Professional Documents
Culture Documents
35.00
% 42.8
65.00 3% 57.1
% 7%
5.LAS POLÍTICAS DE SEG URIDAD DE LA INFORMACIÓN 6 .ORGAN IZACIÓN DE L A SEGURIDAD DE L A INFORMACI
35.00
% 42.8
65.00 3% 57.1
% 7%
#REF! #REF!
#REF! #REF!
EGURIDAD DE L A IN FORMACIÓN
.8
% 57.1
7%
EGURIDAD DE L A IN FORMACIÓN
.8
% 57.1
7%
to Imcumpli miento
on
r cumplimieto
#REF!
cumplimiento
#REF!
PREGUNTA
50.00%
Se cuenta con un enunciado que las políticas de seguridad de
información son una iniciativa para guiar a los procesos de 3
forma segura basada en politicas y estandares.
EGURIDAD DE LA INFORMACIÓN
TOTAL 65.00%
TOTAL (%)
CUMPLIMIENTO INCUMPLIMIENTO
65.00% 35.0%
65.00%
35.00%
65.00%
6.ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1. ORGANIZACIÓN INTERNA
PREGUNTAS
6.1.2.SEGREGACIÓN DE FUNCIONES
PREGUNTAS
6.2.2.TELETRABAJO
¿Tiene alguna medida de seguridad que se emplea
para proteger el acceso a información que puede ser
procesada?
EGURIDAD DE LA INFORMACIÓN
Gerencia de Riesgo 4
70.00%
Se designa a aquellos quienes son expertos, quienes
son dueños del proceso y quienes lo cuidan.
3
70.00%
30.00%
Se tienen capacitaciones periodicas para el personal y
asi mejorar sus conocimientos en seguridad de la 3
infmormacion.
GESTIÓN DE PROYECTOS
53.33%
Se tiene de definido en cada fase del proyecto. 3
TOTAL 57.17%
TOTAL (%)
CUMPLIMIENTO INCUMPLIMIENTO
59.33% 40.67%
40.67%
59.33%
59.33%
59.33%
CUMPLIMIENTO INCUMPLIMIENTO
55.00% 45.00%
TOTAL (%)
45.00%
55.00%
55.00%
55.00%
55.00%
BAJO
7. SEGURIDAD DE LOS RECURSOS HUMANOS
7.1. ANTES DEL EMPLEO
PREGUNTAS
7.1.1. SELECCIÓN
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
60.00%
La seguridad es responsabilidad de todos los empleados y 3
personas involucradas con la empresa. 70.00%
PLEO
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
CIA
O
ESTADO SUBTOTAL
RESPUESTA TOTAL (%)
ACTUAL (%)
60.00%
El área de seguridad ejecuta las medidas correspondientes 3
ante la renuncia o despido de un empleado.
60.00%
60.00%
TOTAL 63.33%
CUMPLIMIENTO INCUMPLIMIENTO
70.00% 30.00%
30.00%
70.00%
CUMPLIMIENTO INCUMPLIMIENTO
60.00% 40.00%
7.2. DURANTE EL EMPLEO
CUMPLIMIENTO INCUMPLIMIENTO
40.00%
60.00%
CUMPLIMIENTO INCUMPLIMIENTO
60.00% 40.00%
40.00%
60.00%
8. GESTIÓN DE ACTIVO
8.1. RESPONSABILIDAD POR LOS ACTIVOS
PREGUNTAS
PREGUNTAS
8.2.3.MANEJO DE ACTIVOS
PREGUNTAS
ESTADO
RESPUESTA ACTUAL
No se cambia. 2
ESTADO
RESPUESTA
ACTUAL
TOTAL 82.07%
RECOMENDACIÓN SUBTOTAL (%) TOTAL
8.1. RESPONSA
CUMPLIM
48.17%
Se debe explicadar mas explicitamente cada
activo.
51.83%
36.00%
50.00%
CUMPLIMIE
80.00%
33.33%
60.00%
Todos deberian estar informados sobre el
proceso de etiquetado
60.00%
53.33%
Tener un transporte especifico para transportar
los medios de almacenamiento y es mas seguro.
48.17% 51.83%
48.17%
51.83%
CUMPLIMIENTO INCUMPLIMIENTO
67% 33%
CUMPLIMIENTO INCUMPLIMIENTO
33.33%
66.67%
CUMPLIMIENTO INCUMPLIMIENTO
53.33% 46.67%
38.67%
61.33%
9. CONTR
9.1. REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESOS
PREGUNTAS
PREGUNTAS
9.2.1. REGISTRO Y BAJA DE USUARIOS
¿Se puede asegurar que los ID's redundantes son usados por
los usuarios correctos?
PREGUNTAS
PREGUNTAS
Son eliminados 4
Un administrador. 4
OS
SECRETA DE USUARIOS
RETA
No, solo el usuario de esa clave la conoce 4
PROGRAMAS
TOTAL 76.47%
RECOMENDACIÓN SUBTOTAL (%) TOTAL
74.29%
75.00%
Mantener en capacitacion a dicho personal para asi
puedan cumplir sus funciones con mayor eficacia
73.22%
80.00%
73.22%
80.00%
Darle seguimiento y optimizacion como
grupos de red que puedan tener distintas
areas
73.33%
Fomentar la cultura de seguridad de accesos
70.00%
80.00%
70.00%
74.64% 25.36%
25.36%
74.64%
CUMPLIMIENTO INCUMPLIMIENTO
73% 27%
26.78%
73.22%
CUMPLIMIENTO INCUMPLIMIENTO
80.00% 20.00%
20.00%
80.00%
CUMPLIMIENTO INCUMPLIMIENTO
78.00% 22.00%
22.00%
78.00%
N
10. CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
PREGUNTAS RESPUESTA ESTADO ACTUAL
10.1.1. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
10.1.2.GESTIÓN DE CLAVES
TOTAL 40.00%
CRIPTOGRAFÍA
40.00%
Se recomienda tener un inventario
adecuado del software y hardware
de la PC, para que se pueda saber si
los recursos informáticos en la
organización cuentan con un
proceso de encriptación debido.
Se recomienda tener reportes de
pistas de auditoría del firewall y del 40.00%
SO de la base de datos para que se
pueda contribuir a mejorar el
proceso de encriptación.
Se recomienda tener un documento
que especifique que área deberá
encargarse de los controles
criptográfios, en caso no se cuenten
con estos.
40.00%
Se recomienda realizar un reporte
de encargaturas, para saber con más 40.00%
detalle quienes son los responsables
o encargados y sus funciones en las
áreas de la empresa.
Se recomienda tener un documento
que especifique cada cuánto tiempo
se deben realizar la gestión de
claves criptográficas.
CUMPLIMIENTO
INCUMPLIMIENTO
40.00% 60.00%
11. SEGURID
11.1. ÁREAS SEGURAS
PREGUNTAS
11.1.1. PERÍMETRO DE SEGURIDAD FÍSICA
Se cuenta con una área de recepción de atencion para controlar el acceso físico al sitio ?
¿Se cumplen con normas regionales, nacionales e internacionales que cumplan la resistencia
en caso de ocurrir este indicente ?
La Empresa cuenta con sistemas adecuados de detección de intrusos bajo ciertas normas de
seguridad?
Quien define los controles para la proteccion de las áreas de informacion con sus
instalaciones de procesamiento?
11.1.2. CONTROLES DE INGRESO FÍSICO
Se cuenta con un registro de los visitantes como la hora de entrada y salida asi como la
supervision a menos que su acceso ha sido previamente aprobado.? La identidad de los
visitantes es autenticada?
los empleados, contratistas y agentes externos llevan algún tipo de identificación visible? y
ademas ellos notifican al personal de seguridad si se encuentran con los visitantes sin
escolta y cualquier persona que no lleve identificación visible?
¿Se aplica y diseña una proteccion fisica contra desastres naturales, ataques provocados por
el hombre o accidentes?
Quien o quienes se encargan de ver todas estas medidas ante las amenazas antes
mencionadas?
¿Se permite equipos de fotografia, video, audio u otros equipos de grabacion en el area?
Por donde es revisado el material entrante ?Si se descubre tal manipulación se informa al
personal de seguridad?
11.2. EQUIPOS
PREGUNTAS
11.2.1. EMPLAZAMIENTO Y PROTECCIÓN DE LOS EQUIPOS
Los controles estan adoptados para minimizar el riesgo de posibles amenazas físicas y
ambientales, por ejemplo, el robo, incendio, explosivos, humo, agua (falta de suministro de
agua), polvo, vibración, efectos químicos, interferencia de suministro eléctrico, las
interferencias de comunicaciones, la radiación electromagnética y el vandalismo?
La protección contra rayos es aplicada a todos los edificios y los filtros de protección contra
rayos son instalados en toda la energía entrante y las líneas de comunicación?
Son evaluados regularmente por su capacidad para satisfacer el crecimiento de los negocios?
Estan separados los cable de alimentacion donde realiza la comunicaciones para evitar
interferencias?
Cuentan con la instalación de conductos blindados en habitaciones cerradas o cajas de
inspección y de terminación de los puntos?
se cumplen todos los requisitos de mantenimiento impuestas por las pólizas de seguro?
los plazos para la eliminación de los activos se establecen y vuelven a ser verificarlos para su
cumplimiento?
cuando sea necesario y apropiado, los activos se registra como retirado fuera de sitio y se
registra cuando se devuelven?
la identidad, el papel y la afiliación de cualquier persona que maneja o usa los activos esta
documentada?
las instrucciones del fabricante para la protección de equipos son observadas en todo
momento? por ejemplo, la protección contra la exposición a los campos electromagnéticos
fuertes;
controles para fuera del establecimiento localizaciones, tales como sitios de trabajo a
domicilio, teletrabajo y temporales son determinados por una evaluación de riesgos y los
controles adecuados se aplica en su caso?
Todos los elementos del equipo que contiene los medios de almacenamiento son verificados para
garantizar que los datos sensibles y el software con licencia se han eliminado o sobrescrito de forma
segura antes de su eliminación o reutilización.?
las claves de cifrado son lo suficientemente largos para resistir los ataques de fuerza bruta?
los usuarios tiene por politica terminar sesiones activas cuando finalice el permiso de su uso
de ciertas teconologia?
Hay politicas sobre uso de tecnologia como impresora fotocopiadora entre otros en la
empresa?
como se maneja con respecto a los medios que contienen información sensible o
clasificada ?son retiradas de la impresaoras de inmediato?
11. SEGURIDAD FÍSICA Y AMBIENTAL
El área de SI 4
No. 1
Si. 1
No. 1
TOTAL 32.96%
RECOMENDACIÓN SUBTOTAL (%) TOTAL
80.00%
Esta información debería refrescarse
diariamente.
80.00%
43.33%
50.00%
Se recomienda colocar blindaje
electromagnetico a todas las
edificaciones.
Deben colocar seguridad telefónica,
para que la comunicación solo sea por
anexos. ejemplo:Cisco
20.00%
Se debe evaluar los riesgos y
consecuencias, priorizarlos
20.00%
La frecuencia de revisión es muy larga,
si es un área segura debería de ser
priorizada.
23.33%
20.00%
20.00%
20.00%
20.00%
22.59%
22.59%
20.00%
20.00%
43.33% 56.67%
CUMPLIMIENTO
43.33% INCUMPLIMIENTO
56.67%
CUMPLIMIENTO INCUMPLIMIENTO
22.59% 77.41%
11.2. EQUIPOS
22.59%
CUMPLIMIENTO
INCUMPLIMIENTO
77.41%
12.
12.1. PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS
PREGUNTAS
12.1.1. PROCEDIMIENTOS OPERATIVOS DOCUMENTADOS
12.3. RESPALDO
PREGUNTAS
12.3.1. RESPALDO DE LA INFORMACIÓN
que pautas siguen para establecer un proceso de gestión eficaz para las
vulnerabilidades técnicas?
RESPUESTA
Los documentos de operaciones estan a disposición de los usuarios que formen parte del área que
labora en el proceso y tengan autorización de acceso al documento.
Si, existen normativas que orientan a los procedimientos en ese tipo de cambios que afectan la
seguridad de información.
El consumo de recursos son monitoreados a diferentes niveles, cuyo reporte de consumo es vital para
la futura toma de decisiones.
Si, para ello se analisa el rendimiento y consumo de recursos, que permitan pronosticar
aproximadamente la nueva demanda de capacidad que pueda haber
Y OPERACIONES
Si, pero no siempre son designados estos niveles, ya que el área de desarrollo está orientado a cumplir
con el objetivo.
No, el desarrollo del proyecto se lleva a cabo de forma coordinada y por fases.
No.
RESPUESTA
Se implementan principios que orientan en el desarrollo para cumplir con los objetivos.
RESPUESTA
RESPUESTA
Se considera el ID del usuario en caso se requiera, dirección de IP de algún equipo, el nombre del
equipo, etc.
Se cuenta con herramientas de monitoreo para ver que tipo de procedimiento realizan en su maquinas
Se cuenta con Firewall, controles de protección de acceso a intrusos.
Si, todos los equipos que se encuentran adscritas al dominios cuentan con dependencia del reloj
maestro.
RESPUESTA
RESPUESTA
Si, cada área cuenta con un inventario de los activos con los que trabaja.
NFORMACIÓN
RESPUESTA
Si, se procede a planificar los recursos que ha de necesitar la auditoria a llevarse a cabo.
Se realiaza con 3 meses de anticipación a la respectiva auditoria.
La Preparación de recursos a ser auditados, planificación de un horario para los sistemas que serán
auditados,notificación al personal para estar informador de la auditoría.
TOTAL
ESTADO ACTUAL RECOMENDACIÓN SUBTOTAL TOTAL
(%)
80.00%
4 PROCEDIMIENTO
4 80.00% 25.00%
80.00%
60.00%
60.00%
4
4
20.00%
5
80.00%
80.00%
12.3. R
5
100.00%
100.00%
40.00%
3
75.00%
100.00%
5
4
80.00%
100.00%
5
5
5 12.5. CONTRO
100.00%
80.00%
80.00%
4 80.00%
75.00%
100.00
100.00
CUMPLIMIENTO
INCUMPLIMIENTO
75.00% 25.00%
25.00%
CUMPLIMIENTO
INCUMPLIMIENTO
75.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
12.3. RESPALDO
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
0.00% 100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
100.00%
13. SEGURIDAD DE LAS C
13.1. GESTIÓN DE SEGURIDAD DE LA RED
PREGUNTAS
ESTADO RECOMENDA
RESPUESTA ACTUAL CIÓN
Si están identificados. 5
ESTADO RECOMENDA
RESPUESTA ACTUAL CIÓN
A INFORMACIÓN
Son difundidos para todo el personal que interactue con los activos de información. 5
Se realiza una evaluación que consiste en las políticas que son informadas mediante 5
una plataforma e-learning.
Lo gestiona Google. 5
Se realiza una evaluación que consiste en las políticas que son informadas mediante 5
una plataforma e-learning, es por medio de esto que se realiza un seguimiento.
100.00% 0.00%
100.00%
100.00%
100.00%
100.00%
SUBTOTAL TOTAL
(%)
100.00%
100.00%
100.00%
100.00%
100.00%
CUMPLIMIENTO
INCUMPLIMIENTO
100.00%
0.00% 100.00%
100.00%
100.00%
MPLIMIENTO
E SEGURIDAD DE LA RED
CUMPLIMIENTO
INCUMPLIMIENTO
%
MPLIMIENTO
ENCIA DE INFORMACIÓN
CUMPLIMIENTO
INCUMPLIMIENTO
CUMPLIMIENTO
INCUMPLIMIENTO
%
14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
PREGUNTAS
14.1.1. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
¿Cómo protegen la informacion que almacenan las aplicaciones que pasan por
redes publicas ?
Cuando se implementa un nuevo SI, a la hora de realizar las pruebas ¿De donde
sacan los datos?
EDES PÚBLICAS
ÓN
RESPUESTA
Se manejan mediante reglas básicas, acorde a lo que
se puede implemen tareas en base a los
requerimientos brindados
A LA PLATAFORMA OPERATIVA
WARE
RESPUESTA
TOTAL
TOTAL
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
ESTADO ACTUAL
ESTADO ACTUAL
0
4
4
2
0
ESTADO ACTUAL
69.63%
24.44%
O DE SISTEMAS
80.00%
60.00%
73.33%
26.67%
73.33
TOTAL
CUMPLIMIENTO
55.56%
55.56%
55.56%
44.44%
TOTAL
80.00%
CUMPLIMIENTO
80.00%
14.3. DATOS DE
20.00%
14.3. DATOS DE
20.00%
80.00%
INCUMPLIMIENTO
26.67%
6.67%
CUMPLIMIENTO
INCUMPLIMIENTO
73.33%
INCUMPLIMIENTO
44.44%
CUMPLIMIENTO
% INCUMPLIMIENTO
55.56%
INCUMPLIMIENTO
20.00%
0.00%
14.3. DATOS DE PRUEBA
0.00%
CUMPLIMIENTO
INCUMPLIMIENTO
80.00%
16. GESTION DE INCIDENTES DE SEGURIDAD DE L
16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS.
PREGUNTAS
RIDAD DE LA INFORMACION
Si 2
EGURIDAD DE LA INFORMACION
SUBTOTAL TOTAL
RECOMENDACIÓN (%)
60.00%
Se recomienda que todos los trbajadores tengan
conocimineto al 100% las politicas y que esten
totalmente capacitados
CUMPLIMIENTO
CUMPLIMIENTO
INCUMPLIMIENTO
40.00% 60.00%
40.00%
60.00%
RMACIÓN Y MEJORAS.
00%