ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Especialización en: Gestión y Seguridad en Bases de Datos


Enviado por   •  16 de Diciembre de 2015  •  Tarea  •  6.226 Palabras (25 Páginas)  •  133 Visitas

Página 1 de 25

Actividad AA1-EVA 5.

Aplicación de la norma ISO 27002.

A:

Osvaldo Rueda Carreño.

Especialización en: Gestión y Seguridad en Bases de Datos.

Ficha: 1017121.

SENA.

28 de Agosto del 2015.

Contenido

Introducción

Debilidades o necesidades detectadas

Estado Actual de la Organización

Plan de Mejoramiento 


Introducción 

La información es un recurso que, como el resto de los activos, tiene valor para la institución y por consiguiente debe ser debidamente protegida. 

 El establecimiento,  seguimiento,  mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso ineludible de protección a la misma frente a una amplia gama de amenazas. Con esta política  se contribuye a minimizar los riesgos asociados  de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.

La   institución   establecerá   los   mecanismos   para   respaldar   la   difusión, estudio,   actualización   y  consolidación tanto de la presente política como de los demás componentes del Sistema de Gestión de la Seguridad de la Información y alinearlos de forma efectiva con los demás sistemas de gestión.

La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información: 

  • Confidencialidad: los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
  • Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
  • Disponibilidad: Los activos de información sólo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados. 

Para ello es necesario considerar aspectos tales como:

  • Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.
  • Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.
  • Protección a la duplicación: Los activos de información son objeto de clasificación,   y se llevan registros de las copias generadas  de aquellos catalogados como confidenciales.
  • No   repudio: Los   autores,   propietarios   y   custodios   de   los   activos   de   información  se  pueden identificar plenamente.
  • Legalidad: Los activos de información cumplen los parámetros legales, normativos y estatutarios de la institución.
  • Confiabilidad   de   la   Información: Es   fiable   el   contenido   de   los   activos   de   información   que conserven la  confidencialidad, integridad, disponibilidad, autenticidad y legalidad.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.

'La información es un activo que, como otros activos importantes de la empresa, es esencial para las operaciones de la organización, y en consecuencia necesita ser adecuadamente protegida". ISO 27002:2005.


Debilidades o necesidades detectadas y Estado Actual de la organización

Para detectar el estado actual de la  alcaldía de San Antonio de Sena en materia de seguridad de la información se utilizó la Norma UNE-ISO/IEC 27002, la cual establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.

Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanece sujeta a lo detectado en un análisis de riesgos previo, y el grado de implementación de cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.

Después de haber aplicado la guía se encontró para cada control lo siguiente:

Tabla 1. Hallazgo por control evaluado Norma ISO 270002. Alcaldía San Antonio de Sena. Antioquia 2015.

D

OC

C

NOMBRE CONTROL

DEPENDENCIA

DEBILIDAD

CRITERIO

5

 

 

POLÍTICA DE SEGURIDAD

 

5

1

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

 

5

1

1

Documento de política de seguridad de la información

SEGURIDAD

El documento se encuentra en una versión inicial que recoge aproximadamente el 50% de la información requerida, sólo una persona trabaja en la construcción del mismo

No cumple

5

1

2

Revisión de la política de seguridad de la información

SEGURIDAD

No existe Política de Seguridad, tampoco ha sido aprobada por la dirección por lo tanto no se revisa.

No cumple

6

 

 

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

 

6

1

 

ORGANIZACIÓN INTERNA

 

6

1

1

Compromiso de la Dirección con la seguridad de la información

SEGURIDAD

No se ha creado formalmente el Comité de Gestión de la Seguridad de la Información. Aunque la administración municipal muestra su apoyo a la seguridad dentro de la organización y asigna funciones no lo hace a través de directrices claras, tampoco ha realizado una asignación explícita ni el reconocimiento de responsabilidades.

No cumple

6

1

2

Coordinación de la seguridad de la información

SEGURIDAD

Las actividades relativas a la seguridad son coordinadas y asignadas entre los diferentes roles y funciones aunque no existen procedimientos documentados. No hay una persona estrictamente encargada.

No cumple

6

1

3

Asignación de responsabilidades en seguridad de la información

SEGURIDAD

Los activos de información no están claramente definidos y aunque en algunos casos existe una asignación de responsabilidades no es formal.

No cumple

6

1

4

Proceso de autorización de recursos para la seguridad de la información

SEGURIDAD

Existe un proceso de autorización para los nuevos recursos de procesados de información.

Cumple

6

1

5

Acuerdos de confidencialidad

SEGURIDAD

En algunos casos se han establecidos acuerdos de confidencialidad pero no son revisados de forma periódica, existen pero no se revisan.

Cumple

6

1

6

Relación con las autoridades

SEGURIDAD

Existen procedimientos de prevención de riesgos y accidentes laborales (incendios, inundaciones, etc.) así como un protocolo de actuación claramente documentado. En el caso de la seguridad de la información, por ejemplo robos, ataques externos, incidentes terroristas, etc no se establece procedimiento formal.

Cumple

6

1

7

Relación con grupos de interés especial

SEGURIDAD

Se establecen relaciones con grandes proveedores aunque ninguno de especial relevancia en cuestiones de seguridad de la información.

No cumple

6

1

8

Revisión independiente de la seguridad de la información

SEGURIDAD

Se realizan con frecuencia revisiones independientes de seguridad (auditorías) aunque no en todas las áreas.

Cumple

6

2

 

TERCERAS PARTES

 

6

2

1

Identificación de riesgos derivados del acceso de terceros

COMPRAS

Se realiza un exhaustivo análisis en la selección de un proveedor (tercera parte) y siempre se confía el servicio a un importante proveedor (representa su seriedad y buenas prácticas

Cumple

6

2

2

Tratamiento de la seguridad en la relación con los clientes

NEGOCIO

Se revisan los requisitos de seguridad con los clientes y se establecen los controles que se solicitan.

Cumple

6

2

3

Tratamiento de seguridad en los contratos con terceros

COMPRAS

Siempre que se contrata un servicio a un tercero se realiza un contrato pero no en todas las ocasionas este incluye las cláusulas de seguridad correspondientes.

Cumple

7

 

 

GESTIÓN DE ACTIVOS

 

7

1

 

RESPONSABILIDAD SOBRE LOS ACTIVOS

 

7

1

1

Inventario de activos

SISTEMAS- REDES

Se realiza un inventario detallado de equipos, servidores y otros dispositivos propiedad de la organización o utilizados en sus procesos de negocios pero no existe un inventario de los activos de información.

Cumple

7

1

2

Propietarios de los activos

SISTEMAS- REDES

En el inventario existente se asigna un propietario al activo pero no lo específica razonablemente se hace de forma genérica.

No cumple

7

1

3

Uso aceptable de los recursos

RRHH

Hay publicado un código de conducta y una guía general sobre el buen uso de los recursos de información de la organización.

Cumple

7

2

 

CLASIFICACIÓN DE LA INFORMACIÓN

 

7

2

1

Directrices de clasificación

RRHH

Se cumple con la normativa vigente de LOPD y por lo tanto se tiene clasificada la información que contiene datos personales según la legislación vigente pero no se clasifican aquellos activos de información que no contienen datos personales y tampoco se identifican según la criticidad para la organización.

Cumple

7

2

2

Etiquetado y tratamiento de la información

SEGURIDAD FISICA

La información clasificada está etiquetada y tiene un tratamiento adecuado a las características asignadas.

Cumple

8

 

 

SEGURIDAD LIGADA A LOS RRHH

 

8

1

 

ANTES DEL EMPLEO

 

8

1

1

Funciones y responsabilidades

RRHH

Existe un documento descriptivo de todos los puestos de trabajo de la organización, donde se describe cuáles son sus funciones y responsabilidades pero no en todos los casos se definen las responsabilidades de terceros. Muchas veces no se especifican las responsabilidades respecto a la seguridad.

Cumple

8

1

2

Investigación de antecedentes

RRHH

Antes de realizar una contratación se solicitan referencias y se investigan los antecedentes del empleador o tercero. Se solicita documentación oficial sobre títulos, etc.

Cumple

8

1

3

Términos y condiciones del empleo

RRHH

De acuerdo con la legislación se les hace firmar una cláusula legal (genérica) aunque no un código ético ni acuerdos. En contratos muy antiguos no se ha realizado nunca. Sucede con empleados y terceras partes.

Cumple

8

2

 

DURANTE EL EMPLEO

 

8

2

1

Responsabilidades de la Dirección

RRHH

Aunque se trasmite a los empleados una guía del buen uso de los recursos de la información no existe una política de seguridad clara.

Cumple

8

2

2

Concienciación, formación y capacitación en seguridad de la información

RRHH

No se realiza concienciación, formación o capacitación respecto a la seguridad de la información.

No cumple

8

2

3

Proceso disciplinario

RRHH

No existe un proceso disciplinario formal y claro para los empleados que hayan provocado la violación de la seguridad.

No cumple

8

3

 

CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO

 

8

3

1

Responsabilidad del cese o cambio

RRHH

Existe un procedimiento documentado respecto a la baja o cambio de puesto del personal. Se han asignado claramente las responsabilidades.

Cumple

8

3

2

Devolución de activos

RRHH

Existe un procedimiento (aunque no documentado) sobre la devolución de los activos de la organización al finalizar su empleo, contrato o acuerdo.

Cumple

8

3

3

Supresión de los derechos de acceso

RRHH

Existe un procedimiento documentado y revisado respecto a la supresión de derechos de acceso en el caso de cese o cambio de función. En algunos casos puntuales no son informados los cambios de función inmediatamente

Cumple

9

 

 

SEGURIDAD FÍSICA Y AMBIENTAL

 

9

1

 

ÁREAS SEGURAS

 

9

1

1

Perímetro de seguridad física

SEGURIDAD FISICA

Las instalaciones de la organización están cerradas al personal ajeno a esta mediante muros, barreras, puertas y otros elementos físicos. No es posible el acceso a las instalaciones físicas sin autorización.

Cumple

9

1

2

Control físicos de entrada

SEGURIDAD FISICA

Todas las instalaciones de la organización están controladas mediante un perímetro  de  seguridad al cual se accede por tarjeta con supervisión de personal de la organización, sin ella no es posible el acceso. Las zonas sensibles están protegidas con tarjeta y código.

Cumple

9

1

3

Seguridad de oficinas, despachos y salas

SEGURIDAD FISICA

Las salas están protegidos mediante una puerta con llave siempre cerrada a custodia de los responsables. Los despachos están protegidos con puertas con cerradura y se cierran siempre que es necesario.

Cumple

9

1

4

Protección contra amenazas externas y de origen ambiental

SEGURIDAD FISICA

La organización tiene instaladas protecciones contra amenazas externas: sistemas de extinción de incendios en todos los espacios, protección del fuego en zonas mediante infraestructuras especiales (puertas ignífugas, etc.). Zonas sensibles en espacios altos para evitar daños en inundaciones acompañadas de desagües en zonas de riesgo. En cuanto a amenazas provocadas por el hombre cuenta con las barreras físicas habituales.

Cumple

9

1

5

Trabajo en áreas seguras

SEGURIDAD FISICA

La organización tiene implementada una serie de directrices para el uso de espacio comunes, asegurando las zonas de trabajo.

Cumple

9

1

6

Acceso público, zonas de carga y descarga

SEGURIDAD FISICA

En las zonas de acceso al público o zonas de carga y descarga siempre está presente un empleado de la organización supervisando el acceso o las tareas que se deben realizar. Estas zonas se mantienen libre del tratamiento de información o está protegida adecuadamente.

Cumple

9

2

 

SEGURIDAD DE LOS EQUIPOS

 

9

2

1

Emplazamiento y protección de los equipos

SEGURIDAD FISICA

Los equipos de la organización y otros dispositivos de tratamiento o mantenimiento de la información son adecuadamente ubicados mediante la protección de los mismos; accesos no autorizados, problemas ambientales (goteras, lluvia, etc)

Cumple

9

2

2

Instalaciones de suministro

SEGURIDAD FISICA

Todas las instalaciones de la organización están protegidas ante fallos de alimentación. Las zonas especialmente sensibles están reforzadas con un sistema adicional y redundante que asegura el funcionamiento y la continuidad de la operativa en caso de fallo eléctricos o la protección ante los mismos.

Cumple

9

2

3

Seguridad del cableado

SISTEMAS- REDES

Tanto el cableado eléctrico como de comunicaciones está protegido ante interceptaciones o daños. Se ubican en sus correspondientes bandejas y los accesos del cableado especialmente protegido sólo es conocido por el personal autorizado.

Cumple

9

2

4

Mantenimiento de los equipos

SISTEMAS- REDES

Los equipos (servidores, etc) y dispositivos tienen un mantenimiento adecuado y se monitorizan constantemente ante fallos hardware, en caso de fallo son inmediatamente reparados. Los equipos y dispositivos especialmente críticos tienen asociado un contrato de reparación en caso de fallo (por importantes proveedores). Aunque no existe una evaluación de riesgos ni una política clara.

Cumple

9

2

5

Seguridad de equipos fuera de los locales propios

SEGURIDAD FISICA

Los equipos que se emplean fuera de la organización cumplen las mismas medidas que los equipos que se emplean dentro, no se aplican medidas especiales (encriptación, etc) y aunque suele existir una autorización del responsable no se lleva una buena gestión de ellas.

No cumple

9

2

6

Seguridad en la reutilización o eliminación de equipos

SISTEMAS- REDES

La organización es consciente de la importancia de las buenas prácticas de la retirada o reutilización de equipos por la importancia de los datos que contienen pero no existe ninguna política formal al respecto. Aunque los dispositivos de almacenamiento son retirados y reutilizados de forma segura el procedimiento no está controlado ni revisado. Se lleva el control de las licencias a modo general (no muy exhaustivo).

No cumple

9

2

7

Retirada de materiales de propiedad de la empresa

SEGURIDAD FISICA

Existen controles sobre la retirada de materiales pero son débiles y no están documentados. Se protege la salida de los activos propiedad de la organización aunque no se está especialmente concienciado del peligro que conlleva.

No cumple

10

 

 

GESTIÓN DE COMUNICACIONES Y OPERACIONES

 

10

1

 

RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES

 

10

1

1

Documentación de los procedimientos de operaciones

SISTEMAS- REDES

La mayoría de los procedimientos de operaciones están correctamente documentados y habitualmente se revisan. Se modifican mediante autorización del responsable y se lleva un control de las versiones. Además están a disposición de todos los usuarios que los necesiten, tampoco permite asociar los activos afectados (equipos, software, información, etc).

Cumple

10

1

2

Gestión de los cambios

SISTEMAS- REDES

Se lleva un control de cambios (con un proceso claro y previa autorización) aunque no es muy exhaustivo y no identifica el área de trabajo (sistemas, comunicaciones, software, etc) ni aplica ninguna clasificación.

Cumple

10

1

3

Segregación de tareas

SISTEMAS- REDES

Se segregan funciones y tareas en todos los departamentos de forma indirecta para evitar las modificaciones no autorizadas o usos indebidos. Como punto débil, no existe documentación o política documentada al respecto.

Cumple

10

1

4

Separación de los entornos de desarrollo, pruebas y explotación

SISTEMAS- REDES

Las áreas de desarrollo y explotación, tanto en Sistemas como en Programación, están diferenciadas aunque no de todas las aplicaciones. Se segregan funciones en todos los departamentos para evitar las modificaciones no autorizadas o usos indebidos. Como punto débil, no existe documentación o política documentada al respecto.

Cumple

10

2

 

GESTIÓN DE LA PROVISIÓN DE SERVICIOS POR TERCEROS

 

10

2

1

Provisión de servicios

SISTEMAS- REDES

Al contratar un servicio se comprueban las definiciones, los acuerdos de provisión y los recursos empleados por el tercero aunque no existe una política general de revisión (check list). No se revisan los acuerdos de forma periódica salvo cause pérdidas para la organización.

Cumple

10

2

2

Supervisión y revisión de los servicicios prestados por terceros

SISTEMAS- REDES

Los niveles de servicios de terceros se monitorizan con frecuencia. No se realizan auditorías de los servicios de terceros ni existe una política específica para la gestión de servicios de terceros.

Cumple

10

2

3

Gestión de cambios en los servicios prestados por terceros

SISTEMAS- REDES

Se gestionan los cambios realizados en servicios de terceros, se actualizan los procedimientos establecidos y se tiene presente la criticidad del servicio para la organización. Aunque su gestión no es óptima.

Cumple

10

3

 

PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

 

10

3

1

Gestión de capacidades

SISTEMAS- REDES

Se gestiona, en la mayoría de servicios/sistemas, las capacidades de los mismos y se ajusta el consumo. Adicionalmente se realizan proyecciones de los requisitos futuros de capacidad. No existe una política clara y formal al respecto pero se lleva a cabo de manera continua.

Cumple

10

3

2

Aceptación de sistemas

SISTEMAS- REDES

Existen pruebas y revisiones de los sistemas antes de ser puestos en explotación por el departamento receptor (está documentado y se revisa frecuentemente), no sucede lo mismo con los productos de software.

Cumple

10

4

 

PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y CÓDIGO MÓVIL

 

10

4

1

Controles contra software malicioso

SISTEMAS- REDES

Todos los equipos y servidores  tienen  instalados antivirus locales (centralizados) además de sus correspondientes firewalls. Adicionalmente se aplican protecciones adicionales en las zonas en contacto con Internet (Firewalls). El control está documentado y se revisa frecuentemente.

Cumple

10

4

2

Controles contra código móvil

SISTEMAS- REDES

Las barreras perimetrales de acceso a Internet así como los antivirus locales (incluyen antimalware) y la propia protección del navegador protegen a los equipos y servidores del código móvil. Aunque no hay una política específica la organización es consciente de la necesidad del control.

Cumple

10

5

 

COPIAS DE SEGURIDAD

 

10

5

1

Copias de seguridad de la información

SISTEMAS- REDES

La organización evalúa la necesidad de las copias de seguridad al poner en explotación un nuevo sistema y realiza un inventario y control de las mismas. Adicionalmente se revisan de forma periódica y se hacen pruebas puntuales de recuperación aunque no de todos los sistemas. La mayoría de procesos de copias de seguridad están documentados y existen procedimientos para llevarlos a cabo.

Cumple

10

6

 

GESTIÓN DE LA SEGURIDAD DE LA RED

 

10

6

1

Controles de red

SISTEMAS- REDES

La organización cuenta con una red segmentada (dependiendo de la criticidad de los datos y la exposición al exterior) por Firewalls y asegurada por rutas y reglas de acceso. Adicionalmente cuenta con dispositivos avanzados que detectan comportamientos extraños en la red.

Cumple

10

6

2

Seguridad de los servicios de red

SISTEMAS- REDES

Los servicios de red están identificados y tienen asignados las características de seguridad y algunas veces los requisitos de gestión pero no en todos los servicios (sobre todo los internos) se identifican los acuerdos con la dirección.

Cumple

10

7

 

MANIPULACIÓN DE SOPORTES

 

10

7

1

Gestión de soportes extraíbles

SISTEMAS- REDES

Aunque se establecen controles técnicos sobre el uso de memorias extraíbles no se realizan sobre unidades de CD/DVD u otros dispositivos. Tampoco se establecen procedimientos formales (por escrito) ni recomendaciones.

No cumple

10

7

2

Retirada de soportes

SISTEMAS- REDES

Aunque no existe una política o procedimiento formal (por escrito) la mayoría de soportes se destruyen manualmente al ser retirados aunque no sucede así con las estaciones de trabajo u otros dispositivos de menor envergadura.

No cumple

10

7

3

Procedimiento de manipulación de la información

SISTEMAS- REDES

La información se manipula correctamente y existen controles/procedimientos que la protegen contra los accesos no autorizados o el uso indebido pero no existe política o procedimiento por escrito sobre las prácticas o recomendaciones.

Cumple

10

7

4

Seguridad de la documentación de los sistemas

SISTEMAS- REDES

La documentación y la información en general están protegida mediante reglas de acceso proporcionadas por los responsables de los datos. Se está mejorando la gestión en la centralización creando accesos por grupos de recursos.

Cumple

10

8

 

INTERCAMBIO DE INFORMACIÓN

 

10

8

1

Políticas y procedimientos de intercambio de información

SEGURIDAD

Se han establecido políticas y procedimientos para el intercambio de información sobre todo aquella que contiene datos personales aunque no ha sido comunicada a todas las partes. En algunos casos no se observan cláusulas de confidencialidad y en la comunicación de voz no se han aplicado correctamente los controles adecuados.

Cumple

10

8

2

Acuerdos de intercambio

RRHH

En ninguno de los casos se han establecido acuerdos de intercambio de información entre la organización y terceros.

No cumple

10

8

3

Soportes físicos en transito

SEGURIDAD FISICA

La organización tiene una política clara y formal sobre los procedimientos de tránsito de soportes físicos, se lleva a cabo correctamente y se revisa con cierta frecuencia.

Cumple

10

8

4

Correo electrónico

SISTEMAS- REDES

La información contenida en el correo electrónico presenta las protecciones estándar del producto, no se han aplicado certificados ni encriptación.

Cumple

10

8

5

Sistemas de información empresariales

SISTEMAS- REDES

La interconexión de los sistemas empresariales está debidamente controlada y se gestiona correctamente su alta, baja y modificación de accesos. Existe una documentación asociada al respecto.

Cumple

10

9

 

SERVICIOS DE COMERCIO ELECTRONICO

 

10

9

1

Comercio electrónico

SISTEMAS- REDES

La organización utiliza el comercio electrónico y por ello cumple con la legislación vigente asociada (LOPD, LSSI, etc) adicionalmente se protege de actividades fraudulentas y disputas contractuales mediante sistemas de seguridad (Firewalls, encriptación, certificados digitales, etc). Existe una política formal al respecto.

No cumple

10

9

2

Transacciones en línea

SISTEMAS- REDES

Las transacciones en línea se realizan mediante encriptación del canal de comunicación, ya sea por certificados digitales u otros medios. Se llevan a cabo otros controles que aseguran la transacción. Pago de impuesto predial, ICA y vehículos son las que tienen establecidas formal

Cumple

10

9

3

Información con acceso publico

SISTEMAS- REDES

La información puesta a disposición pública está debidamente protegida frente a modificaciones no autorizadas y se revisa frecuentemente. Los servidores están correctamente actualizados y presentan sistemas antivirus/antimalware activos.

Cumple

10

10

 

MONITORIZACIÓN

 

10

10

1

Registro de auditorías

SISTEMAS- REDES

Todos los sistemas de información tienen activo el registro de eventos de seguridad pero no se ha establecido ninguna política común de almacenamiento. Tampoco existe documentación respecto a la configuración o los requisitos del negocio.

No cumple

10

10

2

Monitorización del uso de los sistemas

SISTEMAS- REDES

La organización ha establecido los procedimientos para la monitorización y supervisión de los recursos de procesamiento de información, estos se revisan periódicamente. No existe una política formal pero las medidas se toman de forma adecuada.

Cumple

10

10

3

Protección de la información de los registros

SISTEMAS- REDES

Los registros de seguridad de los sistemas se protegen de forma adecuada de los accesos no autorizadas y de manipulaciones indebidas. No se revisan de forma frecuente.

Cumple

10

10

4

Registros de administración y operación

SISTEMAS- REDES

Los registros de seguridad registran cualquier evento del sistema, incluyendo aquellos realizados por los operadores y los administradores de sistemas. No existe ningún procedimiento de revisión periódica.

Cumple

10

10

5

Registros de fallos

SISTEMAS- REDES

Se realiza la gestión de fallos de los sistemas mediante varias herramientas de monitorización que permiten a los administradores actuar para prevenir la interrupción o solucionarla.

Cumple

10

10

6

Sincronización de relojes

SISTEMAS- REDES

Los relojes de todos los sistemas están sincronizados con una precisión de tiempo acordada. Existe un procedimiento forma que se revisa con cierta frecuencia.

Cumple

11

 

 

CONTROL DE ACCESO

 

11

1

 

REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO

 

11

1

1

Política de control de acceso

SEGURIDAD

Aunque la organización lleva a cabo un control de acceso siguiendo las indicaciones de la dirección o los clientes (requisitos del negocio) no existe ninguna política de control acceso formal (documentada y revisada).

Cumple

11

2

 

GESTIÓN DE ACCESO DE USUARIO

 

11

2

1

Registro de usuario

SISTEMAS- REDES

La organización tiene un procedimiento formal de alta, baja y modificación de usuarios mediante el cual se concenden y revocan los derechos de acceso. Este documento se actualiza y revisa con frecuencia.

Cumple

11

2

2

Gestión de privilegios

SISTEMAS- REDES

La gestión de privilegios sólo corresponde al departamento de Administración de Sistemas (en el caso de sistemas comunes) y explotación de aplicaciones (en el caso de aplicaciones). Ningún otro usuario puede realizar estas funciones. Aunque no existe un esquema formal de autorización el procedimiento se realiza correctamente.

Cumple

11

2

3

Gestión de las contraseñas de los usuarios

SISTEMAS- REDES

Se realiza una gestión correcta de las contraseñas de los usuarios tanto a nivel de aplicación como de sistema a través de un proceso formal (se establece caducidad y bloqueo) aunque no existe ninguna política formal sobre la gestión de contraseñas (entrega, cambio, etc). Tampoco se firman cláusulas de confidencialidad de la contraseña.

Cumple

11

2

4

Revisión de los derechos de accesos

SISTEMAS- REDES

No existe ningún procedimiento formal de revisión de los derechos de acceso, los responsables de la información confían en los derechos establecidos y sólo se revisan en caso de error, anomalía o incidencia.

No cumple

11

3

 

RESPONSABILIDAD DE USUARIO

 

11

3

1

Uso de las contraseñas

SISTEMAS- REDES

La organización ha establecido métodos técnicos para que las contraseñas cumplan con unos requisitos de seguridad adecuados (no está aplicado en las aplicaciones) pero no existe una guía de recomendaciones en la selección de contraseñas para los usuarios.

Cumple

11

3

2

Equipo de usuario desatendido

SISTEMAS- REDES

Se han establecido controles técnicos para el bloqueo de equipos desatendidos (tanto en estaciones de trabajo como servidores) pero no existe una guía/formación de concienciación dirigida a los usuarios.

Cumple

11

3

3

Política de puesto de trabajo despejado y bloqueo de pantalla

SISTEMAS- REDES

No existe ninguna política formal de puesto de trabajo despejado y bloqueo de pantalla aunque la organización ha establecido métodos técnicos para el bloqueo de sesiones.

Cumple

11

4

 

CONTROL DE ACCESO A LA RED

 

11

4

1

Política de uso de los servicios de red

SISTEMAS- REDES

El uso de los servicios de red (un gran porcentaje) está controlado técnicamente y sólo se habilita el acceso previa autorización pero no existe una política formal sobre la solicitud de acceso. Como debilidad la organización permite el acceso a la red por DHCP si un dispositivo se conecta a una toma (sin autorización previa).

Cumple

11

4

2

Autenticación de usuarios para conexiones externas

SISTEMAS- REDES

Se establecen la autentificación de usuarios para conexiones externas mediante rangos de IP y enrutamientos preestablecidos, estos controles se acompañan de reglas de acceso en Firewalls.

Cumple

11

4

3

Identificación de equipos en la red

SISTEMAS- REDES

Todos los equipos de la red están identificados e inventariados (de forma automática), se realiza un control sobre la incorporación de nuevos equipos (evalúa la autorización de su acceso a la red). Existe una estructura definida de la red y la asignación de IPs por zonas.

Cumple

11

4

4

Diagnóstico remoto y protección de los puertos de configuración

SISTEMAS- REDES

De forma general los puertos de configuración de equipos, switches y otros están protegidos ya sea por medidas lógicas como físicas.

Cumple

11

4

5

Segregaciones de la red

SISTEMAS- REDES

Las redes de la organización están completamente segregadas y protegidas teniendo en cuenta su criticidad, exposición al exterior y el valor de la información que protegen. Esto se complementa con dispositivos avanzados de vigilancia de la red.

Cumple

11

4

6

Control de conexión a la red

SISTEMAS- REDES

La organización establece controles de conexión a la red mediante enrutamientos, firewalls y otros elementos. Adicionalmente se monitorizan los accesos y se controla el consumo de recursos.

Cumple

11

4

7

Control de encaminamiento en la red

SISTEMAS- REDES

La organización tiene implementado un control de encaminamiento de red, todas las redes que están controladas se encaminan a sus correspondientes firewalls y en estos se establecen las reglas de acceso.

Cumple

11

5

 

CONTROL DE ACCESO AL SISTEMA OPERATIVO

 

11

5

1

Procedimiento seguros de inicio de sesión

SISTEMAS- REDES

Se establecen mecanismos técnicos de inicio de sesión seguro: no muestra el último usuario logeado, bloqueo de contraseñas por intentos fallidos, tiempo de espera al bloqueo de cuenta, comunicación cifrada de la contraseña, etc pero estos no se recogen en una política. Tampoco se muestra un aviso general del acceso limitado a los usuarios autorizados.

Cumple

11

5

2

Identificación y autenticación de usuario

SISTEMAS- REDES

No todos los usuarios del sistema tienen identificadores personales, existen muchos usuarios genéricos donde no se puede trazar la persona (tanto en sistema como en aplicación).

No cumple

11

5

3

Sistema de gestión de contraseñas

SISTEMAS- REDES

El sistema de gestión de contraseñas es correcto, se almacenan cifradas, se establece una complejidad a las contraseñas, un periodo de caducidad, un historial recordatorio. Además se permite al usuario la modificación de contraseña en la mayoría de casos, etc.

Cumple

11

5

4

Uso de las utilidades de los sistemas operativos

SISTEMAS- REDES

Tanto en equipos como en servidores se limita el uso y acceso a las herramientas y utilidades del sistema operativo que puedan dañar parte del mismo. Sólo el personal técnico autorizado/capacitado tiene acceso a estas. Adicionalmente todas las aplicaciones innecesarias son eliminadas del sistema pero no existe una política formal al respecto.

Cumple

11

5

5

Desconexión automática de sesión

SISTEMAS- REDES

En el acceso a sistemas remotos se establece un timeout de sesión pero no sucede lo mismo en las aplicaciones internas de la organización ni en las sesiones de usuario en las estaciones de trabajo.

Cumple

11

5

6

Limitación de las ventanas de conexión

SISTEMAS- REDES

Dadas las necesidades del negocio no se han establecido ventanas de limitación de conexión ya que los clientes requieren el uso del sistema en cualquier hora/día del año.

Cumple

11

6

 

CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIÓN

 

11

6

1

Restricción de acceso a la información

SISTEMAS- REDES

Las aplicaciones tienen asignados distintos menús dependiendo el perfil del usuario, sólo los usuarios de soporte tienen acceso a toda la información. Existe documentación al respecto.

Cumple

11

6

2

Aislamiento de sistemas sensibles

SISTEMAS- REDES

Los sistemas sensibles están aislados y correctamente protegidos bajo los requisitos del negocio y del propietario de los datos.

Cumple

11

7

 

ORDENADORES PORTÁTILES Y TELETRABAJO

 

11

7

1

Ordenadores portátiles y comunicaciones móviles.

SISTEMAS- REDES

Aunque la mayor parte de la información está centralizada y se utilizan protocolos seguros así como mecanismos adicionales, no existe una política formal sobre la utilización de equipos y dispositivos portátiles o móviles.

No cumple

11

7

2

Teletrabajo

RRHH

No existe una política formal de teletrabajo donde se indiquen los requisitos necesarios (antivirus, firewall, conexión, ubicación física, etc) así como acuerdos de licencia o propiedad intelectual, reglas de uso (acceso a la familia, …), etc.

No cumple

12

 

 

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

 

12

1

 

REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN

 

12

1

1

Análisis y especificaciones de requisitos de seguridad

DESARROLLO

En el análisis y especificaciones de los nuevos productos se suelen evaluar las características y controles de seguridad aunque no en todas las ocasiones. Cuando se asumen debilidades de seguridad no se realiza una evaluación de riesgos.

No cumple

12

2

 

PROCESO CORRECTO EN LAS APLICACIONES

 

12

2

1

Validación de los datos de entrada

DESARROLLO

Las aplicaciones tienen aplicada la validación de datos de entrada, detectando y evitando los errores. Estos controles protegen a las aplicaciones de ataques estándar.

Cumple

12

2

2

Control del proceso interno

DESARROLLO

Las aplicaciones de la organización realizan un control interno de la información que manejan vigilando la integridad de los datos y evitando los ataques estándar.

Cumple

12

2

3

Integridad de los mensajes

DESARROLLO

Las aplicaciones no incorporan la verificación de la integridad de los mensajes aunque existen controles adicionales que pueden complementar este objetivo.

No cumple

12

2

4

Validación de los datos de salida

DESARROLLO

No se realiza la validación de los datos de salida en todas las aplicaciones/informes aunque en todos los casos se proporciona a los usuarios la información suficiente para que se pueda evaluar correctamente.

No cumple

12

3

 

CONTROLES CRIPTOGRÁFICOS

 

12

3

1

Política de uso de los controles criptográficos

SEGURIDAD

No existe una política formal sobre el uso de los controles criptográficos que recoja la información el enfoque, el análisis de riesgos y las medidas implementadas.

No cumple

12

3

2

Gestión de claves

SEGURIDAD

La organización tiene un implementado un sistema de gestión de claves en donde se generan y almacenan los certificados, gestión de claves, etc. Este sistema está protegido y existe una política no formal sobre su uso.

Cumple

12

4

 

SEGURIDAD EN LOS ARCHIVOS DE SISTEMA

 

12

4

1

Control del software en explotación

SISTEMAS- REDES

Existen controles del software en explotación mediante la gestión de cambios y se realizan las actualizaciones del sistema mediante un proceso documentado y probado. Adicionalmente existe un registro de auditoría de los cambios realizados y la posibilidad de restaurar un sistema si en el cambio se producen errores.

Cumple

12

4

2

Protección de los datos de prueba

DESARROLLO

No se establece protección adicional a los datos de pruebas, se utilizan los mismos mecanismos y controles que con los datos reales.

No cumple

12

4

3

Control de acceso al código fuente

DESARROLLO

La gestión del acceso al código fuente se realiza de forma correcta; sólo los usuarios autorizados tienen acceso al código fuente y este está protegido contra modificaciones. Adicionalmente se realiza un registro de los cambios.

Cumple

12

5

 

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

 

12

5

1

Procedimiento de control de cambios

SISTEMAS- REDES

La organización lleva a cabo un procedimiento de gestión de cambios donde se establece el nivel de autorización, los sistemas afectados, los cambios realizados, etc. Esta gestión de cambios realiza un registro de los pasos realizados y permite trazar una auditoría del proceso. Aunque es necesario mejorarlo ya que no se puede asociar el activo

Cumple

12

5

2

Revisión técnica de las aplicaciones después de cambios en los sistemas operativos

SEGURIDAD

Siempre que se realiza un cambio a nivel de sistema o a nivel de software se realiza una revisión técnica sobre el cambio realizado u otros aspectos relacionados. Aunque es necesario mejorar el área de Quality y Testing.

Cumple

12

5

3

Restricción en los cambios a los paquetes de software

SISTEMAS- REDES

La organización sólo realiza cambios en paquetes de software cuando el cliente tiene una necesidad, el software presenta un problema o con intención de mejorar su rendimiento/funcionamiento. Todos los cambios son evaluados y probados, no se realizan sin previa autorización y el software original se conserva.

Cumple

12

5

4

Fuga de información

DESARROLLO

La organización no tiene a disposición de los empleados escáneres u otros dispositivos similares, además limita el tamaño de salida de los correos, no permite el uso de sticks de memoria, y otros controles similares que impiden la fuga de información.

Cumple

12

5

5

Desarrollo externalizado de software

DESARROLLO

Se realiza el desarrollo externalizado de software pero no en todos los casos se han establecido: los contratos de licencia, propiedad del código, requisitos de calidad y seguridad del software, etc.

Cumple

12

6

 

GESTIÓN DE VULNERABILIDADES TÉCNICAS

 

12

6

1

Control de vulnerabilidades técnicas

SEGURIDAD

Normalmente la organización lleva a cabo la gestión de las vulnerabilidades técnicas en cuanto a sistemas operativos Microsoft pero no en el resto de software (Acrobat, Java, etc. - incluido aplicaciones Microsoft) y dispositivos (Cisco, etc).

Cumple

13

 

 

GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIÓN

 

13

1

 

REPORTE DE INCIDENCIAS Y DEBILIDADES

 

13

1

1

Notificación de los eventos de seguridad de la información

HELP DESK

La organización posee un help desk de soporte 24x365 (punto único: web, teléfono y correo electrónico) donde usuarios y proveedores pueden notificar las incidencias aunque no se hace distinción entre problemas habituales o incidencias de seguridad. No existe documentación del sistema de gestión de incidencias.

No cumple

13

1

2

Notificación de los puntos débiles de la seguridad

HELP DESK

Los empleados, contratistas y terceros notifican las incidencias pero no están obligados (por política, por cláusula, o similar) a notificar los puntos débiles de seguridad.

No cumple

13

2

 

GESTIÓN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS

 

13

2

1

Responsabilidades y procedimientos

HELP DESK

La organización no cuenta con un esquema formal de responsabilidades y procedimientos para el tratamiento de las incidencias de seguridad (específico).

No cumple

13

2

2

Aprendizaje de los incidentes de seguridad de la información

HELP DESK

La organización no cuenta con ningún mecanismo que permita el aprendizaje sobre los incidentes de seguridad.

No cumple

13

2

3

Recopilación de evidencias

HELP DESK

En caso de incidentes de seguridad la organización realiza la recopilación de evidencias pero no sigue ningún procedimiento específico y muchas veces por desconocimiento no las realiza rigurosamente.

No cumple

14

 

 

GESTIÓN DE LA CONTINUIDAD DE NEGOCIO

 

14

1

 

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DE NEGOCIO

 

14

1

1

Incluir la seguridad de la información en el proceso de gestión de la continuidad de negocio

SEGURIDAD

La organización cuenta una gestión de la continuidad del negocio a baja escala, sin analizar grandes catástrofes/daños y sin incluir la seguridad de la información.

No cumple

14

1

2

Continuidad de negocio y análisis de riesgos

SEGURIDAD

La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos.

No cumple

14

1

3

Desarrollo e implantación de planes de continuidad incluyendo la seguridad de la información

SEGURIDAD

La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos.

No cumple

14

1

4

Marco de planificación de la continuidad de negocio

SEGURIDAD

La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos.

No cumple

14

1

5

Prueba, mantenimiento y revisión de los planes de continuidad de negocio

SEGURIDAD

La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos.

No cumple

15

 

 

CUMPLIMIENTO

 

15

1

 

CUMPLIMIENTO DE LOS REQUISITOS LEGALES

 

15

1

1

Identificación de la legislación aplicable

ASESORIA JURIDICA

La organización cumple con la LOPD, LSSI y otra legislación vigente y así lo demuestra los informes de auditoría presentados.

Cumple

15

1

2

Derechos de propiedad intelectual

ASESORIA JURIDICA

La organización cumple con la propiedad intelectual; compra las licencias a fuentes de confianza, mantiene un inventario de los productos, realiza una revisión anual de los mismos, etc. Aunque no tiene publicada una política sobre el cumplimiento de la DPI.

Cumple

15

1

3

Protección de los documentos de la organización

ASESORIA JURIDICA

La organización almacena y protege adecuadamente la documentación oficial requerida además de establecer adecuadamente los periodos de retención de la información. En su contra no se establece ningún documento formal que indique el calendario de conservación o las directrices de conservación.

Cumple

15

1

4

Protección de datos de carácter personal y privacidad

ASESORIA JURIDICA

La organización cumple con la LOPD, LSSI y otra legislación vigente y así lo demuestra los informes de auditoría presentados.

Cumple

15

1

5

Prevención del mal uso de los recursos informáticos

RRHH

La organización realiza la prevención del mal uso de los recursos informáticos mediante medidas y controles técnicas e informa a los empleados sobre el uso indebido de estos.

Cumple

15

1

6

Regulación de controles criptográficos

SEGURIDAD

La organización cumple con la regulación de los controles criptográficos e implanta su uso cuando es necesario aunque no existe una documentación específica al respecto.

Cumple

15

2

 

CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD

 

15

2

1

Cumplimiento de las políticas y normas de seguridad.

AUDIT

No se detectan informes formales sobre las revisiones del cumplimiento por parte de los directores aunque parece que informalmente se realiza este seguimiento.

No cumple

15

2

2

Comprobación del cumplimiento técnico

AUDIT

En los últimos años se han realizado auditorías técnicas y procedimentales, la organización posee los informes resultados. Ha analizado los informes y está implementando las mejoras.

Cumple

15

3

 

CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DE INFORMACIÓN

 

15

3

1

Controles de auditoría de los sistemas de información

AUDIT

En la realización de las auditorías se ha seleccionado el ámbito y los controles necesarios para minimizar el riesgo de las interrupciones. No existe documento general pero se prepara un contrato con cada auditoría.

Cumple

15

3

2

Protección de las herramientas de auditoría de sistemas de información

AUDIT

Todas las herramientas de auditoría están especialmente protegidas y sólo son accesibles para los administradores/auditores.

Cumple

...

Descargar como (para miembros actualizados) txt (49 Kb) pdf (306 Kb) docx (52 Kb)
Leer 24 páginas más »
Disponible sólo en Clubensayos.com