NIVEL DE MADUREZ ISO/IEC 27001:2013

Nivel Nivel Descripción

No ha sido reconocido la aplicación de un control. Las

No existente
responsabilidades de seguridad no están asignadas.
0 (No existe)
Esta situación puede ser formalizada, generando un
(0%)
"No Aplica".

Reconoce la necesidad de este control, sin embargo

Inicial
recién se está iniciando las acciones para su
1 (Diseñado)
implementación. La administración de seguridad es
(20%)
reactiva y no medible.

Repetible pero
Ha implementado este control y las
intuitivo
Responsabilidades de seguridad están asignadas.
2 (Implementado
Existe un nivel de documentación básica y se pueden
Parcial)
generar registros de auditoría pero no son analizados.
(40%)

Proceso Tiene el control implementado alineado con

definido programas de concientización en seguridad, existen
3 (Implementado políticas y procedimientos de seguridad. Esta
Total) enmarcado en un plan de seguridad manejado a
(60%) través de análisis de riesgos repetitivo.

Gestionado y
Revisa indicadores de comportamiento del control. Se
medible
4 realizan periódicamente análisis con el fin de mejorar
(Probado)
la eficiencia del control.
(80%)

Optimizado Realiza análisis periódicos de costo/beneficio para

(Probado y futuros cambios o mejoras del control. Puede
5
Mejorado) impactar en objetivos estratégicos a nivel de TI o
(100%) negocio.
MADUREZ ISO/IEC 27001:2013
Característica

En éste nivel hay una ausencia completa de cualquier proceso de control reconocible o
procedimientos relacionados. La entidad aún no ha reconocido a la seguridad de la información
como un aspecto a tratar.

Hay alguna evidencia que la entidad reconoce que los controles y los procedimientos
relacionados son importantes y necesitan ser tratados. Sin embargo no existen ni están
documentados.

No existe un proceso de divulgación, los empleados no están conscientes de su responsabilidad

por las actividades del control.

Existen controles, políticas y procedimientos relacionados, sin embargo no siempre estan

documentados en su totalidad.

Existe un proceso de divulgación pero no está documentado. Los empleados podrían no estar
conscientes de sus responsabilidades por las actividades del control.

Los controles, las políticas y procedimientos relacionados, existen y están documentados, existe
un proceso de divulgación documentado, los empleados están conscientes de sus
responsabilidades por las actividades del control, sin embargo no se cuentan con indicadores.

Las deficiencias del control son identificadas y resueltas de manera oportuna.

La efectividad operativa de las actividades del control se evalúa periódicamente; sin embargo el
proceso no está completamente documentado.

Los controles, las políticas y procedimientos relacionados, existen y están adecuadamente

documentados, existe un proceso de divulgación documentado y los empleados están
conscientes de su responsabilidad por las actividades de control; asi mismo se monitorean las
tendencias de mejora, pero no siempre reevaluado para reflejar mejoras en los procesos o
cambios organizacionales.

La efectividad operativa de las actividades del control se evalúa de forma periódica y el proceso
está adecuadamente documentado.

El nivel 5 cumple todas las características del nivel 4.

Existe un programa de control y gestión de riesgo, de manera que los controles y

procedimientos están bien documentados y son reevaluados continuamente para reflejar
mejoras en los procesos o cambios organizacionales.

Se usa un proceso de auto medición para evaluar el diseño y efectividad de los controles.
 Nivel 0

No existente

0%
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5

Repetible Proceso Gestionado y

Inicial Optimizado
pero intuitivo definido medible
20% 40% 60% 80% 100%
Nivel de Madurez Alcanzado
 RESULTADOS ISO 27001:2013 58.65%

RESULTADOS CLAUSULAS ISO 27001:2013 59.4%

Sección Claúsulas % Cump-.

4 CONTEXTO DE LA ORGANIZACIÓN 40.0%

5 LIDERAZGO 20.0%
6 PLANIFICACIÓN 20.0%
7 SOPORTE 36.0%
8 OPERACIÓN 100.0%
9 EVALUACIÓN DEL DESEMPEÑO 100.0%
10 MEJORAS 100.0%

RESULTADOS ANEXO "A" 57.9%

Sección Dominios % Cumplimiento

A.5 Política de Seguridad 90.0%

A.6 Organización de la Seguridad de la Información 48.0%
A.7 Seguridad en los Recursos Humanos 81.1%
A.8 Gestión de Activos 41.1%
A.9 Control de Acceso 73.2%
A.10 Criptografía 60.0%
A.11 Seguridad Física y Ambiental 70.6%
A.12 Seguridad de las Operaciones 59.3%
A.13 Seguridad de las Comunicaciones 75.0%
A.14 50.0%
Adquisición, Desarrollo y Mantenimiento de Sist. Infor.
A.15 Relación con Proveedores 50.0%
A.16 Gestión de los Incidentes de Seguridad 30.0%
A.17 Gestion de la Continuidad del Negocio 40.0%
A.18 Cumplimiento 42.0%
 2.73

2.97

Madurez

2.00
1.00
1.00
CUMPLIMIENTO ISO 27001:2013
1.80
A.5
5.00 A.18 A.6
5.00 5.00

5.00 A.17 A.7

2.49 A.16 A.8

Nivel de 0.00
Madurez

4.50 A.15 A.9

2.40
4.06
A.14 A.10
2.06
3.66 A.13 A.11
A.12
3.00
3.53
2.96
3.75
2.50
2.50
1.50
2.00
2.10
CLAUSULAS ISO/IEC 27001:2013
Items Claúsulas
30.00%
4 CONTEXTO DE LA ORGANIZACIÓN 40.00%
4.1 Comprender la Organización y su contexto 20.00%
1
Comprender las necesidades y expectativas de las partes
4.2 20.00%
interesadas
1
4.3 Determinar el Alcance del SGSI 100.00%
5
4.4 Sistema de Gestión de Seguridad de la Información 20.00%
1
5 LIDERAZGO 20.00%
5.1 Liderazgo y Compromiso 20.00%
1
5.2 Política 20.00%
1

5.3 Roles, Responsabilidades y autoridades organizacionales 20.00%

1
6 PLANIFICACIÓN 20.00%
6.1 Acciones para tratar los riesgos y oportunidades 20.00%
1
Objetivos de Seguridad de la Información y Planificación para
6.2 20.00%
conseguirlo
1
7 SOPORTE 36.00%
7.1 Recursos 20.00%
1
7.2 Competencia 20.00%
1
7.3 Concientización 20.00%
1
7.4 Comunicación 100.00%
5
7.5 Información Docuentada 20.00%
1
8 OPERACIÓN 100.00%
8.1 Planificación y control Operacional 100.00%
5
8.2 Evaluación de Riesgos de Seguridad de la Información 100.00%
5
8.3 Tratamiento de Riesgos 100.00%
5
9 EVALUACIÓN DEL DESEMPEÑO 100.00%
9.1 Monitoreo, medición, análisis y evaluación 100.00%
5
9.2 Auditoria Interna 100.00%
5
9.3 Revisión por la Gerencia 100.00%
5
10 MEJORAS 100.00%
10.1 No conformidades y acción correctiva 100.00%
5
10.2 Mejora Continua 100.00%
5
Comentario / Observación
Evidencia
POLITICA DE SEGURIDAD

Secciones

A.5.1
A.5.1.1

A.5.1.2
LITICA DE SEGURIDAD
Nivel de
Controles Madurez
90.00%
Política de Seguridad de la Información 90.00%
Documento de Política de Seguridad de la Información 80.00%
La gerencia debe de aprobar un documento de política de seguridad de la información, éste debe
4
publicarse y comunicarse a todos los empleados y entidades externas relevantes
Revisión de la Política de Seguridad de la Información 100.00%

La política de seguridad de la información, debe ser revisada regularmente a intervalos planeados o

5
si ocurren cambios significativos para asegurar su conveniencia, adecuación y efectividad continua.
Comentario / Observación
 Evidencia

Formatos de Recepción de Política.

Revisión de Política de Seguridad de la información a cargo de ONP.

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Secciones

A.6.1
A.6.1.1

A.6.1.2

A.6.1.3

A.6.1.4

A.6.1.5

A.6.2
A.6.2.1

A.6.2.2
GANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Controles

Organización Interna
Asignación de Roles y Responsabilidades para la Seguridad de la Información

Se deben definir claramente los roles y responsabilidades para la seguridad de información.

Segregación de Funciones
La gerencia debe de apoyar activamente la seguridad dentro de la organización a través de una
dirección clara, compromiso demostrado, asignación explicita y reconocimiento de las
responsabilidades de la seguridad de la información.
Contacto con Autoridades
Se debe mantener contactos apropiados con las autoridades relevantes.
Contacto con Grupos de Interés Especial
Se deben mantener contactos apropiados con los grupos de interés especial u otros foros de
seguridad especializados y asociaciones profesionales.
Seguridad de la Información en la gestión de proyectos
La Seguridad de la Información debe ser incluida en la gestión de proyectos independiente del tipo
de proyecto.
Dispositivos móviles y teletrabajo
Política de Dispositivos móviles
Se debe contar con una política y medidas de seguridad de soporte, así como identificar los riesgos
que involucra el uso de dispositivos móviles.
Teletrabajo
Se debería desarrollar e implantar una política y medidas de seguridad de apoyo, para proteger
información a la que se accede, procesa o almacena en sitios de teletrabajo.
Nivel de
Madurez Comentario / Observación
48.00%
76.00%
60.00%

100.00%

80.00%
4
80.00%

60.00%

20.00%
20.00%

NA

NA
Evidencia
SEGURIDAD EN LOS RECURSOS HUMANOS

Secciones

A.7.1
A.7.1.1

A.7.1.2

A.7.2
A.7.2.1

A.7.2.2

A.7.2.3

A.7.3
A.7.3.1
GURIDAD EN LOS RECURSOS HUMANOS
Nivel de
Controles Madurez
81.11%
Antes del Empleo 90.00%
Selección 100.00%
Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo, esto
en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los
5
requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los
riesgos percibidos.
Términos y condiciones de empleo 80.00%

Como parte de los acuerdos contractuales con los empleados y contratistas deberían establecer
4
sus responsabilidades y las obligaciones de la organización para la seguridad de información.

Durante el Empleo 73.33%

Responsabilidades de la gerencia 80.00%
La Gerencia debe requerir a empleados y contratistas aplicar la seguridad de la información en
4
concordancia con las políticas y los procedimientos establecidos por la organización
Conciencia, educación y capacitación sobre Seguridad de la Información 60.00%

Todos los empleados de la organización y cuando fuera relevante, los contratistas deberían recibir
entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos 3
organizacionales como sean relevantes para la función de su trabajo.

Proceso Disciplinario 80.00%

Debería existir un proceso formal disciplinario formal y comunicado para tomar acción contra
4
empleados que han cometido infracción a la Seguridad de la Información.

Terminación o cambio del empleo 80.00%

Responsabilidades al cambio o terminación del empleo 80.00%

Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar
4
claramente definidas y comunicadas al empleado para asegurar su cumplimiento.
Comentario / Observación
Evidencia
GESTIÓN DE ACTIVOS

Secciones

A.8.1
A.8.1.1

A.8.1.2

A.8.1.3

A.8.1.4

A.8.2
A.8.2.1

A.8.2.2

A.8.2.3

A.8.3
A.8.3.1

A.8.3.2

A.8.3.3
STIÓN DE ACTIVOS

Controles

Responsabilidad de Activos
Inventario de Activos
Información, otros activos asociados con información e instalaciones de procesamiento de
información, deberían estar claramente identificados y un inventario de estos activos debe ser
elaborado y mantenido.
Propiedad de los activos

Los activos mantenidos en el inventario deben ser propios.

Uso aceptable de activo

Se deberían identificar, documentar e implementar, las regulaciones para el uso adecuado de la
información y activos asociados con la información y con las instalaciones de procesamiento de la
información.
Retorno de Activos

Todos los empleados y usuarios de partes externas deberían devolver todos los activos de la
organización que estén en su posesión a la finalización de su empleo, contrato o acuerdo.

Clasificación de la Información
Clasificación de la Información

La información debería clasificarse en términos de los requisitos legales, valor, criticidad y

sensibilidad respecto a una divulgación o modificación no autorizada.

Etiquetado de la Información

Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado de

la información, en concordancia con el esquema de clasificación adoptado por la organización.

Manejo de activos

Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el manejo de los

activos, en concordancia con el esquema de clasificación de la información adoptado por la
organización.

Manejo de Medios
Gestión de medios removibles
Se debería implementar un conjunto apropiado de procedimientos para la gestión de medios
removibles, en concordancia con el esquema de clasificación de la información adoptado por la
organización.
Disposición de Medios

Se debe poner a disposición los medios de manera segura cuando ya no se requieran.

Transferencia de Medios físicos

Los medios que contienen información, deben ser protegidos contra acceso no autorizado, el mal
uso o la corrupción durante el transporte
Nivel de
Madurez Comentario / Observación
41.11%
50.00%
40.00%

0.00%

80.00%

80.00%

73.33%
80.00%

80.00%

60.00%

0.00%
0.00%

0.00%

0.00%

0
Evidencia
CONTROL DE ACCESO

Secciones

A.9.1
A.9.1.1

A.9.1.2

A.9.2
A.9.2.1

A.9.2.2

A.9.2.3

A.9.2.4

A.9.2.5

A.9.2.6

A.9.3
A.9.3.1
 A.9.4
A.9.4.1

A.9.4.2

A.9.4.3

A.9.4.4

A.9.4.5
NTROL DE ACCESO
Nivel de
Controles Madurez
73.17%
Requisitos de la empresa para el control de acceso 90.00%
Política de Control de Acceso 80.00%

Se debería establecer, documentar y revisar una política de control de accesos en base a los
4
requisitos del negocio y de seguridad de la información.

Acceso a redes y servicios de red 100.00%

Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido
5
específicamente autorizados a usar.

Gestión de acceso de usuario 66.67%

Registro y baja de Usuario 80.00%

Debería existir un procedimiento formal de registro y baja de usuarios, para permitir la asignación
4
de derecho de accesos.

Aprovisionamiento de acceso a usuario 80.00%

Debe ser implementado un proceso formal de aprovisionamiento de accesos a usuarios, con la

finalidad de asignar o revocar los derechos de acceso para todos los tipos de usuarios a todos los 4
sistemas y servicios.

Gestión de derechos de accesos privilegiados 60.00%

Debe ser restringida y controlada la asignación y uso de los derechos de acceso. 3

Gestión de información de autenticación secreta de usuarios 80.00%

Debe ser controlada a través de un proceso de gestión formal, la asignación de información de

4
autenticación secreta.

Revisión de Derechos de Accesos de Usuarios 40.00%

El órgano de dirección debería revisar con regularidad los derechos de acceso de los usuarios,
2
siguiendo un procedimiento formal.

Remoción o ajuste de derecho de accesos 60.00%

Deben removerse al término de su empleo, contrato o acuerdo de todo los empleados y de los
usuarios de partes externas, los derechos de acceso a información e instalaciones de 3
procesamiento de información.

Responsabilidades de los Usuarios 80.00%

Uso de información de autenticación secreta 80.00%
Los usuarios son exigidos a que sigan las prácticas de la organización en el uso de información de
4
autenticación secreta

Control de Acceso a sistema y aplicación 56.00%

Restricción del acceso a la información 80.00%

Se debería restringir en concordancia con la política de control de acceso definida, el acceso a la

4
información y funciones de los sistemas de aplicaciones.

Procedimiento de ingreso seguro 80.00%

El acceso a los sistemas y aplicaciones son controlados por un procedimiento de ingreso seguro,
4
según la política de control de acceso.

Sistema de gestión de contraseñas 40.00%

Los sistemas de gestión de contraseñas deberían ser interactivos y garantizar la calidad de las
contraseñas.
2

Uso de programas utilitarios privilegiados 80.00%

Se debe restringir y controlar estrictamente el uso de los programas utilitarios que podrían superar
los controles del sistema y aplicaciones.
4

Control de Acceso al código fuente de los programas 0.00%

Debe ser restringida el acceso al código fuente de los programas. 0

Comentario / Observación
Evidencia

R
e
v
i
s
a
r

i
S
O

2
7
0
0
2
t
a
r

s
i

s
e

t
i
e
n
e

a
c
c
e
s
o

l
o
s

c
ó
d
i
g
o

f
u
e
n
t
e

c
o
m
o

p
a
r
t
e

d
e
l

c
o
n
t
r
o
l

d
e

c
CRIPTOGRAFÍA
Nivel de
Secciones Controles Madurez
60.00%
A.10.1 Controles Criptográficos 60.00%
A.10.1.1 Política sobre el uso de Controles Criptográficos 60.00%

Se debería desarrollar e implantar una política de uso de controles

3
criptográficos para la protección de la información.

A.10.1.2 Gestión de Claves NA

Se debería desarrollar e implementar una política sobre el uso, protección y

NA
tiempo de vida de las claves criptográficas a traves de todo su ciclo de vida.
Comentario / Observación
Evidencia
SEGURIDAD FÍSICA Y AMBIENTAL

Secciones

A.11.1
A.11.1.1

A.11.1.2

A.11.1.3

A.11.1.4

A.11.1.5

A.11.1.6

A.11.2
A.11.2.1

A.11.2.2

A.11.2.3

A.11.2.4

A.11.2.5
A.11.2.6

A.11.2.7

A.11.2.8

A.11.2.9
GURIDAD FÍSICA Y AMBIENTAL

Controles

Áreas Seguras
Perímetro de seguridad física
Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto
manual de recepción) deberían utilizarse para proteger las áreas que contengan información y
recursos para su procesamiento.
Controles de ingreso físicos

Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que
garanticen el acceso únicamente al personal autorizado.

Asegurar oficinas, áreas e instalaciones

Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.

Protección contra las amenazas externas y ambientales

Se debería diseñar y aplicar medidas de protección física contra desastres naturales, ataque
malicioso o accidentes.

Trabajando en áreas seguras

Se debería diseñar y aplicar procedimientos para trabajar en las áreas seguras.

Áreas de despacho y carga

Se deberían controlar las áreas de despacho, carga y otros puntos con objeto de evitar accesos no
autorizados y, si es posible, aislarlas de las instalaciones de procesamiento de la información.
Seguridad del Equipamiento
Ubicación y protección de los equipos
Los equipos debería ubicarse y protegerse para reducir el riesgo de amenazas y peligros
ambientales, así como las oportunidades de acceso no autorizado.
Servicios de suministro

Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías
eléctricas del servicio eléctrico público.

Seguridad en el cableado
Se debería proteger el cableado de energía y de telecomunicaciones que transporten datos o
soporten servicios de información contra posibles interceptaciones, interferencia o daños.
Mantenimiento de equipos

Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e

integridad.

Remoción de activos
Los equipos, información o el software no deben ser retirados de su lugar sin la autorización previa.

Seguridad de los equipos y activos fuera de las instalaciones

Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la
organización considerando los diversos riesgos a los que están expuestos al trabajar fuera de las
instalaciones de la organización.
Disposición o reutilización segura de equipos
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con
el fin de garantizar que cualquier dato confidencial y software con licencia se haya eliminado o
sobrescrito con seguridad antes de su disposición o reutilización.
Equipo de Usuario Desatendido

Los usuarios deberían garantizar que los equipos desatendidos disponen de la protección
apropiada.

Política de Pantalla y Escritorio Limpio

Se debe de adoptar una política de escritorio limpio para los documentos y medios de
almacenamiento removibles y una política de pantalla limpia para las instalaciones de
procesamiento de la información.
Nivel de
Madurez Comentario / Observación
70.56%
76.67%
80.00%

60.00%

80.00%

80.00%

80.00%

80.00%

64.44%
80.00%
4
40.00%

80.00%
4
60.00%

80.00%
 4

80.00%

40.00%

80.00%

40.00%

2
Evidencia
SEGURIDAD DE LAS OPERACIONES

Secciones

A.12.1
A.12.1.1

A.12.1.2

A.12.1.3

A.12.1.4

A.12.2
A.12.2.1

A.12.3
A.12.3.1

A.12.4
A.12.4.1

A.12.4.2
A.12.4.3

A.12.4.4

A.12.5
A.12.5.1

A.12.6
12.6.1

A.12.6.2

A.12.7
A.12.7.1
GURIDAD DE LAS OPERACIONES
Nivel de
Controles Madurez
59.29%
Procedimientos y Responsabilidades Operacionales 35.00%
Procedimientos operativos documentados 60.00%

Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de

3
todos los usuarios que lo necesiten.

Gestión del cambio 0.00%

Se deberían controlar los cambios en la organización, procesos de negocio, instalaciones de

0
procesamiento de la información y sistemas que afecten la seguridad de la información.

Gestión de la capacidad 0.00%

Se debería monitorear el uso de recursos, así como de las proyecciones de los futuros requisitos de
0
capacidad para asegurar el desempeño requerido del sistema.

Separación de los entornos de desarrollo, pruebas y operaciones 80.00%

Se deben separar los medios de desarrollo, prueba y operaciones para reducir los riesgos de
4
accesos no autorizados o cambios en el sistema de operación.

Protección Contra Código Malicioso 80.00%

Controles contra código malicioso 80.00%

Se deberían implantar controles de detección, prevención y recuperación para proteger contra

4
código malicioso, junto a procedimientos adecuados para la concienciación de los usuarios.

Respaldos (Backup) 20.00%

Respaldo de Información 20.00%

Se deberían hacer regularmente copias de respaldo de la información del software y de las

1
imágenes del sistema, de acuerdo con la política de respaldo acordada.

Registros y Monitoreo 60.00%

Registro de eventos 40.00%

Se deberían reproducir, mantener y regularmente revisados, los registros (logs) de eventos de

2
actividades de usuarios, excepciones, fallas y eventos de seguridad de la información.

Protección de la información del registro (log) 60.00%

Se debe de proteger contra la alteración y el acceso no autorizado, las instalaciones para registros
3
(logs) y la información de los registros (logs).

Actividades de los administradores y operadores 40.00%

Se deberían registrar las actividades del administrador y operador del sistema, y los registros (logs)
2
deben ser protegidos y revisados regularmente.

Sincronización de relojes 100.00%

Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información dentro
5
de la organización o en el dominio de seguridad, con una fuente de tiempo de referencia única.

Control del Software Operacional 80.00%

Instalación de software en sistemas operacionales 80.00%

Deben ser implementados los procedimientos para controlar la instalación de software en sistemas
4
operacionales.

Gestión de la Vulnerabilidad Técnica 60.00%

Control de las vulnerabilidades técnicas 40.00%
Se debe obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de
información en uso; se debe evaluar la exposición de la organización ante esas vulnerabilidades, se 2
deben de tomar las medidas apropiadas para tratar el riesgo asociado.
Restricciones sobre los cambios a paquetes de software 80.00%

Deben ser establecidas e implementadas las regulaciones que gobiernen la instalación de software
4
por parte de los usuarios.

Consideraciones para la Auditoria de los sistemas de información 80.00%

Controles de auditoria de Sistemas de Información 80.00%

Se deberían producir y mantener durante un periodo establecido los registros de

auditoria con la grabación de las actividades de los usuarios, excepciones y eventos de la
4
seguridad de información, con el fin de facilitar las investigaciones futuras y el monitoreo de los
controles de acceso.
Comentario / Observación
Evidencia
SEGURIDAD DE LAS COMUNICACIONES

Secciones

A.13.1
A13.1.1

A.13.1.2

A.13.1.3

A.13.2
A13.2.1

A.13.2.2

A.13.2.3

A.13.2.4
GURIDAD DE LAS COMUNICACIONES
Nivel de
Controles Madurez
75.00%
Gestión de Seguridad de la red 80.00%
Controles de la red 80.00%

Las redes deben ser gestionadas y controladas para proteger la información en los sistemas y
4
las aplicaciones.

Seguridad de servicios de red 80.00%

Deben ser identificados e incluidos en acuerdos de servicios de red, mecanismos de seguridad,
niveles de servicio y requisitos de gestión de todos los servicios de red, ya sea que estos 4
servicios se provean internamente o sean tercerizados.
Segregación en redes 80.00%

Los servicios de información, usuarios y sistemas de información se deben de segregar en

4
redes.

Transferencia de información 70.00%

Políticas y procedimientos de transferencia de la información 40.00%

Deben aplicarse políticas, procedimientos y controles de transferencia formales para proteger la

2
transferencia de información a través del uso de todo tipo de instalaciones de comunicación.

Acuerdo sobre transferencia de información 60.00%

Los acuerdos deben dirigir la transferencia segura de información del negocio entre la
3
organización y partes externas.
Mensajes electrónicos 100.00%

Debe ser protegida apropiadamente la información involucrada en mensajería electrónica. 5

Acuerdos de confidencialidad o no divulgación 80.00%

Se deben identificar y revisar regularmente y documentados los requisitos para los acuerdos de
confidencialidad o no divulgación que reflejan las necesidades de la organización para la 4
protección de la información.
Comentario / Observación
Evidencia
MANTENIMIENTO, DESARROLLO Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
Nivel de
Secciones Controles Madurez Comentario / Observación
50.00%
A.14.1 Requisitos de Seguridad de los Sistemas de Información NA
A.14.1.1 Análisis y especificación de los requerimientos de seguridad NA

Deben ser incluidos dentro de los requisitos para nuevos sistemas de información o mejoras a los No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
sistemas de información existente los requisitos relacionados a seguridad de la información. servicio).

A.14.1.2 Aseguramiento de servicios de aplicaciones sobre redes públicas NA

Debe ser protegida de actividad fraudulenta, disputa de contratos o divulgación no autorizada y

NA No aplica.
modificada, la información involucrada en servicios de aplicaciones que pasa sobre redes públicas.

A.14.1.3 Protección de Transacciones en servicios de aplicación NA

Se debería proteger la información implicada en las transacciones de servicios de

aplicaciones, para prevenir la transmisión incompleta, ruteo incorrecto, alteración no autorizada, NA No Aplica.
duplicación o repetición no autorizada del mensaje.

A.14.2 Seguridad en los procesos de desarrollo y soporte 60.00%

A.14.2.1 Política de Desarrollo de Seguro NA

Se debe establecer y aplicar a desarrollos dentro de la organización, reglas para el desarrollo de No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
software y sistemas. servicio).

A.14.2.2 Procedimientos de control de cambios del Sistema NA

Deben ser controlados por medio del uso de procedimientos formales de control de cambios; los No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
cambios a los sistemas dentro del ciclo de vida de desarrollo. servicio).

A.14.2.3 Revisión técnica de aplicaciones después cambios a la plataforma operativa NA

Cuando se cambian las plataformas operativas, las aplicaciones críticas para el negocio, deben ser
No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
revisadas y probadas para asegurar que no exista, un impacto adverso en las operaciones o NA
servicio).
seguridad organizacional.

A.14.2.4 Restricciones sobre cambios a los paquetes de software NA

Las modificaciones a los paquetes de software deben ser disuadidas, limitadas a los cambios No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
necesarios todo los cambios deben ser estrictamente controlados. servicio).

A.14.2.5 Principios de ingeniaría sistemas seguros NA

Los principios para la ingeniería de sistemas seguros, deben ser establecidos, documentados, No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
mantenidos y aplicados a cualquier esfuerzo de implementación de sistemas de información. servicio).
A.14.2.6 Ambiente de desarrollo Seguro NA
 Las organizaciones deben establecer y proteger apropiadamente los ambientes de desarrollo
No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
seguros para los esfuerzos de desarrollo e integración de sistemas que cubren todo el ciclo de vida NA
servicio).
del desarrollo del sistema.
A.14.2.7 Desarrollo contratado externamente NA

El desarrollo de software que ha sido externalizado debe ser supervisado y monitoreado por la No aplica (no se realizan desarrollo o mantenimiento de aplicaciones en el
NA
organización. servicio).

A.14.2.8 Pruebas de seguridad del Sistema 60.00%

Como parte del Servicio se realizan diferentes tipos de pruebas, para dicha
Deben ser llevados a cabo durante el desarrollo pruebas de funcionalidad de la seguridad. 3 actividad se cuenta con procedimentos que describen las pautas para su
ejecución.
A.14.2.9 Prueba de aceptación del sistema 60.00%

Como parte del Servicio se realizan diferentes tipos de pruebas, para dicha
Se deberían establecer programa de pruebas y criterios de aceptación para nuevos sistemas de
3 actividad se cuenta con procedimentos que describen las pautas para su
información, actualizaciones y nuevas versiones.
ejecución.

A.14.3 Datos de Prueba 40.00%

A.14.3.1 Protección de los datos de prueba del sistema 40.00%
Como parte del Servicio Integral de Calidad, se tiene accesos a los datos de
prueba de acuerdo a los perfiles y funciones asignadas.
Se debe seleccionar cuidadosamente, proteger y controlar la data de prueba. 2
ONP no cuenta con controles implementados para enmascarar los datos de
prueba.
Evidencia
R
e
v
i
s
a
r

e
R
q
e
u
v
i
ip
s
o
a
ri
n
e
t
q
e
u
r
in
p
o
o

i
n
t
e
r
n
o
RELACIÓN CON PROVEEDORES

Secciones

A.15.1
A15.1.1

A.15.1.2

A.15.1.3

A.15.2
A15.2.1

A.15.2.2
LACIÓN CON PROVEEDORES
Nivel de
Controles Madurez
50.00%
Seguridad de la Información en las Relaciones con los Proveedores 60.00%
Política de Seguridad de la Información para las Relación con los Proveedores 60.00%

Deben ser documentados y acordados con los proveedores, los requisitos de seguridad de la
3
información para mitigar los riesgos asociados con el acceso a los activos de la organización.

Abordar la seguridad dentro de los contratos con terceros 60.00%

Todo los requisitos relevantes de seguridad de la información, se establecen y acuerdan con cada
proveedor que pueda acceder, procesar, almacenar, comunicar o proveer componentes de 3
infraestructura de TI para la información de la organización.
Cadena de Suministro de tecnología de la Información 60.00%
Los acuerdos con Proveedores deben incluir requisitos para abordar los riesgos de seguridad de la
información asociados con los servicios de tecnología de la Información y comunicaciones y la 3
cadena de suministro de productos.
Gestión de entrega de Servicios del Proveedor 40.00%
Monitoreo y revisión de los servicios de los proveedores 40.00%
Se deben monitorear, revisar y auditar regularmente la entrega de servicios por parte de los
2
proveedores.
Gestión de cambios en los servicios prestados por proveedores 40.00%
Se gestionan los cambios a la provisión de servicios por parte de proveedores, incluyendo el
mantenimiento y mejoramiento de políticas, procedimientos y controles existentes de seguridad de
2
la información, tomando en consideración la criticidad de la información del negocio, sistemas y
procesos involucrados y una evaluación de riesgos.
Comentario / Observación
 C
Evidencia o
n
s
u
l
C
t
o
a
n
r
s
u
c
l
o
t
n
a
r
L
u
cC
i
o
o
s
n
n
.
s
L
u
u
l
it
s
a
r.

c
o
n

L
u
i
s
.
GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Secciones

A.16.1
A.16.1.1

A.16.1.2

A.16.1.3

A.16.1.4

A.16.1.5

A.16.1.6

A.16.1.7
STIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Nivel de
Controles Madurez
30.00%
Reporte de los eventos y debilidades de la seguridad de la información 30.00%
Responsabilidades y Procedimientos 40.00%

Se deben de establecer las responsabilidades de gestión y los procedimientos para asegurar una
2
respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la información.

Reporte de eventos en la seguridad de la información 40.00%

Los eventos de seguridad de la información deben de reportarse a través de los canales de gestión
2
apropiados lo más rápido posible.

Reporte de las debilidades en la seguridad 20.00%

Se debe requerir que todos los empleados y contratistas que usan los sistemas y servicios de
información de la organización tomen nota y reporten cualquier debilidad observada o sospechada 1
en la seguridad de los sistemas y servicios.
Evaluación y decisión sobre eventos de seguridad de la información 40.00%

Los eventos de seguridad de la información deben ser evaluados y decidirse si son clasificados
2
como incidentes de seguridad de la Información.

Respuesta a incidentes de Seguridad de la Información 40.00%

Los incidentes de seguridad de la información deben ser respondidos de acuerdo con los
2
procedimientos documentados.

Aprendizaje de los incidentes de seguridad de la información 20.00%

Deben existir mecanismos que permitan que los conocimientos adquiridos a partir de analizar y
resolver los incidentes de seguridad de la información, sean utilizados para reducir la probabilidad o 1
el impacto de incidentes futuros.

Recolección de evidencia 20.00%

Deben definirse y aplicar procedimientos para la identificación, recolección, adquisición y

1
preservación de información que servir como evidencia.
Comentario / Observación
Evidencia
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Nivel de
Secciones Controles Madurez
40.00%
Aspectos de seguridad de la información en la administración de la
A.17.1 20.00%
continuidad del negocio
A.17.1.1 Planificación de continuidad de seguridad de la Información 20.00%
Se debe determinar los requisitos de Seguridad de la Información y
Continuidad de la gestión de seguridad de la información en situaciones 1
adversas, por ejemplo durante crisis o desastres.
A.17.1.2 Implementación de continuidad de seguridad de la información 20.00%
Se debe establecer, documentar, implementar y mantener procesos,
procedimientos y controles para asegurar el nivel requerido de continuidad de 1
seguridad de la Información durante una situaciones adversa.
Verificación, revisión y evaluación de continuidad de seguridad de la
A.17.1.3 20.00%
información
Se deben verificar los controles de continuidad de seguridad de la información
que han establecido e implementado a intervalos regulares para asegurarse 1
que son válidos y efectivos durante situaciones adversas.
A.17.2 Redundancias 60.00%
A.17.2.1 Instalaciones de procesamiento de la información 60.00%

Las instalaciones de procesamiento de la información deben ser

implementadas con redundancia suficiente para cumplir con los requisitos de 3
disponibilidad.
Comentario / Observación
Evidencia
CUMPLIMIENTO

Secciones

A.18.1
A.18.1.1

A.18.1.2

A.18.1.3

A.18.1.4

A.18.1.5

A.18.2
A.18.2.1

A.18.2.2

A.18.2.3
MPLIMIENTO

Controles

Cumplimiento con los requerimientos legales

Identificación de requisitos contractuales y de legislación aplicables

Se debe identificar, documentar y mantener actualizado de forma explicita todos los requisitos
legales, estatutarios, regulatorios y contractuales relevantes, así como el enfoque de la
organización para cumplir con éstos requisitos para cada sistema de información.

Derechos de propiedad intelectual

Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los

requerimientos legislativos, regulatorios y contractuales, relacionados a los derechos de propiedad
intelectual y uso de los productos de software propietario.

Protección de registros
Se deben proteger los registros ante cualquier pérdida, destrucción y falsificación, acceso y
divulgación no autorizada, en concordancia con los requisitos legislativos, regulatorios,
contractuales y del negocio.
Protección de data y privacidad de información personal

Se deben asegurar la protección y privacidad de datos personales, tal como se requiere en la

legislación y regulación relevantes donde sea aplicable.

Regulación de controles criptográficos

Los controles criptográficos se utilizan en el cumplimiento de los acuerdos, leyes y regulaciones.
Cumplimiento de las políticas, estándares de seguridad y cumplimiento técnico
Revisión Independiente de Seguridad de la Información
El enfoque de la organización para manejar la seguridad de la información y su implementación (por
ejemplo, objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la
información) se debe de revisar independientemente a intervalos planeados, o cuando ocurran
cambios significativos.
Cumplimiento con estándares y política de seguridad
Los gerentes deben asegurarse que todos los procedimientos de seguridad dentro de su área de
responsabilidad sean realizados correctamente en cumplimiento con las políticas y estándares de
seguridad.
Revisión de cumplimiento técnico

Los sistemas de información deben ser revisados regularmente para el cumplimiento de las
políticas y normas de seguridad de la información de la organización.
Nivel de
Madurez Comentario / Observación
42.00%
44.00%
40.00%

60.00%

0.00%

60.00%

60.00%
3
40.00%
20.00%

40.00%

60.00%

3
Evidencia