Evaluacion de Controles Iso 27002-2013

Descargar como xlsx, pdf o txt
Descargar como xlsx, pdf o txt
Está en la página 1de 26

CRITERIOS DE EVALUACIÓN

Para establecer el porcentaje de cumplimiento de cada uno de los controles presentes en el checklist,
se tendra en cuenta los niveles de madurez de procesos establecidos en la norma ISO 21827 y los
cuales se describen en la siguiente tabla :

Porcentaje Criterio
0% No realizado

20% Realizado informalmente

40% Planificado

60% Bien definido

80% Cuantitativamente controlado

100% Mejora continua


DE EVALUACIÓN
e cada uno de los controles presentes en el checklist,
rocesos establecidos en la norma ISO 21827 y los

Descripción
No hay controles de seguridad de la
información establecidos.

Existen procedimientos para llevar a


cabo ciertas acciones en determinado
momento. Estas prácticas no se
adoptaron formalmente y/o no se les
hizo seguimiento y/o no se informaron
adecuadamente.
Los controles de seguridad de la
información establecidos son
planificados, implementados y
repetibles.
Los controles de seguridad de la
información además de planificados
son documentados, aprobados e
implementados en toda la
organización.
Los controles de seguridad de la
información estan sujetos a
verificación para establecer su nivel
de efectividad.

Los controles de seguridad de la


información definidos son
periodicamente revisados y
actualizados. Estos reflejan una
mejora al momento de evaluar el
impacto.
Criterio Porcentaje
No realizado 0%
Realizado informalmente 20%
Planificado 40%
Bien definido 60%
Cuantitativamente controlado 80%
Mejora continua 100%
CRITERIOS DE EVALUACIÓN

AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN


No realizado
Realizado informalmente
Planificado
Herramienta de Evaluacion y Diagnostico bajo la Norma ISO/IEC 27002:2013 Bien definido
Cuantitativamente controlado
Mejora continua
Norma Seccion Cumplimiento
5 POLITICAS DE SEGURIDAD 0%
5.1 Directrices de la Dirección en seguridad de la información 0%
5.1.1 Conjunto de políticas para la seguridad de la información No realizado
5.1.2 Revisión de las políticas para la seguridad de la información No realizado
8 GESTION DE ACTIVOS 0%
8.1 Responsabilidad sobre los Activos 0%
8.1.1 Inventario de activos. No realizado
8.1.2 Propiedad de los activos. No realizado
8.1.3 Uso aceptable de los activos. No realizado
8.1.4 Devolución de activos. No realizado
8.2 Clasificacion de la Informacion 0%
8.2.1 Directrices de clasificación. No realizado
8.2.2 Etiquetado y manipulado de la información. No realizado
8.3 Manejo de los soportes de almacenamiento 0%
8.3.1 Gestión de soportes extraíbles. No realizado
8.3.2 Eliminación de soportes. No realizado
8.3.3 Soportes físicos en tránsito No realizado
9 CONTROL DE ACCESO 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.1.1 Política de control de accesos. No realizado
9.1.2 Control de acceso a las redes y servicios asociados. No realizado
9.2 Gestión de acceso de usuario. 0%
9.2.1 Gestión de altas/bajas en el registro de usuarios. No realizado
9.2.2 Gestión de los derechos de acceso asignados a usuarios. No realizado
9.2.3 Gestión de los derechos de acceso con privilegios especiales. No realizado
9.2.5 Revisión de los derechos de acceso de los usuarios. No realizado
9.2.6 Retirada o adaptación de los derechos de acceso No realizado
9.4 Control de acceso a sistemas y aplicaciones 0%
9.4.1 Restricción del acceso a la información. No realizado
9.4.2 Procedimientos seguros de inicio de sesión. No realizado
9.4.3 Gestión de contraseñas de usuario. No realizado
9.4.4 Uso de herramientas de administración de sistemas. No realizado
9.4.5 Control de acceso al código fuente de los programas No realizado
11 SEGURIDAD FISICA Y AMBIENTAL 0%
11.1 Areas Seguras 0%
11.1.1 Perímetro de seguridad física. No realizado
11.1.2 Controles físicos de entrada. No realizado
11.1.3 Seguridad de oficinas, despachos y recursos. No realizado
11.1.4 Protección contra las amenazas externas y ambientales. No realizado
11.1.5 El trabajo en áreas seguras. No realizado
11.1.6 Áreas de acceso público, carga y descarga No realizado
11.2 Seguridad de los Equipos 0%
11.2.1 Emplazamiento y protección de equipos. No realizado
11.2.2 Instalaciones de suministro. No realizado
11.2.3 Seguridad del cableado. No realizado
11.2.4 Mantenimiento de los equipos. No realizado
11.2.5 Salida de activos fuera de las dependencias de la empresa. No realizado
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. No realizado
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. No realizado
11.2.8 Equipo informático de usuario desatendido. No realizado
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla No realizado
12 SEGURIDAD EN LA OPERATIVA 0%
12.2 Protección contra código malicioso 0%
12.2.1 Controles contra el código malicioso. No realizado
12.3 Copias de seguridad 0%
12.3.1 Copias de seguridad de la información No realizado
13 SEGURIDAD EN LAS TELECOMUNICACIONES 0%
13.1 Gestión de la seguridad en las redes. 0%
13.1.1 Controles de red. No realizado
13.1.2 Mecanismos de seguridad asociados a servicios en red. No realizado
13.1.3 Segregación de redes. No realizado
13.2 Intercambio de información con partes externas. 0%
13.2.1 Políticas y procedimientos de intercambio de información. No realizado
13.2.2 Acuerdos de intercambio. No realizado
13.2.3 Mensajería electrónica. No realizado
13.2.4 Acuerdos de confidencialidad
ADQUISICIÓN, y secreto
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS No realizado
14 DE INFORMACIÓN. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%
14.2.1 Política de desarrollo seguro de software. No realizado
14.2.6 Seguridad en entornos de desarrollo. No realizado
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas. No realizado
14.2.9 Pruebas de aceptación No realizado
VALUACIÓN

0%
20%
40%
60%
80%
100%
ento

0%
0%

0%
0%
0%
0%

0%
0%

0%
0%
0%

0%
0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%
0%
0%
0%

0%

0%
0%
0%
0%

0%
0%
0%
0%

0%
0%
0%
0%
Norma Dominios Estado
5 Políticas de seguridad 0%
8 Gestión de activos 0%
9 Control de acceso 0%
11 Seguridad física y ambiental 0%
12 Seguridad en la operativa 0%
13 Seguridad en las telecomunicaciones 0%
Adquisición, desarrollo y mantenimiento de los
14 0%
sistemas de información

Cumplimiento General 0%
Dominios Bajo Medio Alto
Políticas de seguridad 0% 0% 0%
Gestión de activos 0% 0% 0%
Control de acceso 0% 0% 0%
Seguridad física y ambiental 0% 0% 0%
Seguridad en la operativa 0% 0% 0%
Seguridad en las telecomunicaciones 0% 0% 0%
Adquisición, desarrollo y mantenimiento de los
sistemas de información 0% 0% 0%
Norma Objetivos de Control Estado
5.1 Directrices de la Dirección en seguridad de la información 0%
8.1 Responsabilidad sobre los Activos 0%
8.2 Clasificacion de la Informacion 0%
8.3 Manejo de los soportes de almacenamiento 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.2 Gestión de acceso de usuario. 0%
9.4 Control de acceso a sistemas y aplicaciones 0%
11.1 Areas Seguras 0%
11.2 Seguridad de los Equipos 0%
12.2 Protección contra código malicioso 0%
12.3 Copias de seguridad 0%
13.1 Gestión de la seguridad en las redes. 0%
13.2 Intercambio de información con partes externas. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%

Cumplimiento 0%
Objetivos de Control Bajo
Directrices de la Dirección en seguridad de la información 0%
Responsabilidad sobre los Activos 0%
Clasificacion de la Informacion 0%
Manejo de los soportes de almacenamiento 0%
Requisitos de negocio para el control de accesos 0%
Gestión de acceso de usuario. 0%
Control de acceso a sistemas y aplicaciones 0%
Areas Seguras 0%
Seguridad de los Equipos 0%
Protección contra código malicioso 0%
Copias de seguridad 0%
Gestión de la seguridad en las redes. 0%
Intercambio de información con partes externas. 0%
Seguridad en los procesos de desarrollo y soporte 0%
Medio Alto
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
Nivel N° controles
No realizado 51
Realizado informalmente 0
Planificado 0
Bien definido 0
Cuantitativamente controlado 0
Mejora continua 0

Total de Controles 51
NIVEL DE CUMPLIMIENTO POR DOMINIO
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

ad s
id vo o
gur c ti es l
se a
ac
c nta va
e de bi
e
ati s
sd ón ld
e
er ne ón
A
ca sti ro am op i o i
l íti e nt y
la i ca
c ac M
Po
G o i ca n rm
C
fs en u nfo
B
ad ad om i
ir d id ec de
r el s
gu gu st a
Se Se la si te
m
en s
ad l os
ri d de
gu
Se nto
ie
im
ten
an
ym
llo
r ro
a
es
n,d

ic
is
dqu
A

ESTADO DE MADUREZ DE LOS CONTROLES

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua

51
100.00%
Bien definido
Cuantitativamente controlado
Mejora continua

51
100.00%
100%
INIO 90%

80%

70%

60%

50%

40%

30%

20%
n Alto
ió 10%
ac Medio
r m
Bajo
nfo 0%
s n s . es
i ón vo io nto so ri o ur
a
ac c ti a c i e c e u a i on g
A am c s ac e
r m
os rm ea eu sS
nfo l n fo c en d d p lic e a
i re I a l Ar
la ob la lm n tro es
o
s ya de
d e s de a o c c a a d
ad e c
ad io
n sd el ea tem ri d
ir d li i d c te a d i s gu
co
gu ab fic
a
por p ar tión a
s Se n
e s i o s so ó
s n as ss
io Ge ci
en s po Cl l o goc c ce tec
n Re e a o
ió de en de Pr
ecc j o d l
Di
r
an
e to
s tro
l a M i si C on
u
s de R eq
ri ce
ct
ri e
D

LES

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
Bien definido
Cuantitativamente controlado
Mejora continua
Alto
Medio
Bajo
n s . s s s . . te
nto so ri o ne ra po os
o
d ad es as or
ie c e u a i o gu u i
i c i r i red
er n
op
na
m c s ac Se q al gu s t
ys
ea eu lic as sE m se la ex
ce l d d p e l o o e n rte s l o
ro o ya Ar de di
g
sd
e l
nt c es s d có i a d ad pa a rro
co ac a a p ri n s
el m id ra Co gu co de
de i ste gur o nt s e ó n e
ón a
s Se n
c a ac
i sd
e sti s o c ió d el r m eso
G e ec fo c
a cc rot tión in p ro
e P s e s
ld Ge o
d lo
rt o bi en
on m ad
r ca i d
te r
In gu
Se
Norma Seccion

5 POLITICAS DE SEGURIDAD
5.1 Directrices de la Dirección en seguridad de la información
5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
8 GESTION DE ACTIVOS
8.1 Responsabilidad sobre los Activos
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificacion de la Informacion
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes.
8.3.3 Soportes físicos en tránsito
9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de accesos
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas
11 SEGURIDAD FISICA Y AMBIENTAL
11.1 Areas Seguras
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga
11.2 Seguridad de los Equipos
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12 SEGURIDAD EN LA OPERATIVA
12.2 Protección contra código malicioso
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información
13 SEGURIDAD EN LAS TELECOMUNICACIONES
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto
14
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro de software.
14.2.6 Seguridad en entornos de desarrollo.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación
Seccion

POLITICAS DE SEGURIDAD
Directrices de la Dirección en seguridad de la información
Conjunto de políticas para la seguridad de la información
Revisión de las políticas para la seguridad de la información
GESTION DE ACTIVOS
Responsabilidad sobre los Activos
nventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Devolución de activos.
Clasificacion de la Informacion
Directrices de clasificación.
Etiquetado y manipulado de la información.
Manejo de los soportes de almacenamiento
Gestión de soportes extraíbles.
Eliminación de soportes.
Soportes físicos en tránsito
CONTROL DE ACCESO
Requisitos de negocio para el control de accesos
Política de control de accesos.
Control de acceso a las redes y servicios asociados.
Gestión de acceso de usuario.
Gestión de altas/bajas en el registro de usuarios.
Gestión de los derechos de acceso asignados a usuarios.
Gestión de los derechos de acceso con privilegios especiales.
Revisión de los derechos de acceso de los usuarios.
Retirada o adaptación de los derechos de acceso
Control de acceso a sistemas y aplicaciones
Restricción del acceso a la información.
Procedimientos seguros de inicio de sesión.
Gestión de contraseñas de usuario.
Uso de herramientas de administración de sistemas.
Control de acceso al código fuente de los programas
SEGURIDAD FISICA Y AMBIENTAL
Areas Seguras
Perímetro de seguridad física.
Controles físicos de entrada.
Seguridad de oficinas, despachos y recursos.
Protección contra las amenazas externas y ambientales.
El trabajo en áreas seguras.
Áreas de acceso público, carga y descarga
Seguridad de los Equipos
Emplazamiento y protección de equipos.
nstalaciones de suministro.
Seguridad del cableado.
Mantenimiento de los equipos.
Salida de activos fuera de las dependencias de la empresa.
Seguridad de los equipos y activos fuera de las instalaciones.
Reutilización o retirada segura de dispositivos de almacenamiento.
Equipo informático de usuario desatendido.
Política de puesto de trabajo despejado y bloqueo de pantalla
SEGURIDAD EN LA OPERATIVA
Protección contra código malicioso
Controles contra el código malicioso.
Copias de seguridad
Copias de seguridad de la información
SEGURIDAD EN LAS TELECOMUNICACIONES
Gestión de la seguridad en las redes.
Controles de red.
Mecanismos de seguridad asociados a servicios en red.
Segregación de redes.
ntercambio de información con partes externas.
Políticas y procedimientos de intercambio de información.
Acuerdos de intercambio.
Mensajería electrónica.
Acuerdos de confidencialidad
ADQUISICIÓN,y secreto
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
Seguridad en los procesos de desarrollo y soporte
Política de desarrollo seguro de software.
Seguridad en entornos de desarrollo.
Pruebas de funcionalidad durante el desarrollo de los sistemas.
Pruebas de aceptación
Porcentaje de Cumplimiento por fechas
fecha 1 fecha 2 fecha 3 fecha 4
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%

También podría gustarte