo en las
operaciones de la
organizacin o de
la seguridad.
Las modificaciones
a los paquetes de
Restricciones en los
software se
cambios a los Se controlan los
A12.5.3 pondrn trabas, NA
paquetes de cambios
otros, las
software
modificaciones
necesarias, y todos

65
 los cambios deben
ser estrictamente
controlados.

Se impedir
filtracin de Oportunidades Se controla la fuga de
A12.5.4 NA
informacin para la fuga de informacin
informacin.
Desarrollo de
software
Desarrollo de
externalizado ser Se controla el software
A12.5.5 software NA
supervisado y externo
externalizado
controlado por la
organizacin
Para reducir los
riesgos derivados
Gestin de de la explotacin
A12.6 Vulnerabilidades de las
Tcnica vulnerabilidades
tcnicas
publicadas.
La informacin
oportuna acerca de
las vulnerabilidades
tcnicas de los
sistemas de
informacin que se
utilizan se
Control de las obtienen, la
Se tiene registro de
A12.6.1 vulnerabilidades exposicin de la NA
control de incidencias
tcnicas organizacin a
tales
vulnerabilidades
evaluado y tomado
las medidas
adecuadas para
hacer frente a los
riesgos asociados.
Gestin de incidentes de seguridad de
A13 informacin
Para garantizar la
seguridad de la
informacin de
eventos y
Informar sobre los
debilidades
eventos de
asociadas a los
A13.1 seguridad de
sistemas de
informacin y
informacin se
debilidades
comunican de una
manera que
permite acciones
correctivas

66
 oportunas que
deban tomarse.

Los eventos de
seguridad de
informacin se
Informar sobre los Se tiene un
comunicarn a
eventos de procedimiento para la
A13.1.1 travs de canales D
seguridad de generacin de
de gestin
informacin incidentes?
adecuadas tan
pronto como sea
posible.
Todos los
empleados,
contratistas y
usuarios de
terceras partes de
los sistemas y
servicios de
Informes Se generan informes
informacin estarn
A13.1.2 debilidades de D de incidentes de
obligados a
seguridad seguridad
observar y reportar
cualquier debilidad
de seguridad que
observen o
sospechen en los
sistemas o
servicios.
Para garantizar un
enfoque
Gestin de
coherente y eficaz
incidentes de
se aplica a la
A13.2 seguridad de la
gestin de
informacin y
incidentes de
mejoras
seguridad de la
informacin.
Responsabilidades
y procedimientos
de manejo debern
ser establecidos
Se tiene respuesta
Responsabilidades para asegurar una
A13.2.1 RD proactiva a los
y procedimientos respuesta rpida,
incidentes
eficaz y ordenada a
los incidentes de
seguridad de la
informacin.

67
 Habr mecanismos
que permitan a los
tipos, volmenes y
Aprendiendo de los
costos de los Se tienen
incidentes de
A13.2.2 incidentes de PNP herramientas de
seguridad de la
seguridad de la medicin de impacto?
informacin
informacin para
ser cuantificados y
controlados.
Cuando una accin
de seguimiento
contra una persona
u organizacin
despus de un
incidente de
seguridad de
informacin implica
una accin jurdica
Acopio de Se generar evidencias
A13.2.3 (civil o penal), se D
Evidencias de los incidentes
percibir la
evidencia,
conservado, y se
present a cumplir
con las reglas para
la prueba prevista
en la jurisdiccin
correspondiente (s
).
A14 Gestin de continuidad del negocio
Para contrarrestar
las interrupciones
a las actividades
comerciales y
proteger los
Los aspectos de
procesos crticos
seguridad de
de negocio de los
informacin de la
A14.1 efectos de los
gestin de la
fallos principales
continuidad del
de los sistemas
negocio
de informacin o
los desastres y
asegurar su
oportuna
reanudacin.
Un proceso
gestionado se
desarrolla y se
Incluyendo mantiene la
seguridad de la continuidad del
Se tiene un plan de
informacin en el negocio en toda la
A14.1.1 PNP continuidad de
proceso de gestin organizacin que
negocio
de la continuidad se ocupa de los
del negocio requisitos de
seguridad de la
informacin
necesaria para la

68
 continuidad del
negocio de la
organizacin.

Los eventos que

pueden causar
interrupciones en
los procesos de
negocio deben ser
Continuidad del identificados, junto
Se tienen identificados
A14.1.2 negocio y anlisis con la probabilidad PNP
los procesos crticos
de riesgos y el impacto de
estas
interrupciones y de
sus consecuencias
para la seguridad
de la informacin.
Los planes debern
desarrollarse y
aplicarse para
mantener o
restaurar las
operaciones y
Desarrollo e
asegurar la
implementacin de
disponibilidad de Se tiene un plan de
planes de
A14.1.3 informacin al nivel PNP recuperacin de
continuidad que
requerido y en las desastres
incluyen seguridad
escalas de tiempo
de la informacin
requeridas
siguientes a la
interrupcin o el
fracaso de los
procesos crticos
de negocio.
Deber
mantenerse un
nico marco de los
planes de
continuidad del
negocio para
Marco de asegurar que todos Se realizan simulacros
planificacin de la los planes son y se socializan los
A14.1.4 PNP
continuidad del consistentes, para planes de continuidad
negocio abordar de manera de negocio
coherente los
requisitos de
seguridad de la
informacin, y para
identificar las
prioridades de

69
 prueba y
mantenimiento.

Los planes de
continuidad
Pruebas,
debern ser
mantenimiento y re-
probados y Se actualizan los
evaluacin de los
A14.1.5 actualizados PNP planes de continuidad
planes de
regularmente para de negocio?
continuidad del
asegurarse de que
negocio
estn al da y
efectivo.
A15 Conformidad
Para evitar el
rebasamiento de
cualquier ley,
El cumplimiento obligaciones
A15.1 de los requisitos legales,
legales reglamentarias o
contractuales, y
de los requisitos
de seguridad.
Todos los
requisitos legales,
reglamentarios y
contractuales
pertinentes y por el
enfoque de la
organizacin para
Identificacin de la cumplir con estos Existe una matriz legal
A15.1.1 MD
legislacin aplicable requisitos se de la organizacin
definirn
explcitamente,
documentados, y
se mantienen al da
para cada sistema
de informacin y la
organizacin.

70
 Procedimientos
apropiados se
aplicarn para
garantizar el
cumplimiento de
requisitos legales,
reglamentarios y
Derechos de contractuales sobre Los procedimientos
A15.1.2 propiedad el uso de material D abarcan los derechos
intelectual (DPI) con respecto al de propiedad
cual puede haber
derechos de
propiedad
intelectual y sobre
el uso de productos
de software
propietario.
Registros
importantes
estarn protegidos
contra prdida,
Proteccin de los destruccin y Se custodian de
A15.1.3 registros de la falsificacin, de MD manera segura los
organizacin acuerdo con los registros?
requisitos legales,
reglamentarios,
contractuales y de
negocios.
Proteccin de
datos y privacidad
se garantizar
Proteccin de datos como se requiere
y privacidad de la en la legislacin Se tiene poltica de
A15.1.4 D
informacin pertinente, los proteccin de datos
personal reglamentos, y, si
procede, las
clusulas
contractuales.
Los usuarios se
Prevencin del uso decidan a utilizar
Se controlan los
indebido de las las instalaciones de
recursos para evitar
A15.1.5 instalaciones de procesamiento de MD
accesos no
procesamiento de informacin para
autorizados
informacin fines no
autorizados.
Controles
criptogrficos sern
Regulacin de los utilizados en
Se utilizan controles
A15.1.6 controles cumplimiento de D
criptogrficos
criptogrficos todos los acuerdos,
leyes y
reglamentos.

71
 Para garantizar el
El cumplimiento
cumplimiento de
de las polticas de
los sistemas con
seguridad y las
A15.2 las polticas y
normas y el
estndares de
cumplimiento
seguridad de la
tcnico
organizacin
Administradores se
asegurarn de que
todos los
procedimientos de
seguridad dentro
El cumplimiento de de su rea de
Se validan los
las polticas y responsabilidad se
A15.2.1 RD procesos y se
normas de llevan a cabo
manejan indicadores
seguridad correctamente para
lograr el
cumplimiento con
las polticas y
estndares de
seguridad.
Los sistemas de
informacin deben
ser revisados Se revisan las
Comprobacin del
regularmente por el aplicaciones para que
A15.2.2 cumplimiento PNP
cumplimiento de estn enmarcadas en
tcnico
las normas de prcticas seguras?
aplicacin de la
seguridad.
Para maximizar la
eficacia y
Consideraciones minimizar la
de auditora del interferencia a /
A15.3
sistema de desde el proceso
informacin de auditora de
sistemas de
informacin.
Requisitos de
auditora y las
actividades
relacionadas con
los controles de los
Controles de sistemas
auditora de operativos debern Se auditan los sistema
A15.3.1 PNP
sistemas de ser planeadas de informacin?
informacin cuidadosamente y
acordaron reducir
al mnimo el riesgo
de interrupciones
en los procesos de
negocio.

72
 El acceso a las
herramientas de
Proteccin de las auditora de
herramientas de sistemas de Se usan herramientas
A15.3.2 auditora de informacin debe PNP para auditora de la
sistemas de ser protegido para informacin
informacin evitar cualquier
posible mal uso o
el compromiso.

73
 BIBLIOGRAFIA

Advisera. (s.f.). La importancia de la Declaracin de aplicabilidad para la norma ISO 27001.

Recuperado el 16 de Mayo de 2017, de
https://advisera.com/27001academy/es/knowledgebase/la-importancia-de-la-
declaracion-de-aplicabilidad-para-la-norma-iso-27001/

Colombia Compra Eficiente. (s.f.). Colombia Compra Eficiente. Recuperado el 14 de Mayo de 2017,
de Colombia Compra Eficiente

ComBarranquilla. (s.f.). ComBarranquilla. Recuperado el 14 de Mayo de 2017, de

https://www.combarranquilla.co/public_html/_files/intranet/sgc/auditorias/lista_cheque
o_auditoria.pdf

Leasing Bolivar. (s.f.). Pegassus Javeriana. Recuperado el 14 de Mayo de 2017, de

http://pegasus.javeriana.edu.co/~CIS0830IS12/documents/Anexo%20K%20MG-
05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%20de%20la%20
Informacion.pdf

Momphotes, L., & Alzate, A. (s.f.). PROTOTIPO PARA LA AUDITORIA SISTEMA DE GESTION
SEGURIDAD DE INFORMACIN. Recuperado el 15 de Mayo de 2017, de
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4638/0058M733.pdf?sequ
ence=1

Penagos, E. (s.f.). Mdulo de Gestin de Auditora Soportado en TIC. Recuperado el 2017 de Mayo
de 13, de
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pd
f?sequence=2

74