Herramienta 27001 ResumenEjecutivoCumplimientoErick

Resumen ejecutiv
5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7. SEGURIDAD DE LOS RECURSOS HUMANOS
8. GESTIÓN DE ACTIVOS
9. CONTROL DE ACCESOS
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
5.LAS POLÍTICAS DE SEG URIDAD DE LA INFORMACIÓN 6 .ORGAN IZACIÓN DE L A SEGURIDAD DE L A INFORMACI
35.00
% 42.8
65.00 3% 57.1
% 7%
5.LAS POLÍTICAS DE SEG URIDAD DE LA INFORMACIÓN 6 .ORGAN IZACIÓN DE L A SEGURIDAD DE L A INFORMACI
35.00
% 42.8
65.00 3% 57.1
% 7%
Cumplimiento Imcumplimiento Cumplimiento Imcumpli miento

Resumen ejecutivo DENSO WAVE SAC
Cumplimiento Imcumplimiento Priorizacion

65.00% 35.00%
57.17% 42.83% Dominio con menor cumplimieto
63.33% 36.67% #REF!
82.07% 17.93%
76.47% 23.53% Dominio con mayor cumplimiento
#REF! #REF! #REF!
#REF! #REF!
#REF! #REF!
Chart Title
#REF! #REF!
#REF! #REF!
#REF! #REF!
#REF! #REF! 0.00% 20.00% 40.00% 60.00% 80.00% 100
#REF! #REF!
#REF! #REF!
EGURIDAD DE L A IN FORMACIÓN
.8
% 57.1
7%
EGURIDAD DE L A IN FORMACIÓN
.8
% 57.1
7%
to Imcumpli miento
on
r cumplimieto
#REF!
cumplimiento
#REF!
60.00% 80.00% 100.00%

5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
PREGUNTA
5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
¿Se tiene una política de seguridad definida en la

Empresa ?
¿Con que tipo de política de seguridad de

información se cuenta?
¿Se cuenta con un enunciado donde se mencione

sobre las intenciones de la administración dentro
las políticas de seguridad?
¿Los empleados son comunicados sobre la política

de seguridad de información?
¿Qué parte externa es considerada a comunicarles

la política?
5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
¿Quién(es) es responsable de la manipulación de

desviaciones y/o excepciones dentro de la política
de seguridad de la información en base a
observaciones?
¿Con que frecuencia se revisan las políticas?

MACIÓN
D DE LA INFORMACIÓN
ESTADO
RESPUESTA SUBTOTAL (%)
ACTUAL
NFORMACIÓN
Cuenta con una política de seguridad de información solo para

algunos procesos mas no se tiene software y medicion formal 2
de dichos controles.
Se cuenta con control de permisos de acceso a terceros,

protección mediante encriptaciones y reglamentos de 2
seguridad del personal.
50.00%
Se cuenta con un enunciado que las políticas de seguridad de
información son una iniciativa para guiar a los procesos de 3
forma segura basada en politicas y estandares.
No se le comunica a todos en su totalidad. 2
En este caso se hace mencion que a los proveedores se les

comunica las politicas de requerir acceso a la informacion de 2
Empresa.
EGURIDAD DE LA INFORMACIÓN
La manipulación de excepciones dentro de la politica esta a

cargo del area de seguridad informatico.
4
80.00%
Una vez al año se revisa la política. 4
TOTAL 65.00%
TOTAL (%)
CUMPLIMIENTO INCUMPLIMIENTO
65.00% 35.0%
65.00%
5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

35.00%
65.00%
6.1. ORGANIZACIÓN INTERNA
PREGUNTAS
6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN
¿Quién se encarga de asignar las responsabilidades

de la gestión de riesgo ?
¿Qué criterio utilizan para designar al adecuado

personal a recibir la responsabilidad?
6.1.2.SEGREGACIÓN DE FUNCIONES
¿Qué medidas se realiza para evitar la modificación

no autorizada, accidental o mal uso de los activos de
la seguridad debido a un cruce de deberes
contradictorios entre áreas?
¿Quiénes otorgan la autorización para acceder

,modificar, utilizar los bienes?
¿En caso de no poder tener autorización de uso o

acceso inmediatamente, que acción se debe realizar
para evitar el mal uso de los activos de la
organización?
6.1.3.CONTACTO CON AUTORIDADES
¿A quien reportan la ocurrencia de incidentes en la

organización?
¿Qué criterio utilizan para designar la persona

adecuada a presentarla como contacto para quien
presente el reporte?
¿Qué medidas toman para lograr que el reporte

sobre incidente sea atendido de manera oportuna?
¿Qué planes de contingencia tienen ante esos
incidentes para mantener la continuidad del negocio?
6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES
¿Poseen grupos de interes especial, foros de

seguridad especial u asociaciones profesionales
como contactos?
¿Qué acciones toman para mejorar el conocimiento

de información de seguridad y mantener un criterio
de mejores prácticas?
6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
¿Los objetivos de la seguridad de la información

estan basados en los proyectos?
¿Tienen la seguridad de la información en todas las

fases de la metodologia del proyecto?
¿Qué decisiones se toman para que el desarrollo de

proyecto se lleve a cabo con la seguridad adecuada
otorgada por los controles?
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO
PREGUNTAS
6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES
¿Se tiene un enunciado relacionado dispositivos

moviles dentro de su política de seguridad de
información?
¿De qué manera se previene los tipo de riesgo de

moviles?
6.2.2.TELETRABAJO
¿Tiene alguna medida de seguridad que se emplea
para proteger el acceso a información que puede ser
procesada?
¿Con que frecuencia se evalua la vulnerabilidade de

este metodo de protección de la información?
RESPUESTA ESTADO ACTUAL SUBTOTAL (%)
EGURIDAD DE LA INFORMACIÓN
Gerencia de Riesgo 4
70.00%
Se designa a aquellos quienes son expertos, quienes
son dueños del proceso y quienes lo cuidan.
3
Se tiene establecido lineas comunicación dentro de la

organización, que permite conocer las areas en las
cuales se esta manejando la información y restringe el
4
acceso a no autorizado.
Los jefes de cada área. 4 73.33%
Se debe solicitar los permisos necesarios a los Jefes,

de lo contrario no se puede realizar ninguna accion.
3
Se reporta al responsable del departameto de 4

tecnologia de la información.
Se tiene elegir a una persona entre los jefes de area . 3
70.00%
Para la atencion de incidentes se tiene establecido 3

niveles de escalamiento.
Se cuenta con un plan de continuidad del negocio en 4
Cloud en caso de tener algun inconveniente.
No cuenta con grupos u asociaciones profesionales. 0
30.00%
Se tienen capacitaciones periodicas para el personal y
asi mejorar sus conocimientos en seguridad de la 3
infmormacion.
GESTIÓN DE PROYECTOS
Si estan basados en las cuales son monitoreadas por 3

el jefe de tecnologia de la información.
53.33%
Se tiene de definido en cada fase del proyecto. 3
Todo los proyectos cuentan con un plan de prueba. 2
RESPUESTAS ESTADO ACTUAL SUBTOTAL (%)
Se mencionan acuerdos de protección del contenido 3

de información dentro de los dispositivos móviles.
40.00%
Se tiene revisiones de vulneravilidad, y como reaciónar 3

ante posibles amenazas.
Tiene medidas de seguridad predefinidad para proteger 3
la información.
70.00%
Se realiza evalucaciones periodicamente 4
(mensualmente,quincenalmente).
TOTAL 57.17%
TOTAL (%)
59.33% 40.67%
6.1. ORGANIZACIÓN INTERNA

40.67%
59.33%
59.33%
59.33%
55.00% 45.00%
6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

TOTAL (%)
45.00%
55.00%
55.00%
55.00%
55.00%
BAJO
7.1. ANTES DEL EMPLEO
PREGUNTAS
7.1.1. SELECCIÓN
¿Los contratistas tiene la capacidad necesaria

para elegir al personal adecuado?
¿Cuáles son las responsabilidades del

contratista ?
7.1.2. TERMINOS Y CONDICIONES DEL EMPLEO
¿Los empleados son informados de los terminos

y condiciones del empleo a ocupar?
7.2. DURANTE EL EMPLEO

PREGUNTAS
7.2.1. RESPONSABILIDADES DE LA GERENCIA
¿La gerencia ejecuta sus actividades y asi

mismo con las políticas de la empresa?
7.2.2. CONCIENCIA, EDUCACIÓN Y CAPACITACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
¿Quienes estan al tanto sobre los cambios de

política y procedimientos de la organización?
7.2.3. PROCESOS DISCIPLINARIOS
¿Qué pasa si un empleado ha cometido una

infracción a la seguridad de información?
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO

PREGUNTAS
7.3.1. TERMINACIÓN O CAMBIO DE RESPONSABILIDAD DEL EMPLEO

¿Qué se debe hacer cuando un empleado deja
el puesto o es despedido?
¿El reemplazo de un empleado sigue con las

actividades pendientes o se le asignan nuevas
tareas?
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
Cuentan con el Plan de Capacitación. 3
60.00%
La seguridad es responsabilidad de todos los empleados y 3
personas involucradas con la empresa. 70.00%
PLEO
El contratista se asegura que todo colaborador conozca los 4 80.00%

lineamientos de seguridad de la información.
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
CIA
Se ejecutan en cada rol, están establecidas en las fichas de 3 60.00%

funciones de cada puesto.
TACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN
El área de seguridad informática debe monitorear el

3 60.00% 60.00%
cumplimiento, realizar las actualizaciones y las
necesidades del negocio.
Se ejecuta las sanciones respectivas de acuerdo al 3 60.00%

Reglamento Interno de Trabajo.
O
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
ONSABILIDAD DEL EMPLEO
60.00%
El área de seguridad ejecuta las medidas correspondientes 3
ante la renuncia o despido de un empleado.
60.00%
60.00%
Los custodios de información tienen la responsabilidad de 3

monitorear el cumplimiento de las actividades encargadas
TOTAL 63.33%
70.00% 30.00%
7.1. ANTES DEL EMPLEO

30.00%
70.00%
60.00% 40.00%
7.2. DURANTE EL EMPLEO
40.00%
60.00%
60.00% 40.00%
7.3. TERMINACIÓN Y CAMBIO DE EMPLEO

40.00%
60.00%
8. GESTIÓN DE ACTIVO
8.1. RESPONSABILIDAD POR LOS ACTIVOS
PREGUNTAS
8.1.1. INVENTARIO DE ACTIVOS
¿La empresa cuenta con un inventario de todos los

activos?
¿Hay documentación donde indica la importancia de cada

activo?
¿Cada cuánto tiempo realizan el inventario de todos los

activos?
8.1.2. PROPIEDAD DE LOS ACTIVOS
¿Existe algún responsable en la empresa que gestione

los activos?
¿La empresa tiene propios activos o tienen activos de

terceros?
¿Cada cuanto tiempo se cambia el responsable de

gestionar los activos?
8.1.3. USO ACEPTABLE DE LOS ACTIVOS
¿La empresa tiene reglas o normas para el correcto uso

de los activos?
¿Se aplican las reglas o normas en la empresa?
¿Cada cuánto tiempo actualizan dichas reglas o normas?
8.1.4. RETORNO DE ACTIVOS

Terminado el contrado de un empleado. ¿Este devuelve
los activos que se le fueron asignados?
¿Quién es el responsable de recepcionar los activos?
¿Que medidas toma cuando un empleado o usuario

externo usa su equipo personal y necesita la informacion
de la empresa?
8.2. CLASIFICACIÓN DE LA INFORMACI
PREGUNTAS
8.2.1. CLASIFICACIÓN DE LA INFORMACIÓN
¿La información que cuenta la empresa es clasificada por

su valor?
¿Tienen controles para clasificar una información?
¿El nivel de proteccion del sistema esta evaluado por el

analisis de confidencialidad, disponibilidad e integridad
del activo?
8.2.2. ETIQUETADO DE LA INFORMACIÓN
¿Hay algún procedimiento para el etiquetado fisico o

electronico de los activos?.
¿Se les informa a los empleados y contratistas sobre el

procedimiento de etiquetado?
¿Cómo etiquetan la información que se le proporciona a
un trabajador?
8.2.3.MANEJO DE ACTIVOS
¿Cómo realizan el manejo de los activos e información?
8.3. MANEJO DE MEDIOS
PREGUNTAS
8.3.1. GESTIÓN DE MEDIOS REMOVIBLES
¿Cómo manejan o gestionan el tema del uso de medios

removibles o extraíbles?
8.3.2. DISPOSICIÓN DE MEDIOS
Cuando un medio fisico no sirva y tiene informacion. ¿Qué es

lo que hacen con dicho medio?
8.3.3. TRANSFERENCIA DE MEDIOS FÍSICOS
¿Que personas son los que transportan los medios de

almacenamiento?
¿Existe algun registro donde identifique el contenido de

los medios de comunicacion asi como el registro de los
tiempos de traslado y la recepcion?
¿Cómo gestionan la transeferencia de medios físicos que
contienen información?
8. GESTIÓN DE ACTIVOS
ESTADO
RESPUESTA ACTUAL
Existe un inventario de los activos fisicos y software 5

por área.
No , pero hay clasificación por tipos de activos. 3
Se realiza la evaluación eventualmente. 3
Si, los key users son los responsables de la gestion 4

de activos.
Activos propios y proporcionados por terceros. 4
No se cambia. 2
Si, existen normas para determinar el uso correcto 3

de los activos.
Si, se aplican en toda la empresa 3
Una vez al año. 3

Si se retornan 3
Mesa de ayuda recepciona los activos. 3
Se le hace firmar un acuerdo de confidencialidad 4
8.2. CLASIFICACIÓN DE LA INFORMACIÓN

ESTADO
RESPUESTA ACTUAL
si, se les clasifica mas que nada por su valor. 4
Si, la información se encuentra clasificada por áreas 3

y dichos perímetros se encuentran protegidos.
Si, en base a ello se establecen prodecimientos para 5

cumplir con esos principios.
Si, Se etiqueta, se recibe el activo por primera vez, se

verifica que no tenga defectos y se le etiqueta, luego 3
se agrega al inventario y listo para ser solicitado
no, no se da conocimiento del proceso, pero si saben 3

que estan etiquetados
Cada equipo posee un código otorgado por la 3
organización.
Se clasifican los activos en un espacio reservado 3

para los activos.
ESTADO
RESPUESTA
ACTUAL
No hay prohibición de uso de medios removibles. 2
Se saca una copia de seguridad y luego se elimina toda la

informacion que tiene para evitar que alguien pueda tener 4
acceso a él.
Es una empresa especializada en transporte de este

tipo de activos en caso se hace un largo viaje o 2
transporte interno de la empresa.
Se registra el envío por medio de un formato y de 2

recepción del activo.
Estan protegidos y tiene una copia de respaldo. 2
TOTAL 82.07%
RECOMENDACIÓN SUBTOTAL (%) TOTAL
Se debe detallar la importancia

73.33%
Realizar el inventario mensualmente o cada 3

meses para una mejor gestión.
8.1. RESPONSA
CUMPLIM
Preferible que todos sus activos sean propios

33.33%
Deberia cambiar cada cierto tiempo .
48.17%
Se debe explicadar mas explicitamente cada
activo.
51.83%
36.00%
Mensualmente o cada 3 meses es lo

recomendable para estar pendiente y una mejor
gestion
Se debe detallar que activos se les otorgo y si lo
devolvio.
50.00%
Mejorar la especificacion del acuerdo
RECOMENDACIÓN SUBTOTAL (%)
CUMPLIMIE
Clasificar tambien por su rendimiento .
80.00%
33.33%
Mantener el inventario digitalizado y un

backup de respaldo ante cualquier
solicitud.
66.67%
60.00%
Todos deberian estar informados sobre el
proceso de etiquetado
60.00%
Detallar por codigo el proceso de

etiquetado de informacion
Especificar donde pero la informacion solo tener

acceso a persona autorizadas 60.00%
Hay prohibicion pero igual no se mantiene un 40.00%

documento con normas especifica
Implementarlo en todas las areas 80.00%
53.33%
Tener un transporte especifico para transportar
los medios de almacenamiento y es mas seguro.
Se debe implementar el horario de recepcion y

envio.
40.00%
40.00%
Proceso mas detallado especificamente en un

documento.
48.17% 51.83%
8.1. RESPONSABILIDAD POR LOS ACTIVOS

48.17%
51.83%
67% 33%
33.33%
66.67%
53.33% 46.67%
8.3. MANEJO DE MEDIOS
38.67%
61.33%
9. CONTR
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
PREGUNTAS
9.1.1. POLÍTICA DE CONTROL DE ACCESOS
¿Tienen controles de acceso en la política de seguridad de

información?
¿Tienen documentado estos controles de acceso?
¿Todos los usuarios tienen los mismos controles de acceso?
¿Los empleados tienen conocimiento de estos controles de

acceso?
¿Bajo que criterio se otorgan se asignan estos controles de

acceso?
¿Qué tan frecuente se revisa estos controles de acceso para

mantener la seguridad de información ante posibles ataques?
¿En caso de realizar modificaciones u otorgar permisos de

acceso, quien autoriza estas modificaciones?
9.1.2. ACCESO A REDES Y SERVICIOS DE RED
¿Los usuarios tiene los mismos accesos a red y a servicios?
¿Quién solicita estos permisos y accesos?
¿Quién aprueba estas solicitudes?
¿Qué medidas se toman para mantener la seguridad en este

tipo de casos?
9.2. GESTIÓN DE ACCESO DE USUARIO
PREGUNTAS
9.2.1. REGISTRO Y BAJA DE USUARIOS
¿Se emplea ID unico para cada usuario ?
¿Que tan frecuente revisan, eliminan y/bloquean si hay IDs de

usuarios redundantes ?
¿Se puede asegurar que los ID's redundantes son usados por
los usuarios correctos?
¿Existe una central de registros de los derechos de acceso

concedidos a los id de usuarios?
¿Quién aprueba las solicitudes de registro y bajas de

usuarios?
9.2.2. APROVISIONAMIENTO DE ACCESO A USUARIOS
¿Se cambian los accesos de los usuarios que han cambiado de

funcion o trabajo?
¿Se remueve o bloquea los derechos de acceso de usuarios que han

dejado la organizacion?
¿el nivel de acceso concedido cumple con las politicas de acceso?
Se encuentra documentado el desarrollo del proceso para brindar o

quitar derechos de acceso a aplicaciones y/o servicios?
¿Los usuarios cuenta con conocimiento de la modalidad de solicitud

de permisos?
9.2.3. GESTIÓN DE DERECHOS DE ACCESOS PRIVILEGIADOS
¿Qué medidas tienen para evitar el acceso a intrusos?

¿Están identificados correctamente los derechos de acceso?
9.2.4. GESTIÓN DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA DE USUARIOS
¿Qué metodos y herramientas se tienen para proteger el control de

autenticación y evitar que sea infringido el control?
¿Los usuarios firman una declaracion comprometiendose a

mantener las claves secretas ?
¿Como se envia la clave secreta a los usuarios?
9.2.5. REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS
¿Que tan frecuente se revisa los derechos de acceso de un usuario?
¿Se reasigna los derechos del usuario al cambiar de una funcion a

otra?
¿Existe algun registro de los cambios para las cuentas privilegiadas?
¿Solo los propietarios de los activos cuentan con acceso a ellos?
9.2.6. REMOCIÓN O AJUSTE DE DERECHO DE ACCESO
¿Se cuenta con detalles de actividad de uso de los servicios

de los usuarios?
¿Se elimina los derechos de acceso del usuario antes o

despues de la culminacion de su contrato?
9.3. RESPONSABILIDAD DE LOS USUARIOS
PREGUNTAS
9.3.1. USO DE INFORMACIÓN DE AUTENTIFICACIÓN SECRETA

¿Aparte del usuario, alguien mas conoce la clave secreta?
¿Existe un registro donde se registre la clave secreta del

usuario? de ser afirmativo ¿Que medidas toman para
asegurar esos registros?
¿Qué medida tienen los empleados para demostrar la

recepción de esta información?
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN
PREGUNTAS
9.4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN
¿Los accesos y funciones del sistema de aplicaciones estan

restringidos acorde a la política de control de acceso?
9.4.2. PROCEDIMIENTOS DE INGRESO SEGURO
¿Qué controles se tienen para mantener un acceso seguro a

los usuarios?
¿Con que frecuencia se evalua la vulnerabilidad del control de

acceso?
9.4.3. SISTEMA DE GESTIÓN DE CONTRASEÑAS
¿Se cuenta con medidas de control para las contraseñas de

los usuarios?
¿Con que tiempo eventualmente se evalua la vulnerabilidad

de este tipo de control?
¿Se cuenta con controles en caso de fallas de contraseña en

el acceso?
¿Se intenta cumplir una contraseña de calidad?
¿Los usuarios siempre deben cambiar su contraseña al iniciar

sesion la primera vez?
9.4.4. USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS
¿Existe un registro de todo el uso de un programa de servicio

publico?
¿Que medidas se toma cuando un programa de servicio ya no

se usa?
9.4.5. CONTROL DE ACCESO AL CÓDIGO FUENTE DE LOS PROGRAMAS
¿Las bibliotecas de programa que se usan vienen por defecto

en el sistema operativo?
¿Que medidas toman al publicar el codigo fuente de un

programa publicamente?
9. CONTROL DE ACCESOS
ACCESOS
RESPUESTA ESTADO ACTUAL
Si, en las políticas de la organización. 4
Si, están documentados y conocer su

funcion
4
No, es diferentes por rangos 3
Si, los usuarios conocen los accesos que se

les otorga
4
Se evalua bajo que informacion necesitan

manejar
3
Cada vez que se adiciona, modifica o se

borra algún control se hace tambien una 4
revisión al resto de controles
El area de TI otorga el acceso pero el criterio

para otorgar permisos lo tiene el area de 4
seguridad de informacion
No, dependiendo en que red y servicio

trabajara el usuario, se lo otorga acceso solo 4
ahí
Los usuarios que laboran en la organización y

usuarios externos
4
El area de negocio confirma que se den los

accesos a esas redes
3
Se registra las actividades que se hacen en la

red y quien las ejecutó
4

Si, a cada usuario se le otorga un ID unico 4
Son eliminados 4
No es posible asegurar si los ids

redundantes son usados por los usuarios 3
correctos
Si, existe un registro para saber que rol le 4

dieron.
Un administrador. 4
Si, se les cambia los accesos dado que sus

responsabilidades y funciones tienen otras 4
necesidades
Se bloquea pero no se eliminan 4
Se trata de cumplir la politica de acceso al 4

otorgar el nivel de acceso
Si, esta documentado el proceso para la

realizacion de brindar, quitar o modificar 4
derechos de acceso
Si, conocen la modalidad para solicitar 4

permisos
OS
Se identifica las ip's de las computadoras que 4

estan permitidas entrar a la red
Si, estan identificados todos los derechos de 4
acceso que se les puede otorgar al usuario
SECRETA DE USUARIOS
Si, se le hace confirmar al usuario sobre su 4

inicio de sesion
Si, se les hace firmar un contrato donde se

compremeten a mantener sus claves en 4
discrecion
Se les otorga un correo que despues de unos 3

minutos es eliminado
Cada vez que se le hace algun cambio a los 4

derechos de acceso
Si, dado que su nueva funcion tiene otras 3

necesidades que deben ser cumplidas
Si, hay un registro de los cambios que se 3

hace a las cuentas privilegiadas
Si, solo ellos 4
No, no hay un historial o registro de las 2

actividades de los usuarios
Se le bloquea despues de la culminacion de 4

su contrato
RETA
No, solo el usuario de esa clave la conoce 4
No, no hay registro de la clave secreta del

usuario 4
Solo se comparte o difunde información

confidencial con las personas implicadas o 4
autorizadas a recibir esa información
Si, estan acorde a las politicas 4
Se intenta evitar la instalacion de softwares a

no ser que sean muy necesarios.
4
Cada 6 meses se hace una evaluacion de los

ataques que hubo.
4
No, no hay un control formal para las

contraseñas de usuarios
4
Cada 6 meses se evalua si el control es

vulnerable, y se trata de reducir esa 4
vulnerabilidad
Si, hay un intento minimo de insercion de la

contraseña
4
Si, la contraseña presenta diferentes
caracteres para mas seguridad.
4
si, al iniciar sesion se les solicita el cambio

sin opcion a mantener la primera contraseña 4
por defecto.
S
Si, se registra todo lo que se hace en el

programa a excepcion de consultas.
4
Es removido para que ya no sea utilizado. 3
PROGRAMAS
Si, muchas bibliotecas para elaborar el 4

programa vienen por defecto.
No se publica el codigo fuente del programa 4
TOTAL 76.47%
Se controla la revision del perfil que se les otorga a

los distintos usuario por rol
9.1. R
74.29%
Automatizacion de evaluacion de accesos
Un tiempo periodico en el cual se revisen los

controles de acceso
74.64%
Solouna area deberia encargarse de otorgar accesos.
Automatizar o generar un documento en el cual

especifique que accesos se an según el area
Definir el medio por el cual se solicita el acceso
75.00%
Mantener en capacitacion a dicho personal para asi
puedan cumplir sus funciones con mayor eficacia
Gestionar un tiempo a detalle en el cual se

adicionaran mas registros de red

Mantener un correcto control para no haber una
ambigüedad.
76.00%
Mantenerlo segmentado por areas cada ID asi su

busqueda seria rapida
Brindar capacitaciones periodicas al personal para

brindar mayor eficacia y eficiencia en la otorgacion de
accesos
Documentacion en la cual el usuario confirma

el cambio de accesos
Eliminar los derechos de acceso es mucho

mas completo el proceso
cumplir las politicas establecidas

previammente
80.00%
Mantenerlo en revision para asi poder

brindarle periodicamente las mejores
practicas
Fomentar la cultura de las buenas practicas a

los usuarios en la seguridad de informacion
Bloquear IP's Desconocidas
73.22%
80.00%
73.22%
80.00%
Darle seguimiento y optimizacion como
grupos de red que puedan tener distintas
areas
Se debe permite un limite de acceso.
73.33%
Fomentar la cultura de seguridad de accesos
Optimizar el proceso de otorgacion de claves

secretas
Disminuir cambios eventualmente
70.00%
Guardar los registros de almenos 3 ultimos

cambios.
Fomentar la cultura de seguridad de accesos del

porque se hacen dichas acciones al usuario
Se deberia implementar registros de actividades de

los usuarios
60.00%
Disminuir el periodo de retiro de accesos

Implementar una cultura de proteccion de la
seguridad hacia los trabajadores
Se deberia guardar pero con una encriptacion

80.00%
80.00%
Optimizar periodicamente los canales que dicha

difusion
Mantenerse en revision para mejorar las mejores 80.00%

practicas
Mantener registros de actividad de los usuarios
80.00%
Deberia reducir el tiempo.
Seria eficaz añadir mas parametros en ellos.
Reducir el tiempo de la periocidad para asi

tener mayor control.
Se deberia implementar preguntas de 80.00%

identificacion para mayor respaldo 78.00%
80.00%
78.00%
Se deberian incluir caracteres a la contraseña

para mas seguridad.
Fomentar la cultura del porque se hacen

dichas acciones al usuario.
Se debe contar con el registro de consultas de cada

usuario.
70.00%
Tener el registro y criterios, documentadas del

porque han sido removidos
Tener previsto las bibliotecas que vayan a

usarse a futuro para asi prevenir
vulnerabilidades al momento de la instalacion
80.00%
Tener registrado a los que tienen acceso al

codigo fuente
74.64% 25.36%
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS

25.36%
74.64%
73% 27%
9.2. GESTIÓN DE ACCESO DE USUARIO

CUMPLIMIENTO 0.7322222222 INCUMPLIMIENTO 0.2677777778
26.78%
73.22%
80.00% 20.00%

20.00%
80.00%
78.00% 22.00%
9.4. CONTROL DE ACCESO A SISTEMAS Y APLICACIÓN

22.00%
78.00%
N
10. CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
PREGUNTAS RESPUESTA ESTADO ACTUAL
10.1.1. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
¿La empresa hace uso de la si, estas politicas respetan la

políticas sobre los controles gestion criptografiaca de la 2
criptográficos en la empresa? empresa
¿En que forma esta Bajo normas y leyes politicos para 2

implementada ? la empresa
¿Cómo estan protegidos los Esta protegido mediante una

documentos confidenciales de encriptacion llamado hash para 2
la empresa? toda informacion
Las laptops asignadas a los

¿Cuáles son las medidas empleados son encriptadas y
adoptadas para la protección este mecanismo también será 3
de la información a través de aplicado a la base de datos en las
controles criptográficos? tablas que se requiera.
¿Se desarrolla e implementa

una política sobre el uso de los si 3
controles criptográficos para
proteger la información?
En el caso de no contar con

controles criptográficos, ¿Quién No se especifica. 0
o que área sería la encargada
de realizarlas?
10.1.2.GESTIÓN DE CLAVES
¿Se realiza el uso de claves Si, se usa claves criptograficas

criptográficas para proteger la 3
para proteger la informacion.
información?
¿Quién gestiona las claves El area de Tecnologia de 3
criptográficas? Informacion
¿Cada cuánto tiempo realizan

la gestión de las claves Cada 3 mesesa se gestiona la
criptográficas? informacion criptografiada y se 0
evalua si el nivel es bueno o no
TOTAL 40.00%
CRIPTOGRAFÍA
Se recomienda realizar un reporte

de encargaturas, para saber quienes
son los responsables o encargados
de las funciones en las áreas de la
empresa.
Se recomienda tener un reporte de
encriptación para que la
organización tenga un debido
seguimiento del mismo.
Se recomienda tener informe del

inventario de todos los recursos
informáticos de la ornización.
40.00%
Se recomienda tener un inventario
adecuado del software y hardware
de la PC, para que se pueda saber si
los recursos informáticos en la
organización cuentan con un
proceso de encriptación debido.
Se recomienda tener reportes de
pistas de auditoría del firewall y del 40.00%
SO de la base de datos para que se
pueda contribuir a mejorar el
proceso de encriptación.
Se recomienda tener un documento
que especifique que área deberá
encargarse de los controles
criptográfios, en caso no se cuenten
con estos.
Se recomienda tener un reporte de

encriptación para que la
organización tenga un debido
seguimiento del mismo.
40.00%
Se recomienda realizar un reporte
de encargaturas, para saber con más 40.00%
detalle quienes son los responsables
o encargados y sus funciones en las
áreas de la empresa.
Se recomienda tener un documento
que especifique cada cuánto tiempo
se deben realizar la gestión de
claves criptográficas.
CUMPLIMIENTO
INCUMPLIMIENTO
40.00% 60.00%
11. SEGURID
11.1. ÁREAS SEGURAS
PREGUNTAS
11.1.1. PERÍMETRO DE SEGURIDAD FÍSICA
¿Esta restringido los accesos a las instalaciones y edificios unicamente al personal?
Se cuenta con una área de recepción de atencion para controlar el acceso físico al sitio ?
Cuentan con barreras fisicas para impedir el acceso fisico no autorizado ?
¿Se cumplen con normas regionales, nacionales e internacionales que cumplan la resistencia
en caso de ocurrir este indicente ?
La Empresa cuenta con sistemas adecuados de detección de intrusos bajo ciertas normas de
seguridad?
Quien define los controles para la proteccion de las áreas de informacion con sus
instalaciones de procesamiento?
11.1.2. CONTROLES DE INGRESO FÍSICO
Se cuenta con un registro de los visitantes como la hora de entrada y salida asi como la
supervision a menos que su acceso ha sido previamente aprobado.? La identidad de los
visitantes es autenticada?
Se cuenta con un mecanismo de autenticación por ejemplo, como la tarjeta de acceso y el

PIN en secreto; para el acceso a las áreas donde la información es confidencial ?
La empresa cuenta con el libro de registro físico o electrónico de seguimiento de auditoría
de todos los accesos?
los empleados, contratistas y agentes externos llevan algún tipo de identificación visible? y
ademas ellos notifican al personal de seguridad si se encuentran con los visitantes sin
escolta y cualquier persona que no lleve identificación visible?
el personal de servicio de apoyo externo tiene acceso restringido a áreas seguras o

confidenciales instalaciones de procesamiento de la información?
Como se actualiza periodicamente los derechos de acceso al area?
11.1.3. ASEGURAR OFICINAS, ÁREAS E INSTALACIONES
Estan situadas ciertas instalaciones claves para evitar el acceso publico?
La oficinas son silenciosos y discerto fuera o dentro del edificio,para la identificación de la

presencia de las actividades de información?
Ciertas configuraciones estan hechas para evitar que la información confidencial o

actividades sean visible?
¿Los edificios estan identificados de acuerdo a su funcion con señales?
11.1.4. PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES
¿Se aplica y diseña una proteccion fisica contra desastres naturales, ataques provocados por
el hombre o accidentes?
Quien o quienes se encargan de ver todas estas medidas ante las amenazas antes
mencionadas?
11.1.5. TRABAJO EN ÁREAS SEGURAS
¿Se permite equipos de fotografia, video, audio u otros equipos de grabacion en el area?
Como se evalua las areas Seguras?
Cuantas veces se realiza la revision?
Se permite el ingreso de algun equipo de grabación?
11.1.6. ÁREAS DE DESPACHO Y CARGA
Esta permitio la entraga de carga del exterior a la empresa?
Se posee un limite de medida para recibir ciertas cargas del exterior?

las puertas exteriores de una entrega y el área de carga esta asegurado cuando se abren las
puertas de interior?
El material entrante es inspeccionado y examinado en busca de explosivos, productos

químicos u otros materiales peligrosos?
El material entrante es registrado de acuerdo con los procedimientos de gestión de activos?

(véase el Clausula 8) en la entrada al sitio.
Los envíos entrantes y salientes son separados físicamente?
Por donde es revisado el material entrante ?Si se descubre tal manipulación se informa al
personal de seguridad?
11.2. EQUIPOS
PREGUNTAS
11.2.1. EMPLAZAMIENTO Y PROTECCIÓN DE LOS EQUIPOS
Las instalaciones de procesamiento de información de manejo de datos sensibles estan

colocados cuidadosamente para reducir el riesgo de la información que se está viendo por
personas no autorizadas?
Los controles estan adoptados para minimizar el riesgo de posibles amenazas físicas y
ambientales, por ejemplo, el robo, incendio, explosivos, humo, agua (falta de suministro de
agua), polvo, vibración, efectos químicos, interferencia de suministro eléctrico, las
interferencias de comunicaciones, la radiación electromagnética y el vandalismo?
Las pautas para comer, beber y fumar en la proximidad de las instalaciones de

procesamiento de información estan establecidas?
Las condiciones ambientales, como la temperatura y la humedad, estan monitorizados para
detectar condiciones que puedan afectar negativamente al funcionamiento de las
instalaciones de procesamiento de información?
La protección contra rayos es aplicada a todos los edificios y los filtros de protección contra
rayos son instalados en toda la energía entrante y las líneas de comunicación?
11.2.2. SERVICIOS DE SUMINISTRO
cumplen las especificaciones del fabricante del equipo?
Son evaluados regularmente por su capacidad para satisfacer el crecimiento de los negocios?
son inspeccionados y probados con regularidad para asegurar su buen funcionamiento?
Existe alarmas a detectar fallos de funcionamiento?
11.2.3. SEGURIDAD DEL CABLEADO
Energía y las líneas de telecomunicaciones en las instalaciones de procesamiento de

información estan bajo tierra, o sujetas a protección alternativa adecuada?
Estan separados los cable de alimentacion donde realiza la comunicaciones para evitar
interferencias?
Cuentan con la instalación de conductos blindados en habitaciones cerradas o cajas de
inspección y de terminación de los puntos?
utilizan blindaje electromagnético para proteger los cables?
Tienen un control el Acces Point y otros paneles de Conexión??
11.2.4. MANTENIMIENTO DE EQUIPOS
Se realiza el mantenimientos adeacuados a cada equipo de informacion?
Lleva a cabo el personal las reparaciones ocurridas en los equipos de trabajo ?
se tiene registros de todas las fallas presuntos o reales?
se cumplen todos los requisitos de mantenimiento impuestas por las pólizas de seguro?
11.2.5. REMOCIÓN DE ACTIVOS

los empleados y los usuarios externos que tienen la autoridad para permitir la retirada fuera
de las instalaciones de los activos son identificados?
los plazos para la eliminación de los activos se establecen y vuelven a ser verificarlos para su
cumplimiento?
cuando sea necesario y apropiado, los activos se registra como retirado fuera de sitio y se
registra cuando se devuelven?
la identidad, el papel y la afiliación de cualquier persona que maneja o usa los activos esta
documentada?
11.2.6. SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES
Se tiene un control de los equipos y medios de comunicación tomadas fuera de las

instalaciones?
las instrucciones del fabricante para la protección de equipos son observadas en todo
momento? por ejemplo, la protección contra la exposición a los campos electromagnéticos
fuertes;
controles para fuera del establecimiento localizaciones, tales como sitios de trabajo a
domicilio, teletrabajo y temporales son determinados por una evaluación de riesgos y los
controles adecuados se aplica en su caso?
11.2.7. DISPOSICIÓN O REUTILIZACIÓN SEGURA DE EQUIPOS
Todos los elementos del equipo que contiene los medios de almacenamiento son verificados para
garantizar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de forma
segura antes de su eliminación o reutilización.?
el proceso de cifrado es suficientemente fuerte y cubre todo el disco (incluyendo el espacio

de holgura, archivos de intercambio, etc)?
las claves de cifrado son lo suficientemente largos para resistir los ataques de fuerza bruta?
11.2.8. EQUIPOS DE USUARIO DESATENDIDOS
los usuarios tiene por politica terminar sesiones activas cuando finalice el permiso de su uso
de ciertas teconologia?
los usuarios tiene conocimiento de desconectarse de aplicaciones o servicios de red cuando

ya no sean necesarios?
11.2.9. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA
De que manera se protegente dichos documenta tangibles?
Hay politicas sobre uso de tecnologia como impresora fotocopiadora entre otros en la
empresa?
como se maneja con respecto a los medios que contienen información sensible o
clasificada ?son retiradas de la impresaoras de inmediato?
11. SEGURIDAD FÍSICA Y AMBIENTAL
si esta restringido los accesos y a las instalaciones 4

unicamente al personal
Si, en esta area son los encargado de permitir el 4

ingreso de externos del personal .
Se cuentan con dispositivos de seguridad que por

medio de lectores de identificaciones para el 4
acceso a ciertos ambientes.
Si, se encuentran con aprobación de defensa civil 3

como zona segura.
Se cuenta con sistemas de monitoreo de zonas

importantes para la organización donde el acceso 2
solo permite a personal autorizado.
El área de SI 4
Si, para el ingreso de visitantes se realiza un

registro del visitante, pero esta visita debe ser 4
previamente reservada.
Se cuenta con dispositivos que son lectores de

indentificadores de mayor nivel y tarjetas unicas 4
que permiten acceso a solo personal autorizado a
ambientes de relevancia
Si , donde esta gestionado por la orden de la 4
jefatura
El personal interno y agentes externos poseen

idenfiticación otorgada por la organización, pero 4
ningún externo puede ingresar sin identificación.
Si, se publicó que solo personal interno autorizado

tiene acceso a ambientes relevantes para la 4
organización
Se actualizan en base a las solicitudes. 4
No todas las instalaciones prensentan visibilidad 1

de acceso al público
Si las oficinas de la organización presentan 4

apariencia discreta.
Si, se cuenta con protección al cableado . 4

Si estan identificados de acuerdo a sus funciones 4
No se aplica una proteccion fisica contra desastres 1

naturales o ataques provocados
Inicialmente lo esta viendo el área de logística. 1
No se permite equipos de grabacion 1
Las áreas seguras son evaluadas cuando ocurre 1

algun accidente que afecte la estructura.
La revisión se realiza una vez al año. 1
Se menciona la prohibición de ingreso de este tipo 1

de equipos,seas camara ,celular u entre otros.
Si, el ambiente se encuetra restringido a personas 1

ajenas al ambiente.
Si,poseen medidas de control. 1

Si,poseen medidas de control para limitar el 1
acceso a la organización.
Si, todo material antes de ingresar es revisado por

el personal de seguridad del exterior del 1
establecimiento.
Si, dicho material es registrado con sus datos y los 1

de la persona que entrega.
Si, se mantiene un orden . 1
Si, es revisado por el personal de seguridad del 1

exterior del establecimiento.
Las instalaciones se cuentran protegidas por

medidas de acceso tanto físicas como lógicas de 1
ajenos al proceso.
Si, los controles implementados estan orientados

a la protección ante vulnerabilidades de acceso, 3
accidentes y fenomenos naturales.
Si, se encuentra publicado normativas que

prohiben acciones no permitidas dentro de 1
ambientes de relevancia.
Se cuenta con dispositivos que permiten controlar
la temperatura y humedad asegurando el 1
funcionamiento del proceso.
Si, se posee medidas de seguridad ante problemas 1

de energía ocasionados por fenomenos naturales.
Si, cumplen los acuerdos. 1
No. 1
No, son inspeccionados una vez al año 1
No, pero son reportados por mesa de ayuda ya 1

que ellos reciben las incidencias.
Algunas instalaciones de cableado se encuentran

a vista del personal con proteccoón adecuada 1
contra daños, mientras que la mayoria encuentra
oculta por la estructura del edificio.
Si, se brinda la separación y distribución adecuada 1

para evitar interferencias.
Si, se cuenta con medidas de seguridad. 1
Se brinda la protección de cableado a corde de los

estándares de seguridad de cableado 1
estructurado.
Si. 1
No, el mantenimiento se da cuando ocurre 1

incidencias en los equipos
Si, siempre y cuando se solicite la incidencia. 1
No, ya que no se lleva mantenimiento preventivo 1

de equipos.
Solo en caso de equipos que sean otorgados y 1

administrados por terceros.
La organización posee una relación de
responsables de los activos, donde son estos 1
quienes tiene potestad de mofiticaciones de las
instalaciones.
No,solo se considera el cumplimiento de la tarea. 1
Se realizan modificaciones en el inventario. 1
Si,dichos activos se mencionan cuando se 1

designan las responsabilidades.
No. 1
No, solo cuando se presenta fallas en el servicio 1

otorgado por el proveedor.
No hay trabajos establecidos de ese tipo. 1
No, ya que cuando se procede a reutilizar dichos

equipos se resetea, lo cual significa reinstalar los 1
servicios.
Si, el cifrado es garantizado por certificaciones 1

digitales manejadas por la organización.
No se encontró información de la misma. 1
Si, se mencionó una normativa de la organización

donde solicitan el cerrado de sesión como medida 1
de protección .
Si, se posee recomendaciones del cierre de

aplicaciones que no son utilizadas para no saturar 1
la red.
Se aplican implementos de protección para siertos 3
apartos tecnologicos
Dichos dispositivos tiene asignados permisos para 2

usuarios .
Se proporciona de muebles para el 1

almacenamiento de dichos medios.
TOTAL 32.96%
Se recomienda hacer planos de

instalaciones y evacuaciones.
El ambiente debe ser cómodo para las

personas que esperan.
Se debe colocar barreras físicas de

seguridad que por medio de lectores
de identificaciones se pueda acceder a
diferentes ambientes.
70.00%
Se debe tener alarmas contra

incendios, extintores, detectores de
humo, sensores de temperatura y
fortalece las columnas de las
edificaciones.
Se deben colocar cámaras en toda la

organización.
Deben comunicar los controles que

realizan para a protección de áreas.
Se debe tener esta información en

libros físicos y en la nube.
Se debe identificar que lector ingresa a

los diferentes ambientes en tiempo
real.
80.00%
Esta información debería refrescarse
diariamente.
80.00%
Deberian recomendar que el pase de

visita como lectores de identificación
de los trabajadores, siempre se
coloque en lugar visible.
Se debe identificar que lector de

identificación ingresa a los diferentes
ambientes en tiempo real.
Se recomienda que las jefaturas envien

un correo informando sobre la
revocación de su personal a Seguridad
de la Información.
Se recomienda que todas las

edificaciones tengan instalaciones
claves, que eviten al público en general
acceder a la organización, de manera
informal.
No mostrar la infraestructura interna

de las edificaciones por ningun medio
social.
43.33%
50.00%
Se recomienda colocar blindaje
electromagnetico a todas las
edificaciones.
Deben colocar seguridad telefónica,
para que la comunicación solo sea por
anexos. ejemplo:Cisco
Deben evaluar más riesgos.
20.00%
Se debe evaluar los riesgos y
consecuencias, priorizarlos
Los proveedores deben cumplir el

principio de confidencialidad.
Se deben registrar los incidentes, para

poder corregirlos de inmediato.
20.00%
La frecuencia de revisión es muy larga,
si es un área segura debería de ser
priorizada.
Deberían revisar en la enntrada si los

trabajadores, proveedores o visitantes
ingresan con estos equipos y
reportarlo.
Se debe brindar mayor seguridad al

personal encargado de la entrega y a la
zona de carga.
20.00%
23.33%
20.00%
20.00%
20.00%
20.00%
22.59%
22.59%
20.00%
Deberian tener un inventariado de los

activos dentro y fuera de la
organzación.
Deben hacer un analisis preventivo, no

correctivo. 20.00%
20.00%
Deberian evaluar la posibilidad de

trabajo freelance, teletrabajo, entre
otros, ante posibles acontecimientos
de fuerza mayor.
Deberian llevar un control de

inventariado y historial de equipos con
usuarios.
Se recomienda que el cifrado sea 20.00%

garantizado por certificaciones
digitales.
Se recomienda que el cifrado sea

garantizado por certificaciones
digitales.
Se debe incuir como normaiva el

cambio de contraseñas
periodicamente.
20.00%
Deben incluir una normativa que los

trabajadores deben apagar sus
equipos.
Colocar cámaras de seguiridad.
Se debe controlar el uso de esos

artefactos, por rango de horas.
40.00%
Se debe colocar normaivas que

indiquen que cualquier información
confidencial debe ser reportada de
inmediato.
43.33% 56.67%
11.1. ÁREAS SEGURAS
CUMPLIMIENTO
43.33% INCUMPLIMIENTO
56.67%
22.59% 77.41%
11.2. EQUIPOS
22.59%
CUMPLIMIENTO
INCUMPLIMIENTO
77.41%
12.
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS
PREGUNTAS
12.1.1. PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS
¿Existe documentación de los principales procedimientos de operación?
los documentos de operaciones estan a disposicion de los usuarios que

lo necesiten ?
12.1.2. GESTIÓN DEL CAMBIO
¿existe un control respecto a los cambios en la organización,los procesos

de negocio,instalaciones y sistemas que afectan a la seguridad de
información de procesamiento de información?
12.1.3. GESTIÓN DE LA CAPACIDAD
quienes supervisan los recursos clave del sistema?
El uso de los recursos es monitoreado ?
se tiene proyecciones de las futuras necesidades de capacidad para

asegurar el rendimiento del sistema que se requeriera?
12.1.4. SEPARACIÓN DE LOS ENTORNOS DE DESARROLLO, PRUEBAS Y OPERACIONES
Se da los niveles de desarrollo, pruebas y entornos operacionales?

¿Existe una separación entre los entornos de desarrollo, prueba y
producción?
El personal de otros niveles comparten la misma informacion?
12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS

PREGUNTAS
12.2.1. CONTROLES CONTRA CÓDIGOS MALICIOSOS
¿Cuentan con controles de detección, prevención y recuperación para

proteger contra el malware?
¿Qué controles utilizan para prevenir?
¿Qué controles utilizan para la deteccion?
¿Qué controles utilizan para la recuperacion?
12.3. RESPALDO
PREGUNTAS
12.3.1. RESPALDO DE LA INFORMACIÓN
Cuentan con copias de seguridad de respaldo?
Se Cuentan con una política de copia de seguridad?

¿Realizan pruebas de copias de seguridad?
12.4. REGISTROS Y MONITOREOS

PREGUNTAS
12.4.1. REGITRO DE EVENTOS
Cuentan con un registro de eventos ?
¿Qué elementos incluyen dentro del proceso de registro de eventos?
12.4.2. PROTECCIÓN DE INFORMACIÓN DE REGISTROS
Como se protegen la informacion de registro?
Que medidas se tomas en caso de algunas alteracion de datos ?
12.4.3. REGISTROS DEL ADMINISTRADOR Y DEL OPERADOR
cuentan con un administrador de sistema y un gestor de red?
¿Qué herramientas usa para el registro de actividad del administrador ?
Realizan seguimiento a las cuentas de usuarion que tiene aceso a ello o

control acerca de las actividades que ellos hacen?
cuentan con un sistema de detección de intrusos?
12.4.4. SINCRONIZACIÓN DEL RELOJ
¿Los relojes de las diferentes areas se encuentran en sincronia con el

reloj maestro?
Los requeremineto representan la sincronización y precisión estan

documentados?
12.5. CONTROL DEL SOFTWARE OPERACIONAL

PREGUNTAS
12.5.1. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERACIONALES
¿Qué tipo de procedimiento cuenta para la instalacion del Software?
Que se aplican para controlar la instalación de software en los sistemas

operativos?
cuentan con proveedores informaticos?

Los proveedores tienen acceso a la informacion físico o lógico ?
12.6. GESTIÓN DE VULNERABILIDAD TÉCNICA

PREGUNTAS
12.6.1. GESTIÓN DE VULNERABILIDADES TÉCNICAS
¿cuentan con un inventario de los activos de la empresa?
que pautas siguen para establecer un proceso de gestión eficaz para las
vulnerabilidades técnicas?
12.6.2. RESTRICCIÓN SOBRE INSTALACIÓN DE SOFTWARE
Tiene alguna politica estricta al mometo de que el usuarip instale algun

software?
¿Qué software estan permitidos para los usuarios?
12.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

PREGUNTAS
12.7.1. CONTROLES DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Se realiza una planificacion de los requisitos de auditoria relacionada a

los sistemas de informacion?
En cuanto tiempo se hace una planificacion para los requisitos de una
auditoria y/o las actividades relacionadas con los sistemas operativos?
Que pautas se considera dentro del proceso de una auditoria?

12. SEGURIDAD DE LAS OPERACIONES
RESPUESTA
Si,todos los procedimientos de operación se encuentran documentad.
Los documentos de operaciones estan a disposición de los usuarios que formen parte del área que
labora en el proceso y tengan autorización de acceso al documento.
Si, existen normativas que orientan a los procedimientos en ese tipo de cambios que afectan la
seguridad de información.
Los dueños de los procesos .
El consumo de recursos son monitoreados a diferentes niveles, cuyo reporte de consumo es vital para
la futura toma de decisiones.
Si, para ello se analisa el rendimiento y consumo de recursos, que permitan pronosticar
aproximadamente la nueva demanda de capacidad que pueda haber
Y OPERACIONES
Si, pero no siempre son designados estos niveles, ya que el área de desarrollo está orientado a cumplir
con el objetivo.
No, el desarrollo del proyecto se lleva a cabo de forma coordinada y por fases.
No.
RESPUESTA
No, no hay controles de código malicioso.
Se implementan principios que orientan en el desarrollo para cumplir con los objetivos.
No se emplean controles de detección de código malicioso.
No se emplean controles sino principios.
RESPUESTA
Si, siempre y cuando la información es relevante .
Si, se cuentan con políticas para salvaguardar información valiosa.

Si, se realizan pruebas con data experimental.
RESPUESTA
Si, se cuenta con registros de eventos .
Se considera el ID del usuario en caso se requiera, dirección de IP de algún equipo, el nombre del
equipo, etc.
Se protege con controles de acceso.
Se compara con la copia de seguridad de la información para comprobar el impacto de la

manipulación, y posterios ubicar la vulnerabilidad .
Si, se cuenta con un administrador de sistema y un gestor de red que es externo.
Para el registro de actividad se utiliza herramientas de automatización de tareas .
Se cuenta con herramientas de monitoreo para ver que tipo de procedimiento realizan en su maquinas
Se cuenta con Firewall, controles de protección de acceso a intrusos.
Si, todos los equipos que se encuentran adscritas al dominios cuentan con dependencia del reloj
maestro.
Si, cuenta con documentación de procedimientos para la representación de tiempo, sincronización y

precisión del tiempo.
RESPUESTA
Un procedimiento tecnico que incluye apoyo del área de mesa de ayuda.
Se evalúa el software(conpatibilidad) y luego de ello se solicita apoyo a mesa de ayuda con la

instalación ya que cuenta con un usuario con permisos para instalación.
Si, se cuenta con proveedores de sofware.

No, los proveedores no tienen acceso.
RESPUESTA
Si, cada área cuenta con un inventario de los activos con los que trabaja.
Se cuenta con documentación de procedimiento que se basan en el tratamiento de vulnerabilidades

idenfiticadas.
Existen una política donde se menciona sobre los niveles de permisos .
Todo software que sea autorizado por su jefatura .
NFORMACIÓN
RESPUESTA
Si, se procede a planificar los recursos que ha de necesitar la auditoria a llevarse a cabo.
Se realiaza con 3 meses de anticipación a la respectiva auditoria.
La Preparación de recursos a ser auditados, planificación de un horario para los sistemas que serán
auditados,notificación al personal para estar informador de la auditoría.
TOTAL
ESTADO ACTUAL RECOMENDACIÓN SUBTOTAL TOTAL
(%)
80.00%
4 PROCEDIMIENTO
4 80.00% 25.00%
80.00%
60.00%
60.00%
4
ESTADO ACTUAL RECOMENDACIÓN SUBTOTAL

(%)
4
20.00%

(%)
5
80.00%
80.00%

(%)
12.3. R
5
100.00%
100.00%
40.00%
3
75.00%
100.00%
5
4
80.00%

(%)
100.00%
5
5

(%)
5 12.5. CONTRO
100.00%
80.00%

(%)
80.00%
4 80.00%
75.00%
12.7. CONSIDERACIONES PARA LA A
100.00
100.00
CUMPLIMIENTO
INCUMPLIMIENTO
75.00% 25.00%
PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS
25.00%
CUMPLIMIENTO
INCUMPLIMIENTO
75.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
12.3. RESPALDO
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
12.5. CONTROL DEL SOFTWARE OPERACIONAL
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
ONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
100.00%
13. SEGURIDAD DE LAS C
13.1. GESTIÓN DE SEGURIDAD DE LA RED
PREGUNTAS
13.1.1. CONTROLES EN REDES
¿Cómo gestionan las redes?
¿Quién realiza dichas gestionres de redes ?
13.1.2. SEGURIDAD DE SERVICIOS DE RED
¿Se con mecanismos de seguridad en la red?
¿Se da un acuerdo de servicio de red?
13.1.3. SEGREGACIÓN DE REDES
¿Cómo estan distribuído los sistemas de información, usuarios y servicios a

nivel de red?
13.2. TRANSFERENCIA DE INFORMACIÓN

PREGUNTAS
13.2.1. POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE LA INFORMACIÓN
¿Cuentan con políticas, controles que protegan la transeferencia de

informacion?
¿Estas politicas, procedimiento estan difundidos en toda la empresa y

terceros?
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen?
¿Qué tan seguido se actualiza las políticas, procedimientos y/o controles?
13.2.2. ACUERDO SOBRE TRANSFERENCIA DE INFORMACIÓN
¿Qué acuerdos se da para transferir se manera segura la información.
13.2.3. MENSAJES ELECTRÓNICOS
¿Se controle la información que contiene un correo electronico?
De ser así ¿Quién maneja o gestiona dicho mecanismo?
13.2.4. ACUERDOS DE CONFIDENCIALIDAD O NO DIVULGACIÓN
¿Cuentan con políticas de confidencialidad ?
¿Se realiza algún tipo de seguimiento con respecto a si se cumplen? (tanto

trabajadores internos como externos)
¿Qué tan seguido se actualiza los documentos de acuerdo de

confidencialidad?
13. SEGURIDAD DE LAS COMUNICACIONES
ESTADO RECOMENDA
RESPUESTA ACTUAL CIÓN
En el caso de IBM lo que realiza es una configuración de puertos (port security), 5

revisa el ingreso mediante VPN
La red WAN la gestiona Telefónica y la red LAN la gestiona IBM 5
Si, son seguridad perimentales 5
Si están identificados. 5
Cuentan con segmentaciones. 5
ESTADO RECOMENDA
RESPUESTA ACTUAL CIÓN
A INFORMACIÓN
Si se cuenta con políticas y controles de transferencia de información 5
Son difundidos para todo el personal que interactue con los activos de información. 5
Se realiza una evaluación que consiste en las políticas que son informadas mediante 5
una plataforma e-learning.
Se revisan y actualizan cada año. 5
Existe un acuerdo entre la organización y la partes externas mediante un acuerdo de 5

confidencialidad por parte de la organización .
Como mecanismo de proteccion de correos es Google, quien nos provee el servicio 5

corporativo.
Lo gestiona Google. 5
Si se cuenta con políticas de confidencialidad. 5
Se realiza una evaluación que consiste en las políticas que son informadas mediante 5
una plataforma e-learning, es por medio de esto que se realiza un seguimiento.
Se actualiza cada año 5

TOTAL 100.00%
SUBTOTAL TOTAL
(%)
CUMPLIMIENTO
INCUMPLIMIENTO
100.00% 0.00%
100.00%
13.1. GESTIÓN DE SEGURIDAD D
100.00%
100.00%
100.00%
SUBTOTAL TOTAL
(%)
100.00%
100.00%
100.00%
100.00%
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
0.00% 100.00%
13.2. TRANSFERENCIA DE INFOR
100.00%
100.00%
MPLIMIENTO
E SEGURIDAD DE LA RED
CUMPLIMIENTO
INCUMPLIMIENTO
%
MPLIMIENTO
ENCIA DE INFORMACIÓN
CUMPLIMIENTO
INCUMPLIMIENTO
CUMPLIMIENTO
INCUMPLIMIENTO
%
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
PREGUNTAS
14.1.1. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
¿Le han solicitado algunos requisitos relacionados a la seg. de la inf. a la

empresa?
¿Hace uso de los requisitos relacionados a la seguridad de la informacion ?
14.1.2. ASEGURAMIENTO DE SERVICIOS DE APLICACIONES SOBRE REDES PÚBLICAS
¿Cómo protegen la informacion que almacenan las aplicaciones que pasan por
redes publicas ?
14.1.3. PROTECCIÓN DE TRANSACCIONES EN SERVICIOS DE APLICACIÓN
¿Cómo protegen la información involucrada en los otorgradas por servicios de

aplicación en la empresa?
14.2. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

PREGUNTAS
14.2.1. POLÍTICA DE DESARROLLO SEGURO
¿Existen reglas para el desarrollo del software ?
14.2.2. PROCEDIMIENTOS DE CONTROL DE CAMBIO DEL SISTEMA
¿Cuál es el procedimientos que se realiza para el control de cambio de un

sistema?
14.2.3. REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS A LA PLATAFORMA OPERATIVA
Cuando se realiza algún cambio en la plataforma de un sw, ¿Qué tipo de

procedimientos realizan para asegurar que no haya algún impacto en la
organización?
14.2.4. RESTRICCIONES SOBRE CAMBIOS A LOS PAQUETES DE SOFTWARE
¿Cuáles son las restricciones que la empresa dispone para el cambio de un

software?
14.2.5. PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS

¿Qué principios de sistemas seguros establecen a la hora de implementar un
sistema?
14.2.6. AMBIENTE DE DESARROLLO SEGURO
¿Cómo protegen o aseguran los ambientes de desarrollo?
14.2.7. DESARROLLO CONTRATADO EXTERNAMENTE
¿Cuentan con un ambiente de desarrollo externo?
¿Se supervisa y monitorea las actividades de desarrollo de un sistema

tercerizado?
14.2.8. PRUEBAS DE SEGURIDAD DEL SISTEMA

Se identica las pruebas de seguridad se realizan durante las etapas del
desarrollo?
14.2.9. PRUEBAS DE ACEPTACIÓN DEL SISTEMA
¿Acorde a qué criterios aprueban la aceptación de nuevos SI, actualizaciones y/o

versiones nuevas?
14.3. DATOS DE PRUEBA

PREGUNTAS
14.3.1. PROTECCIÓN DE DATOS DE PRUEBA
Cuando se implementa un nuevo SI, a la hora de realizar las pruebas ¿De donde
sacan los datos?
¿Cómo protegen los datos usados para pruebas y quién lo realiza?

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
ÓN
RESPUESTA
DE LA INFORMACIÓN
Si, siendo que se establecen los requeriminetos

minimos de seguridad para un nuevo software.
Varía acorde al tipo de instalación del sistema que

procese la información .
EDES PÚBLICAS
Para proteger los recursos y activos de información se

utilizará el enfoque de capas múltiples. El diseño de
seguridad de la red deberá incluir la funcionalidad de
firewalls en todos los puntos
ÓN
El DBA debe desarrollar procedimientos de seguridad

para salvaguardar la BD.
RESPUESTA
Se manejan mediante reglas básicas, acorde a lo que
se puede implemen tareas en base a los
requerimientos brindados
Para la realizacion de un cambio este se inicia

mediante un requirimiento o necesidad, se evalua si es
viable el cambio, se aprueba, luego se programa (se
fija fechas), pasa por calidad (quien realiza pruebas) y
luego pasa a producción.
En caso el requerimineto implique cambios a los
calculos y/o formulas en el core se deberá contar con
la conformidad del responsable.
A LA PLATAFORMA OPERATIVA
Se realiza un análisi de impacto a nivel de procesos en

la etapa funcional y técnico en la fase de desarrollo.
WARE
Se basan en los contratos que deben definir

claramente lo limites de uso. S
Cuando se implementa un SI este debe de cumplir con
que la información debe de ser integra, debe de ser
confidencial .
A través de la segmentación de las redes.
No cuentan con un ambiente de desarrollo externo.
No cuentan con un ambiente de desarrollo

tercerizado.
No se identifican procesos de aseguramiento de
calidad,.
Si aporta valor al core del negocio.
RESPUESTA
En el area de calidad donde pasa a produccion a su

vez esta se genera mediante un sw que ellos usan.
Los datos de prueba son protegidos mediante cifrado

o encriptado.
TOTAL
TOTAL
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
ESTADO ACTUAL
ESTADO ACTUAL
0
4
4
2
0
ESTADO ACTUAL
69.63%
24.44%
O DE SISTEMAS
Especificamente se tiene una carta de confidencialidad,

la cual puede ser fortalecido con el conocimiento de la
experiencia del proveedor en proyectos similares. La
centralización a través de una PMO nos permitiria una
mejor administración.
80.00%
El impacto en el negocio debe ser cuantificado afín de

determinar el riesgo que implica.
Se puede proteger la confidencialidad y el acceso no

deseado a la información mediante el cifrado de esta,
de los soportes que los almacenan y de las
comunicaciones donde la transmitimos. Esto es
especialmente importante cuando hagamos uso de 80.00%
soportes de almacenamiento externos, dispositivos
móviles y conexiones a redes inseguras como wifis
públicas, que aumentan el riesgo de filtraciones de
información confidencial.
Los procediminetos deben incluir las fases para que los

usuarios respalden su información y como soporte 60.00%
tecnologico hará lo mismo a través de carpetas
compartidas.

No encontramos evidencia de ello.
Contar con manuales de estandarización tanto del
aplicativo como de la base de datos y reglas de 0.00%
programación afín de realizar manteniminetos menos
costosos.
Se puede utilizar una herramienta afín de medir el nivel

de atención a través de los tiempos de respuesta. Se 60.00%
recomienda Mantis de uso libre.
A través de una matriz de riesgos identificar las posibles

consecuencias afin de elaborar un plan de tratamiento 80.00%
o mitigación del impacto, la misma debe ser
cuantificada.
Los usuarios no tendran la facultad de poder instalar

software. Se debe de contar con un monitoreo de la red 80.00%
afin de detectar uso de software no autorizado.
Actualemnete se agrega a estos tres pilares la
estanqueidad (el no repudio), que garantiza al emisor 80.00%
que la información fue entregada y ofrece una prueba
al receptor del origen de la información recibida
Las entidades financieras tienen como recomendación

SBS la segmentación de red como eje principal de
protección de información de modo interno, el 60.00%
enmascaramiento de la información es un método
adecuado para el área de desarrollo.
Por la dinámica del rubro proyectos que desvien la

atención del core del negocios debe ser tercerizado.
60.00%
Los proyectos a tercerizar deben estar monitoreados

por personal de una PMO
La fase de aseguramiento de calidad, en el seguimiento
de los estandares establecidos asi como detección de
distorciones de la funcionalidad deben ser detectados 0.00%
con controles durante la fase de desarrollo no como
fase post.
El comité de aprobación de requeriminetos debe

validar su alineación a los objetivos estrategicos 80.00%
institucionales.
El utilizar algún método de enmascaramiento de la data

dara un nivel de seguridad de información.
80.00%
Deben ser procesos automáticos realizados

administrados por el DBA.
TOTAL
CUMPLIMIENTO
73.33%
14.1. REQUISITOS DE SEGURIDAD DE

73.33%
26.67%
73.33
TOTAL
CUMPLIMIENTO
55.56%
55.56%
55.56%
14.2. SEGURIDAD EN LOS PROCE
44.44%
TOTAL
80.00%
CUMPLIMIENTO
80.00%
14.3. DATOS DE
20.00%
14.3. DATOS DE
20.00%
80.00%
INCUMPLIMIENTO
26.67%
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
6.67%
CUMPLIMIENTO
INCUMPLIMIENTO
73.33%
INCUMPLIMIENTO
44.44%
D EN LOS PROCESOS DE DESARROLLO Y SOPORTE
CUMPLIMIENTO
% INCUMPLIMIENTO
55.56%
INCUMPLIMIENTO
20.00%
0.00%
0.00%
CUMPLIMIENTO
INCUMPLIMIENTO
80.00%
16. GESTION DE INCIDENTES DE SEGURIDAD DE L
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
PREGUNTAS
16.1.1. RESPONSABILIDADES Y PROCEDIMIENTOS.
¿Quiénes se encargan de resolver los problemas

ante alguna filtracion de datos?
¿Cumplen con las politicas de seguridad en la

empresa?
16.1.2. REPORTE DE EVENTOS DE SEGURIDAD DE LA INFORMACION
Los trabajadores pueden tener acceso a los

documentos ?
¿Se encuentran preparados para la investigacion,

en el caso de que haya reporte de perdida de
informacion?
16.1.3. REPORTE DE DEBILIDADES DE SEGURIDAD DE LA INFORMACION
¿Con que mecanismos de comunicación de

debilidades de seguridad de informacion se
cuentan?
16.1.4. EVALUACION Y DECISION SOBRE EVENTOS DE SEGURIDAD DE LA INFORMACION
¿Ustedes clasifican la informacion según la

importancia o privacidad?
¿Se cuentan con criterios para la priorizacion de

los incidentes?
ya
¿La empresa tiene un sistema de BackUp de toda su informacion ?

16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
URIDAD DE LA INFORMACIÓN Y MEJORAS.
ESTADO
RESPUESTA ACTUAL
DIMIENTOS.
Nuestros ingenieros encargados del area 4
Nuestros trabajadores tienen bien claro nuestras

Politicas de Seguridad y les hacemos recordar que 5
sumplan para evitar perdidad de datos
RIDAD DE LA INFORMACION
Si 2
Nuestros profesionales se encuentran capacitados 4

para los casos de reportes de perdidad de datos
EGURIDAD DE LA INFORMACION
Mediante indicadores que se presentan en los

monitoreos, reportes de incidencias informados 4
por mesa de ayuda,etc.
E EVENTOS DE SEGURIDAD DE LA INFORMACION
Si, nuestros documentos y archivos estan 4

clasificados por niveles de privacidad
Si, estos niveles de priorización va en relación tanto

en el impacto del incidente, la necesidad de 4
atención inmediata,las personas que tiene
prioridad a ser atendidas, etc.
TOTAL 40.00%
E LA INFORMACION
SUBTOTAL TOTAL
RECOMENDACIÓN (%)
Capacitar a los trabajadores para que puedan

resolver problemas de grado menor
60.00%
Se recomienda que todos los trbajadores tengan
conocimineto al 100% las politicas y que esten
totalmente capacitados
CUMPLIMIENTO
Los documentos y o datos no se berian de ser

brindada a los empleados facilmente sin ninguna
supervicion y biens¿do que el doc solicitado no
tenga altos contenido de privacidad de la
empresa
60.00%
No solo los profesionales del area deben de

estar capacitados, si no todos en la organización
Comparar periodcamente los resultados de los

indicadores para ver los resultados de mejoras 80.00%
entre periodos
Si la empresa maneja documentos en papel, 40.00%

siempre es recomendable guardarlos
digitalmente, ya sea escaneandolos y guardarlos
en algun servidor
80.00%
Incluir mas criterios como "costo monetario,

etc"; para ver reflejado laperdida de costo de
recursos
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
CUMPLIMIENTO
INCUMPLIMIENTO
40.00% 60.00%
40.00%
60.00%
RMACIÓN Y MEJORAS.
00%

Herramienta 27001 ResumenEjecutivoCumplimientoErick

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Herramienta 27001 ResumenEjecutivoCumplimientoErick

Uploaded by

Copyright:

Available Formats

Resumen ejecutiv

5.LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

5.LAS POLÍTICAS DE SEG URIDAD DE LA INFORMACIÓN 6 .ORGAN IZACIÓN DE L A SEGURIDAD DE L A INFORMACI

Cumplimiento Imcumplimiento Cumplimiento Imcumpli miento

Cumplimiento Imcumplimiento Priorizacion

60.00% 80.00% 100.00%

5.1.1. LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

¿Se tiene una política de seguridad definida en la

¿Con que tipo de política de seguridad de

¿Se cuenta con un enunciado donde se mencione

¿Los empleados son comunicados sobre la política

¿Qué parte externa es considerada a comunicarles

5.1.2.REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

¿Quién(es) es responsable de la manipulación de

¿Con que frecuencia se revisan las políticas?

Cuenta con una política de seguridad de información solo para

Se cuenta con control de permisos de acceso a terceros,

No se le comunica a todos en su totalidad. 2

En este caso se hace mencion que a los proveedores se les

La manipulación de excepciones dentro de la politica esta a

Una vez al año se revisa la política. 4

5.1.DIRECCIÓN DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

6.1.1.ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN

¿Quién se encarga de asignar las responsabilidades

¿Qué criterio utilizan para designar al adecuado

¿Qué medidas se realiza para evitar la modificación

¿Quiénes otorgan la autorización para acceder

¿En caso de no poder tener autorización de uso o

6.1.3.CONTACTO CON AUTORIDADES

¿A quien reportan la ocurrencia de incidentes en la

¿Qué criterio utilizan para designar la persona

¿Qué medidas toman para lograr que el reporte

6.1.4.CONTACTO ESPECIAL CON GRUPOS DE INTERES

¿Poseen grupos de interes especial, foros de

¿Qué acciones toman para mejorar el conocimiento

6.1.5.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS

¿Los objetivos de la seguridad de la información

¿Tienen la seguridad de la información en todas las

¿Qué decisiones se toman para que el desarrollo de

6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

6.2.1.POLÍTICA DE DISPOSITIVOS MÓVILES

¿Se tiene un enunciado relacionado dispositivos

¿De qué manera se previene los tipo de riesgo de

¿Con que frecuencia se evalua la vulnerabilidade de

RESPUESTA ESTADO ACTUAL SUBTOTAL (%)

Se tiene establecido lineas comunicación dentro de la

Los jefes de cada área. 4 73.33%

Se debe solicitar los permisos necesarios a los Jefes,

Se reporta al responsable del departameto de 4

Se tiene elegir a una persona entre los jefes de area . 3

Para la atencion de incidentes se tiene establecido 3

No cuenta con grupos u asociaciones profesionales. 0

Si estan basados en las cuales son monitoreadas por 3

Todo los proyectos cuentan con un plan de prueba. 2

RESPUESTAS ESTADO ACTUAL SUBTOTAL (%)

Se mencionan acuerdos de protección del contenido 3

Se tiene revisiones de vulneravilidad, y como reaciónar 3

6.1. ORGANIZACIÓN INTERNA

6.2.DISPOSITIVOS MÓVILES Y TELETRABAJO

¿Los contratistas tiene la capacidad necesaria

¿Cuáles son las responsabilidades del

7.1.2. TERMINOS Y CONDICIONES DEL EMPLEO

¿Los empleados son informados de los terminos

7.2. DURANTE EL EMPLEO