Especialización en: Gestión y Seguridad en Bases de Datos
Enviado por juanc1246 • 16 de Diciembre de 2015 • Tarea • 6.226 Palabras (25 Páginas) • 133 Visitas
Actividad AA1-EVA 5.
Aplicación de la norma ISO 27002.
A:
Osvaldo Rueda Carreño.
Especialización en: Gestión y Seguridad en Bases de Datos.
Ficha: 1017121.
SENA.
28 de Agosto del 2015.
Contenido
Introducción
Debilidades o necesidades detectadas
Estado Actual de la Organización
Plan de Mejoramiento
Introducción
La información es un recurso que, como el resto de los activos, tiene valor para la institución y por consiguiente debe ser debidamente protegida.
El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la Información garantiza un compromiso ineludible de protección a la misma frente a una amplia gama de amenazas. Con esta política se contribuye a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto sistema de información.
La institución establecerá los mecanismos para respaldar la difusión, estudio, actualización y consolidación tanto de la presente política como de los demás componentes del Sistema de Gestión de la Seguridad de la Información y alinearlos de forma efectiva con los demás sistemas de gestión.
La seguridad de la información se entiende como la preservación, aseguramiento y cumplimiento de las siguientes características de la información:
- Confidencialidad: los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
- Integridad: El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
- Disponibilidad: Los activos de información sólo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados.
Para ello es necesario considerar aspectos tales como:
- Autenticidad: Los activos de información los crean, editan y custodian usuarios reconocidos quienes validan su contenido.
- Posibilidad de Auditoría: Se mantienen evidencias de todas las actividades y acciones que afectan a los activos de información.
- Protección a la duplicación: Los activos de información son objeto de clasificación, y se llevan registros de las copias generadas de aquellos catalogados como confidenciales.
- No repudio: Los autores, propietarios y custodios de los activos de información se pueden identificar plenamente.
- Legalidad: Los activos de información cumplen los parámetros legales, normativos y estatutarios de la institución.
- Confiabilidad de la Información: Es fiable el contenido de los activos de información que conserven la confidencialidad, integridad, disponibilidad, autenticidad y legalidad.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.
'La información es un activo que, como otros activos importantes de la empresa, es esencial para las operaciones de la organización, y en consecuencia necesita ser adecuadamente protegida". ISO 27002:2005.
Debilidades o necesidades detectadas y Estado Actual de la organización
Para detectar el estado actual de la alcaldía de San Antonio de Sena en materia de seguridad de la información se utilizó la Norma UNE-ISO/IEC 27002, la cual establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.
Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanece sujeta a lo detectado en un análisis de riesgos previo, y el grado de implementación de cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.
Después de haber aplicado la guía se encontró para cada control lo siguiente:
Tabla 1. Hallazgo por control evaluado Norma ISO 270002. Alcaldía San Antonio de Sena. Antioquia 2015.
D | OC | C | NOMBRE CONTROL | DEPENDENCIA | DEBILIDAD | CRITERIO |
5 |
|
| POLÍTICA DE SEGURIDAD |
| ||
5 | 1 |
| POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN |
| ||
5 | 1 | 1 | Documento de política de seguridad de la información | SEGURIDAD | El documento se encuentra en una versión inicial que recoge aproximadamente el 50% de la información requerida, sólo una persona trabaja en la construcción del mismo | No cumple |
5 | 1 | 2 | Revisión de la política de seguridad de la información | SEGURIDAD | No existe Política de Seguridad, tampoco ha sido aprobada por la dirección por lo tanto no se revisa. | No cumple |
6 |
|
| ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN |
| ||
6 | 1 |
| ORGANIZACIÓN INTERNA |
| ||
6 | 1 | 1 | Compromiso de la Dirección con la seguridad de la información | SEGURIDAD | No se ha creado formalmente el Comité de Gestión de la Seguridad de la Información. Aunque la administración municipal muestra su apoyo a la seguridad dentro de la organización y asigna funciones no lo hace a través de directrices claras, tampoco ha realizado una asignación explícita ni el reconocimiento de responsabilidades. | No cumple |
6 | 1 | 2 | Coordinación de la seguridad de la información | SEGURIDAD | Las actividades relativas a la seguridad son coordinadas y asignadas entre los diferentes roles y funciones aunque no existen procedimientos documentados. No hay una persona estrictamente encargada. | No cumple |
6 | 1 | 3 | Asignación de responsabilidades en seguridad de la información | SEGURIDAD | Los activos de información no están claramente definidos y aunque en algunos casos existe una asignación de responsabilidades no es formal. | No cumple |
6 | 1 | 4 | Proceso de autorización de recursos para la seguridad de la información | SEGURIDAD | Existe un proceso de autorización para los nuevos recursos de procesados de información. | Cumple |
6 | 1 | 5 | Acuerdos de confidencialidad | SEGURIDAD | En algunos casos se han establecidos acuerdos de confidencialidad pero no son revisados de forma periódica, existen pero no se revisan. | Cumple |
6 | 1 | 6 | Relación con las autoridades | SEGURIDAD | Existen procedimientos de prevención de riesgos y accidentes laborales (incendios, inundaciones, etc.) así como un protocolo de actuación claramente documentado. En el caso de la seguridad de la información, por ejemplo robos, ataques externos, incidentes terroristas, etc no se establece procedimiento formal. | Cumple |
6 | 1 | 7 | Relación con grupos de interés especial | SEGURIDAD | Se establecen relaciones con grandes proveedores aunque ninguno de especial relevancia en cuestiones de seguridad de la información. | No cumple |
6 | 1 | 8 | Revisión independiente de la seguridad de la información | SEGURIDAD | Se realizan con frecuencia revisiones independientes de seguridad (auditorías) aunque no en todas las áreas. | Cumple |
6 | 2 |
| TERCERAS PARTES |
| ||
6 | 2 | 1 | Identificación de riesgos derivados del acceso de terceros | COMPRAS | Se realiza un exhaustivo análisis en la selección de un proveedor (tercera parte) y siempre se confía el servicio a un importante proveedor (representa su seriedad y buenas prácticas | Cumple |
6 | 2 | 2 | Tratamiento de la seguridad en la relación con los clientes | NEGOCIO | Se revisan los requisitos de seguridad con los clientes y se establecen los controles que se solicitan. | Cumple |
6 | 2 | 3 | Tratamiento de seguridad en los contratos con terceros | COMPRAS | Siempre que se contrata un servicio a un tercero se realiza un contrato pero no en todas las ocasionas este incluye las cláusulas de seguridad correspondientes. | Cumple |
7 |
|
| GESTIÓN DE ACTIVOS |
| ||
7 | 1 |
| RESPONSABILIDAD SOBRE LOS ACTIVOS |
| ||
7 | 1 | 1 | Inventario de activos | SISTEMAS- REDES | Se realiza un inventario detallado de equipos, servidores y otros dispositivos propiedad de la organización o utilizados en sus procesos de negocios pero no existe un inventario de los activos de información. | Cumple |
7 | 1 | 2 | Propietarios de los activos | SISTEMAS- REDES | En el inventario existente se asigna un propietario al activo pero no lo específica razonablemente se hace de forma genérica. | No cumple |
7 | 1 | 3 | Uso aceptable de los recursos | RRHH | Hay publicado un código de conducta y una guía general sobre el buen uso de los recursos de información de la organización. | Cumple |
7 | 2 |
| CLASIFICACIÓN DE LA INFORMACIÓN |
| ||
7 | 2 | 1 | Directrices de clasificación | RRHH | Se cumple con la normativa vigente de LOPD y por lo tanto se tiene clasificada la información que contiene datos personales según la legislación vigente pero no se clasifican aquellos activos de información que no contienen datos personales y tampoco se identifican según la criticidad para la organización. | Cumple |
7 | 2 | 2 | Etiquetado y tratamiento de la información | SEGURIDAD FISICA | La información clasificada está etiquetada y tiene un tratamiento adecuado a las características asignadas. | Cumple |
8 |
|
| SEGURIDAD LIGADA A LOS RRHH |
| ||
8 | 1 |
| ANTES DEL EMPLEO |
| ||
8 | 1 | 1 | Funciones y responsabilidades | RRHH | Existe un documento descriptivo de todos los puestos de trabajo de la organización, donde se describe cuáles son sus funciones y responsabilidades pero no en todos los casos se definen las responsabilidades de terceros. Muchas veces no se especifican las responsabilidades respecto a la seguridad. | Cumple |
8 | 1 | 2 | Investigación de antecedentes | RRHH | Antes de realizar una contratación se solicitan referencias y se investigan los antecedentes del empleador o tercero. Se solicita documentación oficial sobre títulos, etc. | Cumple |
8 | 1 | 3 | Términos y condiciones del empleo | RRHH | De acuerdo con la legislación se les hace firmar una cláusula legal (genérica) aunque no un código ético ni acuerdos. En contratos muy antiguos no se ha realizado nunca. Sucede con empleados y terceras partes. | Cumple |
8 | 2 |
| DURANTE EL EMPLEO |
| ||
8 | 2 | 1 | Responsabilidades de la Dirección | RRHH | Aunque se trasmite a los empleados una guía del buen uso de los recursos de la información no existe una política de seguridad clara. | Cumple |
8 | 2 | 2 | Concienciación, formación y capacitación en seguridad de la información | RRHH | No se realiza concienciación, formación o capacitación respecto a la seguridad de la información. | No cumple |
8 | 2 | 3 | Proceso disciplinario | RRHH | No existe un proceso disciplinario formal y claro para los empleados que hayan provocado la violación de la seguridad. | No cumple |
8 | 3 |
| CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO |
| ||
8 | 3 | 1 | Responsabilidad del cese o cambio | RRHH | Existe un procedimiento documentado respecto a la baja o cambio de puesto del personal. Se han asignado claramente las responsabilidades. | Cumple |
8 | 3 | 2 | Devolución de activos | RRHH | Existe un procedimiento (aunque no documentado) sobre la devolución de los activos de la organización al finalizar su empleo, contrato o acuerdo. | Cumple |
8 | 3 | 3 | Supresión de los derechos de acceso | RRHH | Existe un procedimiento documentado y revisado respecto a la supresión de derechos de acceso en el caso de cese o cambio de función. En algunos casos puntuales no son informados los cambios de función inmediatamente | Cumple |
9 |
|
| SEGURIDAD FÍSICA Y AMBIENTAL |
| ||
9 | 1 |
| ÁREAS SEGURAS |
| ||
9 | 1 | 1 | Perímetro de seguridad física | SEGURIDAD FISICA | Las instalaciones de la organización están cerradas al personal ajeno a esta mediante muros, barreras, puertas y otros elementos físicos. No es posible el acceso a las instalaciones físicas sin autorización. | Cumple |
9 | 1 | 2 | Control físicos de entrada | SEGURIDAD FISICA | Todas las instalaciones de la organización están controladas mediante un perímetro de seguridad al cual se accede por tarjeta con supervisión de personal de la organización, sin ella no es posible el acceso. Las zonas sensibles están protegidas con tarjeta y código. | Cumple |
9 | 1 | 3 | Seguridad de oficinas, despachos y salas | SEGURIDAD FISICA | Las salas están protegidos mediante una puerta con llave siempre cerrada a custodia de los responsables. Los despachos están protegidos con puertas con cerradura y se cierran siempre que es necesario. | Cumple |
9 | 1 | 4 | Protección contra amenazas externas y de origen ambiental | SEGURIDAD FISICA | La organización tiene instaladas protecciones contra amenazas externas: sistemas de extinción de incendios en todos los espacios, protección del fuego en zonas mediante infraestructuras especiales (puertas ignífugas, etc.). Zonas sensibles en espacios altos para evitar daños en inundaciones acompañadas de desagües en zonas de riesgo. En cuanto a amenazas provocadas por el hombre cuenta con las barreras físicas habituales. | Cumple |
9 | 1 | 5 | Trabajo en áreas seguras | SEGURIDAD FISICA | La organización tiene implementada una serie de directrices para el uso de espacio comunes, asegurando las zonas de trabajo. | Cumple |
9 | 1 | 6 | Acceso público, zonas de carga y descarga | SEGURIDAD FISICA | En las zonas de acceso al público o zonas de carga y descarga siempre está presente un empleado de la organización supervisando el acceso o las tareas que se deben realizar. Estas zonas se mantienen libre del tratamiento de información o está protegida adecuadamente. | Cumple |
9 | 2 |
| SEGURIDAD DE LOS EQUIPOS |
| ||
9 | 2 | 1 | Emplazamiento y protección de los equipos | SEGURIDAD FISICA | Los equipos de la organización y otros dispositivos de tratamiento o mantenimiento de la información son adecuadamente ubicados mediante la protección de los mismos; accesos no autorizados, problemas ambientales (goteras, lluvia, etc) | Cumple |
9 | 2 | 2 | Instalaciones de suministro | SEGURIDAD FISICA | Todas las instalaciones de la organización están protegidas ante fallos de alimentación. Las zonas especialmente sensibles están reforzadas con un sistema adicional y redundante que asegura el funcionamiento y la continuidad de la operativa en caso de fallo eléctricos o la protección ante los mismos. | Cumple |
9 | 2 | 3 | Seguridad del cableado | SISTEMAS- REDES | Tanto el cableado eléctrico como de comunicaciones está protegido ante interceptaciones o daños. Se ubican en sus correspondientes bandejas y los accesos del cableado especialmente protegido sólo es conocido por el personal autorizado. | Cumple |
9 | 2 | 4 | Mantenimiento de los equipos | SISTEMAS- REDES | Los equipos (servidores, etc) y dispositivos tienen un mantenimiento adecuado y se monitorizan constantemente ante fallos hardware, en caso de fallo son inmediatamente reparados. Los equipos y dispositivos especialmente críticos tienen asociado un contrato de reparación en caso de fallo (por importantes proveedores). Aunque no existe una evaluación de riesgos ni una política clara. | Cumple |
9 | 2 | 5 | Seguridad de equipos fuera de los locales propios | SEGURIDAD FISICA | Los equipos que se emplean fuera de la organización cumplen las mismas medidas que los equipos que se emplean dentro, no se aplican medidas especiales (encriptación, etc) y aunque suele existir una autorización del responsable no se lleva una buena gestión de ellas. | No cumple |
9 | 2 | 6 | Seguridad en la reutilización o eliminación de equipos | SISTEMAS- REDES | La organización es consciente de la importancia de las buenas prácticas de la retirada o reutilización de equipos por la importancia de los datos que contienen pero no existe ninguna política formal al respecto. Aunque los dispositivos de almacenamiento son retirados y reutilizados de forma segura el procedimiento no está controlado ni revisado. Se lleva el control de las licencias a modo general (no muy exhaustivo). | No cumple |
9 | 2 | 7 | Retirada de materiales de propiedad de la empresa | SEGURIDAD FISICA | Existen controles sobre la retirada de materiales pero son débiles y no están documentados. Se protege la salida de los activos propiedad de la organización aunque no se está especialmente concienciado del peligro que conlleva. | No cumple |
10 |
|
| GESTIÓN DE COMUNICACIONES Y OPERACIONES |
| ||
10 | 1 |
| RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES |
| ||
10 | 1 | 1 | Documentación de los procedimientos de operaciones | SISTEMAS- REDES | La mayoría de los procedimientos de operaciones están correctamente documentados y habitualmente se revisan. Se modifican mediante autorización del responsable y se lleva un control de las versiones. Además están a disposición de todos los usuarios que los necesiten, tampoco permite asociar los activos afectados (equipos, software, información, etc). | Cumple |
10 | 1 | 2 | Gestión de los cambios | SISTEMAS- REDES | Se lleva un control de cambios (con un proceso claro y previa autorización) aunque no es muy exhaustivo y no identifica el área de trabajo (sistemas, comunicaciones, software, etc) ni aplica ninguna clasificación. | Cumple |
10 | 1 | 3 | Segregación de tareas | SISTEMAS- REDES | Se segregan funciones y tareas en todos los departamentos de forma indirecta para evitar las modificaciones no autorizadas o usos indebidos. Como punto débil, no existe documentación o política documentada al respecto. | Cumple |
10 | 1 | 4 | Separación de los entornos de desarrollo, pruebas y explotación | SISTEMAS- REDES | Las áreas de desarrollo y explotación, tanto en Sistemas como en Programación, están diferenciadas aunque no de todas las aplicaciones. Se segregan funciones en todos los departamentos para evitar las modificaciones no autorizadas o usos indebidos. Como punto débil, no existe documentación o política documentada al respecto. | Cumple |
10 | 2 |
| GESTIÓN DE LA PROVISIÓN DE SERVICIOS POR TERCEROS |
| ||
10 | 2 | 1 | Provisión de servicios | SISTEMAS- REDES | Al contratar un servicio se comprueban las definiciones, los acuerdos de provisión y los recursos empleados por el tercero aunque no existe una política general de revisión (check list). No se revisan los acuerdos de forma periódica salvo cause pérdidas para la organización. | Cumple |
10 | 2 | 2 | Supervisión y revisión de los servicicios prestados por terceros | SISTEMAS- REDES | Los niveles de servicios de terceros se monitorizan con frecuencia. No se realizan auditorías de los servicios de terceros ni existe una política específica para la gestión de servicios de terceros. | Cumple |
10 | 2 | 3 | Gestión de cambios en los servicios prestados por terceros | SISTEMAS- REDES | Se gestionan los cambios realizados en servicios de terceros, se actualizan los procedimientos establecidos y se tiene presente la criticidad del servicio para la organización. Aunque su gestión no es óptima. | Cumple |
10 | 3 |
| PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS |
| ||
10 | 3 | 1 | Gestión de capacidades | SISTEMAS- REDES | Se gestiona, en la mayoría de servicios/sistemas, las capacidades de los mismos y se ajusta el consumo. Adicionalmente se realizan proyecciones de los requisitos futuros de capacidad. No existe una política clara y formal al respecto pero se lleva a cabo de manera continua. | Cumple |
10 | 3 | 2 | Aceptación de sistemas | SISTEMAS- REDES | Existen pruebas y revisiones de los sistemas antes de ser puestos en explotación por el departamento receptor (está documentado y se revisa frecuentemente), no sucede lo mismo con los productos de software. | Cumple |
10 | 4 |
| PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y CÓDIGO MÓVIL |
| ||
10 | 4 | 1 | Controles contra software malicioso | SISTEMAS- REDES | Todos los equipos y servidores tienen instalados antivirus locales (centralizados) además de sus correspondientes firewalls. Adicionalmente se aplican protecciones adicionales en las zonas en contacto con Internet (Firewalls). El control está documentado y se revisa frecuentemente. | Cumple |
10 | 4 | 2 | Controles contra código móvil | SISTEMAS- REDES | Las barreras perimetrales de acceso a Internet así como los antivirus locales (incluyen antimalware) y la propia protección del navegador protegen a los equipos y servidores del código móvil. Aunque no hay una política específica la organización es consciente de la necesidad del control. | Cumple |
10 | 5 |
| COPIAS DE SEGURIDAD |
| ||
10 | 5 | 1 | Copias de seguridad de la información | SISTEMAS- REDES | La organización evalúa la necesidad de las copias de seguridad al poner en explotación un nuevo sistema y realiza un inventario y control de las mismas. Adicionalmente se revisan de forma periódica y se hacen pruebas puntuales de recuperación aunque no de todos los sistemas. La mayoría de procesos de copias de seguridad están documentados y existen procedimientos para llevarlos a cabo. | Cumple |
10 | 6 |
| GESTIÓN DE LA SEGURIDAD DE LA RED |
| ||
10 | 6 | 1 | Controles de red | SISTEMAS- REDES | La organización cuenta con una red segmentada (dependiendo de la criticidad de los datos y la exposición al exterior) por Firewalls y asegurada por rutas y reglas de acceso. Adicionalmente cuenta con dispositivos avanzados que detectan comportamientos extraños en la red. | Cumple |
10 | 6 | 2 | Seguridad de los servicios de red | SISTEMAS- REDES | Los servicios de red están identificados y tienen asignados las características de seguridad y algunas veces los requisitos de gestión pero no en todos los servicios (sobre todo los internos) se identifican los acuerdos con la dirección. | Cumple |
10 | 7 |
| MANIPULACIÓN DE SOPORTES |
| ||
10 | 7 | 1 | Gestión de soportes extraíbles | SISTEMAS- REDES | Aunque se establecen controles técnicos sobre el uso de memorias extraíbles no se realizan sobre unidades de CD/DVD u otros dispositivos. Tampoco se establecen procedimientos formales (por escrito) ni recomendaciones. | No cumple |
10 | 7 | 2 | Retirada de soportes | SISTEMAS- REDES | Aunque no existe una política o procedimiento formal (por escrito) la mayoría de soportes se destruyen manualmente al ser retirados aunque no sucede así con las estaciones de trabajo u otros dispositivos de menor envergadura. | No cumple |
10 | 7 | 3 | Procedimiento de manipulación de la información | SISTEMAS- REDES | La información se manipula correctamente y existen controles/procedimientos que la protegen contra los accesos no autorizados o el uso indebido pero no existe política o procedimiento por escrito sobre las prácticas o recomendaciones. | Cumple |
10 | 7 | 4 | Seguridad de la documentación de los sistemas | SISTEMAS- REDES | La documentación y la información en general están protegida mediante reglas de acceso proporcionadas por los responsables de los datos. Se está mejorando la gestión en la centralización creando accesos por grupos de recursos. | Cumple |
10 | 8 |
| INTERCAMBIO DE INFORMACIÓN |
| ||
10 | 8 | 1 | Políticas y procedimientos de intercambio de información | SEGURIDAD | Se han establecido políticas y procedimientos para el intercambio de información sobre todo aquella que contiene datos personales aunque no ha sido comunicada a todas las partes. En algunos casos no se observan cláusulas de confidencialidad y en la comunicación de voz no se han aplicado correctamente los controles adecuados. | Cumple |
10 | 8 | 2 | Acuerdos de intercambio | RRHH | En ninguno de los casos se han establecido acuerdos de intercambio de información entre la organización y terceros. | No cumple |
10 | 8 | 3 | Soportes físicos en transito | SEGURIDAD FISICA | La organización tiene una política clara y formal sobre los procedimientos de tránsito de soportes físicos, se lleva a cabo correctamente y se revisa con cierta frecuencia. | Cumple |
10 | 8 | 4 | Correo electrónico | SISTEMAS- REDES | La información contenida en el correo electrónico presenta las protecciones estándar del producto, no se han aplicado certificados ni encriptación. | Cumple |
10 | 8 | 5 | Sistemas de información empresariales | SISTEMAS- REDES | La interconexión de los sistemas empresariales está debidamente controlada y se gestiona correctamente su alta, baja y modificación de accesos. Existe una documentación asociada al respecto. | Cumple |
10 | 9 |
| SERVICIOS DE COMERCIO ELECTRONICO |
| ||
10 | 9 | 1 | Comercio electrónico | SISTEMAS- REDES | La organización utiliza el comercio electrónico y por ello cumple con la legislación vigente asociada (LOPD, LSSI, etc) adicionalmente se protege de actividades fraudulentas y disputas contractuales mediante sistemas de seguridad (Firewalls, encriptación, certificados digitales, etc). Existe una política formal al respecto. | No cumple |
10 | 9 | 2 | Transacciones en línea | SISTEMAS- REDES | Las transacciones en línea se realizan mediante encriptación del canal de comunicación, ya sea por certificados digitales u otros medios. Se llevan a cabo otros controles que aseguran la transacción. Pago de impuesto predial, ICA y vehículos son las que tienen establecidas formal | Cumple |
10 | 9 | 3 | Información con acceso publico | SISTEMAS- REDES | La información puesta a disposición pública está debidamente protegida frente a modificaciones no autorizadas y se revisa frecuentemente. Los servidores están correctamente actualizados y presentan sistemas antivirus/antimalware activos. | Cumple |
10 | 10 |
| MONITORIZACIÓN |
| ||
10 | 10 | 1 | Registro de auditorías | SISTEMAS- REDES | Todos los sistemas de información tienen activo el registro de eventos de seguridad pero no se ha establecido ninguna política común de almacenamiento. Tampoco existe documentación respecto a la configuración o los requisitos del negocio. | No cumple |
10 | 10 | 2 | Monitorización del uso de los sistemas | SISTEMAS- REDES | La organización ha establecido los procedimientos para la monitorización y supervisión de los recursos de procesamiento de información, estos se revisan periódicamente. No existe una política formal pero las medidas se toman de forma adecuada. | Cumple |
10 | 10 | 3 | Protección de la información de los registros | SISTEMAS- REDES | Los registros de seguridad de los sistemas se protegen de forma adecuada de los accesos no autorizadas y de manipulaciones indebidas. No se revisan de forma frecuente. | Cumple |
10 | 10 | 4 | Registros de administración y operación | SISTEMAS- REDES | Los registros de seguridad registran cualquier evento del sistema, incluyendo aquellos realizados por los operadores y los administradores de sistemas. No existe ningún procedimiento de revisión periódica. | Cumple |
10 | 10 | 5 | Registros de fallos | SISTEMAS- REDES | Se realiza la gestión de fallos de los sistemas mediante varias herramientas de monitorización que permiten a los administradores actuar para prevenir la interrupción o solucionarla. | Cumple |
10 | 10 | 6 | Sincronización de relojes | SISTEMAS- REDES | Los relojes de todos los sistemas están sincronizados con una precisión de tiempo acordada. Existe un procedimiento forma que se revisa con cierta frecuencia. | Cumple |
11 |
|
| CONTROL DE ACCESO |
| ||
11 | 1 |
| REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO |
| ||
11 | 1 | 1 | Política de control de acceso | SEGURIDAD | Aunque la organización lleva a cabo un control de acceso siguiendo las indicaciones de la dirección o los clientes (requisitos del negocio) no existe ninguna política de control acceso formal (documentada y revisada). | Cumple |
11 | 2 |
| GESTIÓN DE ACCESO DE USUARIO |
| ||
11 | 2 | 1 | Registro de usuario | SISTEMAS- REDES | La organización tiene un procedimiento formal de alta, baja y modificación de usuarios mediante el cual se concenden y revocan los derechos de acceso. Este documento se actualiza y revisa con frecuencia. | Cumple |
11 | 2 | 2 | Gestión de privilegios | SISTEMAS- REDES | La gestión de privilegios sólo corresponde al departamento de Administración de Sistemas (en el caso de sistemas comunes) y explotación de aplicaciones (en el caso de aplicaciones). Ningún otro usuario puede realizar estas funciones. Aunque no existe un esquema formal de autorización el procedimiento se realiza correctamente. | Cumple |
11 | 2 | 3 | Gestión de las contraseñas de los usuarios | SISTEMAS- REDES | Se realiza una gestión correcta de las contraseñas de los usuarios tanto a nivel de aplicación como de sistema a través de un proceso formal (se establece caducidad y bloqueo) aunque no existe ninguna política formal sobre la gestión de contraseñas (entrega, cambio, etc). Tampoco se firman cláusulas de confidencialidad de la contraseña. | Cumple |
11 | 2 | 4 | Revisión de los derechos de accesos | SISTEMAS- REDES | No existe ningún procedimiento formal de revisión de los derechos de acceso, los responsables de la información confían en los derechos establecidos y sólo se revisan en caso de error, anomalía o incidencia. | No cumple |
11 | 3 |
| RESPONSABILIDAD DE USUARIO |
| ||
11 | 3 | 1 | Uso de las contraseñas | SISTEMAS- REDES | La organización ha establecido métodos técnicos para que las contraseñas cumplan con unos requisitos de seguridad adecuados (no está aplicado en las aplicaciones) pero no existe una guía de recomendaciones en la selección de contraseñas para los usuarios. | Cumple |
11 | 3 | 2 | Equipo de usuario desatendido | SISTEMAS- REDES | Se han establecido controles técnicos para el bloqueo de equipos desatendidos (tanto en estaciones de trabajo como servidores) pero no existe una guía/formación de concienciación dirigida a los usuarios. | Cumple |
11 | 3 | 3 | Política de puesto de trabajo despejado y bloqueo de pantalla | SISTEMAS- REDES | No existe ninguna política formal de puesto de trabajo despejado y bloqueo de pantalla aunque la organización ha establecido métodos técnicos para el bloqueo de sesiones. | Cumple |
11 | 4 |
| CONTROL DE ACCESO A LA RED |
| ||
11 | 4 | 1 | Política de uso de los servicios de red | SISTEMAS- REDES | El uso de los servicios de red (un gran porcentaje) está controlado técnicamente y sólo se habilita el acceso previa autorización pero no existe una política formal sobre la solicitud de acceso. Como debilidad la organización permite el acceso a la red por DHCP si un dispositivo se conecta a una toma (sin autorización previa). | Cumple |
11 | 4 | 2 | Autenticación de usuarios para conexiones externas | SISTEMAS- REDES | Se establecen la autentificación de usuarios para conexiones externas mediante rangos de IP y enrutamientos preestablecidos, estos controles se acompañan de reglas de acceso en Firewalls. | Cumple |
11 | 4 | 3 | Identificación de equipos en la red | SISTEMAS- REDES | Todos los equipos de la red están identificados e inventariados (de forma automática), se realiza un control sobre la incorporación de nuevos equipos (evalúa la autorización de su acceso a la red). Existe una estructura definida de la red y la asignación de IPs por zonas. | Cumple |
11 | 4 | 4 | Diagnóstico remoto y protección de los puertos de configuración | SISTEMAS- REDES | De forma general los puertos de configuración de equipos, switches y otros están protegidos ya sea por medidas lógicas como físicas. | Cumple |
11 | 4 | 5 | Segregaciones de la red | SISTEMAS- REDES | Las redes de la organización están completamente segregadas y protegidas teniendo en cuenta su criticidad, exposición al exterior y el valor de la información que protegen. Esto se complementa con dispositivos avanzados de vigilancia de la red. | Cumple |
11 | 4 | 6 | Control de conexión a la red | SISTEMAS- REDES | La organización establece controles de conexión a la red mediante enrutamientos, firewalls y otros elementos. Adicionalmente se monitorizan los accesos y se controla el consumo de recursos. | Cumple |
11 | 4 | 7 | Control de encaminamiento en la red | SISTEMAS- REDES | La organización tiene implementado un control de encaminamiento de red, todas las redes que están controladas se encaminan a sus correspondientes firewalls y en estos se establecen las reglas de acceso. | Cumple |
11 | 5 |
| CONTROL DE ACCESO AL SISTEMA OPERATIVO |
| ||
11 | 5 | 1 | Procedimiento seguros de inicio de sesión | SISTEMAS- REDES | Se establecen mecanismos técnicos de inicio de sesión seguro: no muestra el último usuario logeado, bloqueo de contraseñas por intentos fallidos, tiempo de espera al bloqueo de cuenta, comunicación cifrada de la contraseña, etc pero estos no se recogen en una política. Tampoco se muestra un aviso general del acceso limitado a los usuarios autorizados. | Cumple |
11 | 5 | 2 | Identificación y autenticación de usuario | SISTEMAS- REDES | No todos los usuarios del sistema tienen identificadores personales, existen muchos usuarios genéricos donde no se puede trazar la persona (tanto en sistema como en aplicación). | No cumple |
11 | 5 | 3 | Sistema de gestión de contraseñas | SISTEMAS- REDES | El sistema de gestión de contraseñas es correcto, se almacenan cifradas, se establece una complejidad a las contraseñas, un periodo de caducidad, un historial recordatorio. Además se permite al usuario la modificación de contraseña en la mayoría de casos, etc. | Cumple |
11 | 5 | 4 | Uso de las utilidades de los sistemas operativos | SISTEMAS- REDES | Tanto en equipos como en servidores se limita el uso y acceso a las herramientas y utilidades del sistema operativo que puedan dañar parte del mismo. Sólo el personal técnico autorizado/capacitado tiene acceso a estas. Adicionalmente todas las aplicaciones innecesarias son eliminadas del sistema pero no existe una política formal al respecto. | Cumple |
11 | 5 | 5 | Desconexión automática de sesión | SISTEMAS- REDES | En el acceso a sistemas remotos se establece un timeout de sesión pero no sucede lo mismo en las aplicaciones internas de la organización ni en las sesiones de usuario en las estaciones de trabajo. | Cumple |
11 | 5 | 6 | Limitación de las ventanas de conexión | SISTEMAS- REDES | Dadas las necesidades del negocio no se han establecido ventanas de limitación de conexión ya que los clientes requieren el uso del sistema en cualquier hora/día del año. | Cumple |
11 | 6 |
| CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIÓN |
| ||
11 | 6 | 1 | Restricción de acceso a la información | SISTEMAS- REDES | Las aplicaciones tienen asignados distintos menús dependiendo el perfil del usuario, sólo los usuarios de soporte tienen acceso a toda la información. Existe documentación al respecto. | Cumple |
11 | 6 | 2 | Aislamiento de sistemas sensibles | SISTEMAS- REDES | Los sistemas sensibles están aislados y correctamente protegidos bajo los requisitos del negocio y del propietario de los datos. | Cumple |
11 | 7 |
| ORDENADORES PORTÁTILES Y TELETRABAJO |
| ||
11 | 7 | 1 | Ordenadores portátiles y comunicaciones móviles. | SISTEMAS- REDES | Aunque la mayor parte de la información está centralizada y se utilizan protocolos seguros así como mecanismos adicionales, no existe una política formal sobre la utilización de equipos y dispositivos portátiles o móviles. | No cumple |
11 | 7 | 2 | Teletrabajo | RRHH | No existe una política formal de teletrabajo donde se indiquen los requisitos necesarios (antivirus, firewall, conexión, ubicación física, etc) así como acuerdos de licencia o propiedad intelectual, reglas de uso (acceso a la familia, …), etc. | No cumple |
12 |
|
| ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN |
| ||
12 | 1 |
| REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN |
| ||
12 | 1 | 1 | Análisis y especificaciones de requisitos de seguridad | DESARROLLO | En el análisis y especificaciones de los nuevos productos se suelen evaluar las características y controles de seguridad aunque no en todas las ocasiones. Cuando se asumen debilidades de seguridad no se realiza una evaluación de riesgos. | No cumple |
12 | 2 |
| PROCESO CORRECTO EN LAS APLICACIONES |
| ||
12 | 2 | 1 | Validación de los datos de entrada | DESARROLLO | Las aplicaciones tienen aplicada la validación de datos de entrada, detectando y evitando los errores. Estos controles protegen a las aplicaciones de ataques estándar. | Cumple |
12 | 2 | 2 | Control del proceso interno | DESARROLLO | Las aplicaciones de la organización realizan un control interno de la información que manejan vigilando la integridad de los datos y evitando los ataques estándar. | Cumple |
12 | 2 | 3 | Integridad de los mensajes | DESARROLLO | Las aplicaciones no incorporan la verificación de la integridad de los mensajes aunque existen controles adicionales que pueden complementar este objetivo. | No cumple |
12 | 2 | 4 | Validación de los datos de salida | DESARROLLO | No se realiza la validación de los datos de salida en todas las aplicaciones/informes aunque en todos los casos se proporciona a los usuarios la información suficiente para que se pueda evaluar correctamente. | No cumple |
12 | 3 |
| CONTROLES CRIPTOGRÁFICOS |
| ||
12 | 3 | 1 | Política de uso de los controles criptográficos | SEGURIDAD | No existe una política formal sobre el uso de los controles criptográficos que recoja la información el enfoque, el análisis de riesgos y las medidas implementadas. | No cumple |
12 | 3 | 2 | Gestión de claves | SEGURIDAD | La organización tiene un implementado un sistema de gestión de claves en donde se generan y almacenan los certificados, gestión de claves, etc. Este sistema está protegido y existe una política no formal sobre su uso. | Cumple |
12 | 4 |
| SEGURIDAD EN LOS ARCHIVOS DE SISTEMA |
| ||
12 | 4 | 1 | Control del software en explotación | SISTEMAS- REDES | Existen controles del software en explotación mediante la gestión de cambios y se realizan las actualizaciones del sistema mediante un proceso documentado y probado. Adicionalmente existe un registro de auditoría de los cambios realizados y la posibilidad de restaurar un sistema si en el cambio se producen errores. | Cumple |
12 | 4 | 2 | Protección de los datos de prueba | DESARROLLO | No se establece protección adicional a los datos de pruebas, se utilizan los mismos mecanismos y controles que con los datos reales. | No cumple |
12 | 4 | 3 | Control de acceso al código fuente | DESARROLLO | La gestión del acceso al código fuente se realiza de forma correcta; sólo los usuarios autorizados tienen acceso al código fuente y este está protegido contra modificaciones. Adicionalmente se realiza un registro de los cambios. | Cumple |
12 | 5 |
| SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE |
| ||
12 | 5 | 1 | Procedimiento de control de cambios | SISTEMAS- REDES | La organización lleva a cabo un procedimiento de gestión de cambios donde se establece el nivel de autorización, los sistemas afectados, los cambios realizados, etc. Esta gestión de cambios realiza un registro de los pasos realizados y permite trazar una auditoría del proceso. Aunque es necesario mejorarlo ya que no se puede asociar el activo | Cumple |
12 | 5 | 2 | Revisión técnica de las aplicaciones después de cambios en los sistemas operativos | SEGURIDAD | Siempre que se realiza un cambio a nivel de sistema o a nivel de software se realiza una revisión técnica sobre el cambio realizado u otros aspectos relacionados. Aunque es necesario mejorar el área de Quality y Testing. | Cumple |
12 | 5 | 3 | Restricción en los cambios a los paquetes de software | SISTEMAS- REDES | La organización sólo realiza cambios en paquetes de software cuando el cliente tiene una necesidad, el software presenta un problema o con intención de mejorar su rendimiento/funcionamiento. Todos los cambios son evaluados y probados, no se realizan sin previa autorización y el software original se conserva. | Cumple |
12 | 5 | 4 | Fuga de información | DESARROLLO | La organización no tiene a disposición de los empleados escáneres u otros dispositivos similares, además limita el tamaño de salida de los correos, no permite el uso de sticks de memoria, y otros controles similares que impiden la fuga de información. | Cumple |
12 | 5 | 5 | Desarrollo externalizado de software | DESARROLLO | Se realiza el desarrollo externalizado de software pero no en todos los casos se han establecido: los contratos de licencia, propiedad del código, requisitos de calidad y seguridad del software, etc. | Cumple |
12 | 6 |
| GESTIÓN DE VULNERABILIDADES TÉCNICAS |
| ||
12 | 6 | 1 | Control de vulnerabilidades técnicas | SEGURIDAD | Normalmente la organización lleva a cabo la gestión de las vulnerabilidades técnicas en cuanto a sistemas operativos Microsoft pero no en el resto de software (Acrobat, Java, etc. - incluido aplicaciones Microsoft) y dispositivos (Cisco, etc). | Cumple |
13 |
|
| GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIÓN |
| ||
13 | 1 |
| REPORTE DE INCIDENCIAS Y DEBILIDADES |
| ||
13 | 1 | 1 | Notificación de los eventos de seguridad de la información | HELP DESK | La organización posee un help desk de soporte 24x365 (punto único: web, teléfono y correo electrónico) donde usuarios y proveedores pueden notificar las incidencias aunque no se hace distinción entre problemas habituales o incidencias de seguridad. No existe documentación del sistema de gestión de incidencias. | No cumple |
13 | 1 | 2 | Notificación de los puntos débiles de la seguridad | HELP DESK | Los empleados, contratistas y terceros notifican las incidencias pero no están obligados (por política, por cláusula, o similar) a notificar los puntos débiles de seguridad. | No cumple |
13 | 2 |
| GESTIÓN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS |
| ||
13 | 2 | 1 | Responsabilidades y procedimientos | HELP DESK | La organización no cuenta con un esquema formal de responsabilidades y procedimientos para el tratamiento de las incidencias de seguridad (específico). | No cumple |
13 | 2 | 2 | Aprendizaje de los incidentes de seguridad de la información | HELP DESK | La organización no cuenta con ningún mecanismo que permita el aprendizaje sobre los incidentes de seguridad. | No cumple |
13 | 2 | 3 | Recopilación de evidencias | HELP DESK | En caso de incidentes de seguridad la organización realiza la recopilación de evidencias pero no sigue ningún procedimiento específico y muchas veces por desconocimiento no las realiza rigurosamente. | No cumple |
14 |
|
| GESTIÓN DE LA CONTINUIDAD DE NEGOCIO |
| ||
14 | 1 |
| ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DE NEGOCIO |
| ||
14 | 1 | 1 | Incluir la seguridad de la información en el proceso de gestión de la continuidad de negocio | SEGURIDAD | La organización cuenta una gestión de la continuidad del negocio a baja escala, sin analizar grandes catástrofes/daños y sin incluir la seguridad de la información. | No cumple |
14 | 1 | 2 | Continuidad de negocio y análisis de riesgos | SEGURIDAD | La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos. | No cumple |
14 | 1 | 3 | Desarrollo e implantación de planes de continuidad incluyendo la seguridad de la información | SEGURIDAD | La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos. | No cumple |
14 | 1 | 4 | Marco de planificación de la continuidad de negocio | SEGURIDAD | La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos. | No cumple |
14 | 1 | 5 | Prueba, mantenimiento y revisión de los planes de continuidad de negocio | SEGURIDAD | La organización no ha realizado un plan de continuidad a partir del análisis de un análisis de riesgos. | No cumple |
15 |
|
| CUMPLIMIENTO |
| ||
15 | 1 |
| CUMPLIMIENTO DE LOS REQUISITOS LEGALES |
| ||
15 | 1 | 1 | Identificación de la legislación aplicable | ASESORIA JURIDICA | La organización cumple con la LOPD, LSSI y otra legislación vigente y así lo demuestra los informes de auditoría presentados. | Cumple |
15 | 1 | 2 | Derechos de propiedad intelectual | ASESORIA JURIDICA | La organización cumple con la propiedad intelectual; compra las licencias a fuentes de confianza, mantiene un inventario de los productos, realiza una revisión anual de los mismos, etc. Aunque no tiene publicada una política sobre el cumplimiento de la DPI. | Cumple |
15 | 1 | 3 | Protección de los documentos de la organización | ASESORIA JURIDICA | La organización almacena y protege adecuadamente la documentación oficial requerida además de establecer adecuadamente los periodos de retención de la información. En su contra no se establece ningún documento formal que indique el calendario de conservación o las directrices de conservación. | Cumple |
15 | 1 | 4 | Protección de datos de carácter personal y privacidad | ASESORIA JURIDICA | La organización cumple con la LOPD, LSSI y otra legislación vigente y así lo demuestra los informes de auditoría presentados. | Cumple |
15 | 1 | 5 | Prevención del mal uso de los recursos informáticos | RRHH | La organización realiza la prevención del mal uso de los recursos informáticos mediante medidas y controles técnicas e informa a los empleados sobre el uso indebido de estos. | Cumple |
15 | 1 | 6 | Regulación de controles criptográficos | SEGURIDAD | La organización cumple con la regulación de los controles criptográficos e implanta su uso cuando es necesario aunque no existe una documentación específica al respecto. | Cumple |
15 | 2 |
| CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD |
| ||
15 | 2 | 1 | Cumplimiento de las políticas y normas de seguridad. | AUDIT | No se detectan informes formales sobre las revisiones del cumplimiento por parte de los directores aunque parece que informalmente se realiza este seguimiento. | No cumple |
15 | 2 | 2 | Comprobación del cumplimiento técnico | AUDIT | En los últimos años se han realizado auditorías técnicas y procedimentales, la organización posee los informes resultados. Ha analizado los informes y está implementando las mejoras. | Cumple |
15 | 3 |
| CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DE INFORMACIÓN |
| ||
15 | 3 | 1 | Controles de auditoría de los sistemas de información | AUDIT | En la realización de las auditorías se ha seleccionado el ámbito y los controles necesarios para minimizar el riesgo de las interrupciones. No existe documento general pero se prepara un contrato con cada auditoría. | Cumple |
15 | 3 | 2 | Protección de las herramientas de auditoría de sistemas de información | AUDIT | Todas las herramientas de auditoría están especialmente protegidas y sólo son accesibles para los administradores/auditores. | Cumple |
...