gap analysis: avaluació de les mesures de seguretat a implantar
Post on 04-Feb-2017
225 Views
Preview:
TRANSCRIPT
20/09/2012 © Altran 2012
Gap Analysis: Avaluació de les mesuresde seguretat a implantar
Consultoría de seguridad para la adecuación al Esquema Nacional de Seguridad
Tabla de contenidos1 Análisis de las medidas de seguridad ya implantadas 4
1.1 Esquema Nacional de Seguridad (ENS). Anexo II..................................................41.2 ISO 27001 / ISO 20000 / BS 25999............................................................................7
1.3 Análisis de riesgos....................................................................................................91.3.1 Marco organizativo [ORG].................................................................................................................9
1.3.2 Marco operacional [OP]...................................................................................................................12
1.3.3 Medidas de Protección [MP]............................................................................................................24
2 Medidas de seguridad a implantar: determinación del GAP entre la situación deseada y la situación actual 40
2.1 GAP con la norma ISO / IEC 27002:2005...............................................................402.1.1 Base.................................................................................................................................................40
2.1.2 [SEG] Seguridad..............................................................................................................................42
2.1.3 [EXP] Explotación............................................................................................................................43
2.1.4 [SIS] Sistemas.................................................................................................................................44
2.1.5 [DWH] DataWareHouse...................................................................................................................45
2.1.6 [RAI] Recursos, Aprendizaje e Investigación..................................................................................46
2.1.7 [RRH] Recursos Humanos..............................................................................................................47
2.1.8 [PEC] Planificación Económica.......................................................................................................48
2.1.9 [JUR] Jurídico..................................................................................................................................49
2.1.10 [ORG] Organización........................................................................................................................50
2.1.11 [CDO] Centros de Docencia............................................................................................................51
2.1.12 [ITI] Investigación, Transferencia e Innovación...............................................................................52
2.1.13 [INF] Infraestructuras.......................................................................................................................53
2.1.14 [REC] Rectorado, Gerencia y Secretaría General...........................................................................54
2.2 GAP con el Esquema Nacional de Seguridad.......................................................562.2.1 Base.................................................................................................................................................56
[SEG] Seguridad..............................................................................................................................................58
2.2.2 [EXP] Explotación............................................................................................................................60
2.2.3 [SIS] Sistemas.................................................................................................................................62
2.2.4 [DWH] DataWareHouse...................................................................................................................64
2.2.5 [RAI] Recursos, Aprendizaje e Investigación..................................................................................66
2.2.6 [RRH] Recursos Humanos..............................................................................................................68
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 16/11/2011 2/204
2.2.7 [PEC] Planificación Económica.......................................................................................................70
2.2.8 [JUR] Jurídico..................................................................................................................................72
2.2.9 [ORG] Organización........................................................................................................................74
2.2.10 [CDO] Centros de Docencia............................................................................................................76
2.2.11 [ITI] Investigación, Transferencia e Innovación...............................................................................78
2.2.12 [INF] Infraestructuras.......................................................................................................................80
2.2.13 [REC] Rectorado, Gerencia y Secretaría General...........................................................................82
3 Anexos 843.1 Valoración PILAR 27002:2005................................................................................843.2 Valoración PILAR ENS............................................................................................164
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 3/204
1 Análisis de las medidas de seguridad ya implantadasEn la Universidad hay toda una serie de medidas de seguridad, tanto activas como pasivas,
que hacen que haya una confianza en verso la entidad y una facilidad para los trabajadores
por hacer su trabajo de forma eficiente .
1.1 Esquema Nacional de Seguridad (ENS). Anexo IIEn el Esquema Nacional de Seguridad (RD 3/2010) se marcan 75 medidas de seguridad a
controlar en tres marcos bien diferenciados (Organizativo, Operacional y de Protección),
según la Administración Pública y según el carácter de la información a asegurar. Las que la
Universidad cumple, según se ha podido observar en las entrevistas de la auditoría y alguna
visita presencial son:
Org.4 Proceso de autorización. Los trabajadores tienen clara la estructura jerárquica en
caso de peticiones de autorización de tareas.
Op.pl.2 Arquitectura de seguridad. En donde la Universidad dispone de una base de
datos (Wiki) Donde está toda la documentación de los diversos sistemas, fotografías del
CPD, sistemas de comunicación, inventario de equipos, ...
Op.acc.1 Identificación. En la Universidad, en el acceso por la red no se utilizan usuarios
genéricos y es relativamente sencillo ver los derechos de cada usuario dentro de cada
sistema y se hace una consulta a un LDAP centralizado, mantenido por RRHH para ver si un
usuario está activo o no.
Op.acc.2 Requisitos de acceso. Todos los recursos del sistema están bien separados a
otra red o bien con gestión de acceso mediante usuario / contraseña, consultando el del
LDAP.
Op.acc.4 Proceso de gestión de derechos de acceso. El acceso a los registros o
sistemas está determinado por la ley del mínimo acceso necesario. Todos los recursos
tienen control de acceso por usuario, el cual se consulta su estado al LDAP. Sólo unos
usuarios administradores pueden facilitar el acceso a otros usuarios.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 4/204
Op.exp.4 Mantenimiento. Hay contrato de mantenimiento según normativa vigente en
donde constan compromisos como el mantenimiento de aplicativos contratados, tiempo de
respuesta en caso de fallo, ...
Op.exp.6 Protección frente a código dañino. Hay antivirus distribuido a todos los equipos,
gestionado de forma centralizada con una consola. Hay control de antivirus perimetral en el
correo electrónico.
Op.exp.11 Protección de claves criptográficas. En la Universidad disponen de un HSM
(Hardware Security Module), Equipamiento físico diseñado específicamente para la tarea de
generación, almacenamiento y protección de las claves criptográficas empleado por los
certificados SSL y por la generación de los certificados digitales personales.
Mp.if.1 El CPD de la Universidad se encuentra separado del resto de la organización por
puertas que se abren sólo con tarjeta de acceso. El acceso está limitado a ciertas personas
de la organización y un par de tarjetas extra asignadas a empresas que prestan algún
servicio específico.
Mp.if.4 Energía eléctrica. Se dispone de un Sistema de Alimentación Ininterrumpida (SAI)
principal en la sala del CPD. Todos los edificios nuevos disponen de un SAI propio. Algunos
laboratorios, por motivos de la criticidad del proyecto disponen de un SAI propio para cubrir
a todos los equipos que necesitan para funcionar y llevar adelante el proyecto de
investigación. El contrato con el proveedor está basado en un concurso en donde se exige el
suministro continuo según subasta eléctrica.
Mp.if.5 Protección frente incendios. Hay un sistema de extinción de incendios en el CPD
basado en la normativa vigente especial para extinguir incendios de equipamiento eléctrico.
Mp.com.1 Perímetro seguro. En la Universidad se dispone de dos líneas de cortafuegos,
las dos con redundancia. Los dispositivos son del mismo fabricante (Juniper) pero modelos
diferentes con sistemas operativos diferentes y funcionalidades ligeramente diferentes. A
efectos de configuración se pueden considerar dos dispositivos totalmente diferentes pues
su sistema operativo es diferente.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 5/204
Mp.com.4 Segregación de redes. La Universidad dispone de redes segmentadas
físicamente por cortafuegos en donde cada red está pensada para alojar un tipo específico
de servicios (DMZ, MZ, Interna, VPN, ...).
Mp.si.5 Borrado y destrucción. Para destrucción de información que pueda considerarse
sensible en papel se usan destructoras de documentos. Si se ha de borrar o dar de baja un
equipo de microinformática, hay un procedimiento, contratado con una empresa externa
certificada para estas tareas, que es quien lo realiza, después de dar de baja del equipo del
inventario interno.
Mp.info.5 Sello de tiempo. En la Universidad se utiliza el sellado de tiempo en las firmas
electrónicas ya la información que se pueda considerar importante.
Mp.s.1 Protección del correo electrónico. En la Universidad hay dispositivos físicos
diseñados exclusivamente para la protección del contenido del correo electrónico. También
ha contratado un servicio externo para la gestión, detección y bloqueo del correo no
deseado (SPAM). En la Universidad existe una normativa de uso interno sobre la utilización
del correo corporativo donde se marca el uso del mismo para temas de la Organización y no
para temas personales.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 6/204
1.2 ISO 27001 / ISO 20000 / BS 25999 Los diversos puntos estipulados de la ISO 27001 marcan la necesidad de unos controles
establecidos en diversos sectores (técnico, administrativo, procedimental, ...) para que se
considere este control como satisfactorio y, por tanto, adecuada. A continuación listamos los
controles de la ISO 27001:2005 que, según las indicaciones de las entrevistas, cumple la
Universidad:
6.1.5 Acuerdos de confidencialidad. Al existir la ley de contratación pública y las leyes a
las que están sometidos los diversos trabajadores, éstos tienen un acuerdo de
confidencialidad respecto a su trabajo. También hay acuerdos puntuales de confidencialidad
con las empresas terceras que tienen, por la razón que sea, la posibilidad de acceder a
información sensible.
8.1.3 Términos y condiciones de contratación. En todo concurso de contratación pública,
en el pliego, queda bien claro las condiciones de trabajo, el objetivo, lo que se necesita, las
responsabilidades de todas las partes y la relación con la información sensible.
8.2.3 Proceso disciplinario. Existe un proceso disciplinario que afecta a todos los
trabajadores de la Universidad y, en el caso de que realizara alguna falta, aplicarlo.
9.1.1 Perímetro de seguridad física. El CPD y salas importantes están cerradas con
cerradura electrónica y para acceder hay que tener la autorización pertinente.
9.1.3 Seguridad de oficinas, despachos e instalaciones. Se tiene en cuenta la legislación
vigente para la adecuación de las oficinas en materia de salud y seguridad.
9.1.5 Trabajo en áreas seguras. En los laboratorios que trabajan con productos
peligrosos existe, por norma, un área segura. Ningún investigador puede entrar sin
supervisión.
9.2.2 Instalaciones de suministro. Todos los nuevos edificios disponen de SAI propio, Los
equipos críticos, en la medida de las posibilidades, se instalan con fuente redundante,
existen rutas alternativas de comunicación en caso de fallo de la principal.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 7/204
9.2.4 Mantenimiento de los equipos. Los equipos se mantienen según recomendaciones
del fabricante.
9.2.6 Reutilización o retirada segura de equipos. Los equipos que puedan contener
información sensible son borrados siguiendo un procedimiento que asegura el borrado total
de los datos.
10.6.1 Controles de red. Las responsabilidades del mantenimiento de las redes están
separadas respecto a la responsabilidad del mantenimiento de operaciones de los equipos
informáticos. En lugares críticos hay registro (log) de las actividades.
10.7.4 Seguridad de la documentación del sistema. Toda la documentación se encuentra
en un wiki con medidas de seguridad adecuados (Acceso por usuario y contraseña,
información guardada cifrada,...)
10.10.6 Sincronización del reloj. La Universidad dispone de un servidor de tiempo propio,
sincronizado con un servidor externo. Los servidores se configuran para sincronizarse con el
propio.
11.2.1 Registro de usuario. Cada usuario tiene un ID único y hay un procedimiento y
responsables marcados para asignar o quitar los privilegios de acceso de un usuario.
11.4.5 Segregación de redes. Las redes de educación, acceso remoto, gestión,... están
separadas físicamente y los accesos entre ellas controlados mediante una doble corona de
cortafuegos.
11.4.6 Control de la conexión de red. Las redes públicas tienen los puertos de
comunicación controlados y no se pueden hacer ciertas conexiones. Las redes corporativas
identifican equipo y usuario.
11.5.2 Identificación y autenticación de usuario. Cada usuario dispone de un ID de red
único e identificativo.
12.3.2 Gestión de claves. La Universidad dispone de un HSM que está especialmente
diseñado para el trabajo que pide este control.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 8/204
12.5.5 Externalización del desarrollo de software. La Universidad, en el caso de haber
externalizado algún desarrollo, éste sigue con todos los requisitos contractuales y de
calidad, aparte de la garantía de acceso de información que marca este control.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 9/204
1.3 Análisis de riesgos
Todo análisis de riesgos sirve a un organismo hacerse una idea aproximada y visual de por
dónde pueden venir los problemas a partir de posibles incidentes que pueden ocurrir. Estos
riesgos se analizan mediante el impacto que puede tener en el organismo que este hecho se
convierta en realidad y la probabilidad de que esto ocurra.
En un análisis de riesgos se muestran unas acciones preventivas que deben ayudar a
minimizar tanto el impacto como la probabilidad de su ocurrencia, pero también indica unas
acciones correctivas a tener en cuenta por si este evento ha tenido lugar, pasos a seguir
para minimizar el impacto lo máximo posible.
A continuación mostramos un análisis de riesgos separado por cada Marco de medidas de
seguridad indicado por la ENS.
1.3.1 Marco organizativo [ORG]
1.3.1.1 Política de Seguridad [org.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Falta de interés de los trabajadores en aplicar una política de seguridad que consideran que les puede hacer trabajar más lentamente
Grave (3) Normal (2) Serio Apoyo desde Dirección en la implantación de la Política de Seguridad. Implicación en la gente para que haga suya y pueda participar
Insistencia por parte de los implicados en que los trabajadores apliquen la política de seguridad.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 10/204
1.3.1.2 Normativa de Seguridad [org.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Falta de interés de los trabajadores en aplicar una normativa de seguridad que consideran que les puede hacer trabajar más lentamente
Grave (3) Normal (2) Serio Apoyo desde Dirección en la implantación de la Normativa de Seguridad. Implicación en la gente para que haga suya y pueda participar
Insistencia por parte de los implicados en que los trabajadores apliquen la normativa de seguridad.
1.3.1.3 Procedimientos de Seguridad [org.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Necesidad de ejecutar un procedimiento no validado o incumplido
Medio (2) Normal (2) Vigilar Validar los procedimientos antes de publicarlos.
Ejecutar las tareas que se consideren necesarias y registrar lo que se hace y lo que genera. Estudio posterior de la idoneidad del que se ha hecho.
1.3.1.4 Proceso de autorización [org.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Responsable de autorización no disponible
Grave (3) Normal (2) Serio Documentar un personal autorizado a validar en caso de que el autorizador principal no esté disponible por causas de fuerza mayor.
Buscar una persona más o menos válida para autorizar de forma lo más formal posible el cambio a hacer. Registrar quién lo hace y lo que se hace.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 11/204
1.3.2 Marco operacional [OP]
1.3.2.1 Planificación [op.pl]
1.3.2.1.1 Análisis de Riesgos [op.pl.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Información contenida en el análisis de riesgos no actualizada.
Grave (3) Normal (2) Serio Designar un responsable del mantenimiento del análisis de riesgos y hacer revisiones periódicas de la última actualización
Realizar un cuestionario a los responsables de departamento para que aporten la información actualizada.
2 Activos y amenazas peor valorados
Medio (2) Baja (1) Vigilar Planificar unas revisiones del impacto y un valor de riesgo residual a alcanzar. Realizar acciones de mejora para alcanzar este valor.
Valorar correctamente el activo o la amenaza y realizar una acción de mejorar para valorarlo correctamente.
1.3.2.1.2 Arquitectura de Seguridad [op.pl.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Información contenida en la documentación no actualizada.
Grave (3) Normal (2) Serio Designar un responsable del mantenimiento de la documentación.
Realizar un análisis de la red para actualizar la información.
2 Documentación modificada por alguien no autorizado
Grave (3) Baja (1) Vigilar Situar la documentación en una ubicación de red que sólo personal autorizado pueda acceder
Realizado un análisis para ver quién ha modificado la información. Revisar seguridad del acceso de la documentación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 12/204
1.3.2.1.3 Adquisición de Nuevos Componentes [op.pl.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 El componente adquirido tiene una grave vulnerabilidad
Grave (3) Normal (2) Serio Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.
Estudiar los cambios de configuración para ofrecer un compromiso de seguridad si se acaba adquiriendo el componente. Estudiar la posibilidad de devolverlo o no implantarlo.
2 Impacto mayor al esperado en la red
Grave (3) Baja (1) Vigilar Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.
Adaptar la red lo justo, ocasionando los mínimos problemas, para poner en producción el componente y mirar su sustitución.
1.3.2.1.4 Dimensionamiento / Gestión de Capacidades [op.pl.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Mal dimensionamiento. Saturación del equipo.
Grave (3) Normal (2) Serio Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.
Estudiar cambios en la configuración para retrasar la saturación. Estudiar la adquisición de un equipamiento nuevo.
1.3.2.1.5 Componentes Certificados [op.pl.5]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Componente adquirido para proteger un sistema de información de tipo alto no evaluado por normativa europea
Grave (3) Baja (1) Vigilar En el pliego de concurso se especificarán las normativas mínimas que deben cumplir para proteger un sistema de información con datos
Devolver el producto y verificar que lo que se adquiera cumple las normativas específicas.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 13/204
de carácter alto.
1.3.2.2 Control de Acceso [op.acc]
1.3.2.2.1 Identificación [op.acc.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Un usuario genérico borra datos importantes o causa un incidente de seguridad
Grave (3) Baja (1) Vigilar Inhabilitar o borrar todos los usuarios genéricos. Revisar que todos los usuarios genéricos tienen un responsable asignado. Configurar un sistema DLP (Data Loss Prevention) en la red.
Inhabilitar el usuario causante del incidente. Informar a responsables y revisar las políticas de usuarios genéricos. Registrarlo como incidencia de seguridad.
2 Un usuario accede a un recurso de red restringido
Grave (3) Baja (1) Vigilar Realizar auditorías periódicas de los permisos de los usuarios
Corregir los derechos de acceso del usuario. Revisar los derechos del recurso accedido. Registrarlo como incidencia de seguridad.
1.3.2.2.2 Requisitos de acceso [op.acc.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 El sistema centralizado de gestión de acceso dejar de estar disponible.
Grave (3) Baja (1) Vigilar Realizar una copia de seguridad íntegra del sistema y prueba de restauración de la misma.
Los usuarios podrán seguir entrando, no se podrá dar una nueva alta. Se podría abrir con llave normal.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 14/204
1.3.2.2.3 Segregación de funciones y tareas [op.acc.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Solapamiento de tareas entre compañeros de mismo departamento o tareas que dejan de hacerse.
Grave (3) Baja (1) Vigilar Realizar el esquema de segregación de tareas y marcar quién debe hacer qué. Mantener un catálogo de puesto de trabajo actualizado.
Vigilar que no haya habido solapamiento y borrado de información. Que un responsable designe las tareas a realizar por cada uno de los implicados. Documentar la segregación de tareas.
1.3.2.2.4 Proceso de gestión de derechos de acceso [op.acc.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Se falsifica la firma del responsable para dar un acceso extra a un usuario.
Grave (3) Baja (1) Vigilar Establecer un método de firma digital con la característica de no repudio para verificar quién ha solicitado el acceso.
Registrarlo como incidente de seguridad. Retirar los accesos facilitados. Revisar la política de asignación de recursos y los interlocutores. Realizar una auditoría general para verificar otros usuarios.
2 Una persona no autorizada pide añadir o retirar un acceso a un usuario
Medio (2) Baja (1) Vigilar Tener bien listados los interlocutores válidos para hacer este tipo de peticiones.
Restaurar o quitar los accesos.
1.3.2.2.5 Mecanismo de autenticación [op.acc.5]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 15/204
1 Suplantación de identidad.
Grave (3) Baja (1) Vigilar Establecer una política más segura de creación y distribución de usuario y contraseña.
Registrarlo como un incidente de seguridad. Forzar un cambio de contraseña al usuario.
1.3.2.2.6 Acceso local (local logon) [op.acc.6]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Realizar tareas de desarrollo / mantenimiento en entorno de producción pensando que está en entorno de desarrollo
Grave (3) Baja (1) Vigilar Forzar un texto informativo en la pantalla de acceso.
Forzar palabras de paso diferentes.
Forzar un texto informativo en la pantalla de acceso.
Forzar palabras de paso diferentes.
1.3.2.2.7 Acceso remoto (remote login) [op.acc.7]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Un usuario intenta realizar una tarea que no puede hacerlo remotamente.
Bajo (1) Baja (1) Vigilar Informar, mediante un catálogo de servicios remotos, lo que se puede hacer.
Informar, mediante un catálogo de servicios remotos, lo que se puede hacer.
1.3.2.3 Explotación [op.exp]
1.3.2.3.1 Inventario de activos [op.exp.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Información contenida en el
Grave (3) Normal (2) Serio Designar un responsable del
Realizar un cuestionario a los responsables de
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 16/204
inventario de activos no actualizada.
mantenimiento del inventario de activos y hacer revisiones periódicas desde la última actualización
departamento para que aporten la información actualizada.
2 Activos mal categorizados o en departamentos / dominios incorrectos
Medio (2) Baja (1) Vigilar Planificar unas revisiones periódicas del inventario.
Realizar un cuestionario a los responsables de departamento para que aporten la información actualizada.
1.3.2.3.2 Configuración de seguridad [op.exp.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Penetración en el sistema mediante un usuario estándar
Grave (3) Baja (1) Serio Eliminar los usuarios por defecto o cambiar las contraseñas
Registrarlo como un incidente de seguridad. Cambiar la contraseña de los usuarios con credenciales
2 Penetración en el sistema mediante una vulnerabilidad conocida
Grave (3) Baja (1) Serio Revisar periódicamente las notificaciones de los fabricantes sobre sus productos y realizar actualizaciones programadas.
Registrarlo como un incidente de seguridad. Actualizar sistemas afectados. Revisar configuración de seguridad.
1.3.2.3.3 Gestión de la configuración [op.exp.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Se realiza un cambio en donde no todo el mundo está informado.
Medio (2) Baja (1) Vigilar Notificar con antelación, a los diversos responsables establecidos, el cambio que se hará y cómo puede afectar
Apuntarse la dirección de la persona que no ha sido notificada y añadirla para que sea notificada en las próximas intervenciones.
2 Un cambio no va Grave (3) Baja (1) Vigilar Siempre prever una Restaurar el sistema lo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 17/204
como se deseaba y la tirada atrás no estaba prevista
opción de volver atrás y una batería de pruebas se haya hecho el cambio o se haya tirado atrás
antes posible. Realizar batería de pruebas para verificar que el sistema ha sido restaurado correctamente.
1.3.2.3.4 Mantenimiento [op.exp.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Acceso a datos reales que están en los entornos de pruebas y que sean publicadas
Grave (3) Baja (1) Vigilar Borrar los datos reales del entorno de desarrollo.
Registrarlo como incidente de seguridad. Revisar el usuario que ha accedido, tomar acciones disciplinarias. Borrar los datos reales del entorno de desarrollo.
1.3.2.3.5 Gestión de cambios [op.exp.5]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Se realiza un cambio en donde no todo el mundo está informado.
Medio (2) Baja (1) Vigilar Notificar con antelación, a los diversos responsables establecidos, el cambio que se hará y cómo puede afectar
Apuntarse la dirección de la persona que no ha sido notificada y añadirla para que sea notificada en las próximas intervenciones.
2 Un cambio no va como se deseaba y la tirada atrás no estaba prevista
Grave (3) Baja (1) Vigilar Siempre prever una opción de volver atrás y una batería de pruebas se haya hecho el cambio o se haya tirado atrás
Restaurar el sistema lo antes posible. Realizar batería de pruebas para verificar que el sistema ha sido restaurado correctamente.
3 No se actualiza el inventario de activos o procedimientos afectados.
Grave (3) Normal (2) Serio Que el responsable del mantenimiento del inventario de activos reciba los correos de
Realizar una revisión del inventario de activos o procedimientos afectados con los responsables para
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 18/204
notificaciones de gestión del cambio.
actualizar lo que haga falta.
1.3.2.3.6 Protección frente a código dañino [op.exp.6]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Caída del sistema antispam
Grave (3) Baja (1) Vigilar Sistema alternativo de control de correo no deseado.
Ejecutar la política de restauración del servicio.
2 Fallo en la detección de un virus. Infección de un equipo
Grave (3) Baja (1) Vigilar Mantener una política de actualización de los antivirus
Aislar el equipo de la red y proceder a su limpieza en un entorno controlado. Registrarlo como un incidente de seguridad.
1.3.2.3.7 Gestión de incidencias [op.exp.7]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Repetición periódica de incidentes
Grave (3) Normal (2) Serio Estudio de las tipologías de incidentes para prever y actuar de formar preventiva actualizando o haciendo los cambios que se consideren en los sistemas.
Seguir solventar las incidencias a medida que van apareciendo, sin planificar una solución eficaz.
1.3.2.3.8 Registro de la actividad de los usuarios [op.exp.8]
ID Riesgo Impacto Probabilidad Factor Plan de contingencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 19/204
Riesgo Acciones Preventivas
Acciones correctivas
1 Imposibilidad de entregar registros de una aplicación desde la que se ha efectuado una acción no permitida
Grave (3) Normal (2) Serio Almacenar los registros en unos servidores centralizados destinados a esta tarea.
Registrarlo como un incidente de seguridad. Tratar de hacer un seguimiento desde otros entornos (acceso a dominio, actividad de red,..)
1.3.2.3.9 Registro de la gestión de incidencias [op.exp.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Imposibilidad de entregar registros de una aplicación desde la que se ha efectuado una acción no permitida
Grave (3) Normal (2) Serio Almacenar los registros en unos servidores centralizados destinados a esta tarea.
Registrarlo como un incidente de seguridad. Tratar de hacer un seguimiento desde otros entornos (acceso a dominio, actividad de red,..)
2 No aceptación de una información facilitada como prueba
Grave (3) Baja (1) Vigilar Formar a una persona para conocer los procedimientos de recopilación de evidencias.
Formar a una persona para conocer los procedimientos de recopilación de evidencias.
1.3.2.3.10 Protección de registros de actividades [op.exp.10]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Modificación de registros de actividades por parte de alguien no autorizado
Grave (3) Baja (1) Vigilar Listado muy controlado de quién puede acceder a modificar los registros. Si no puede nadie mejor
Registrarse como incidente de seguridad. Revisar los accesos al registro. Revisar los usuarios que pueden acceder.
1.3.2.3.11 Protección de claves criptográficas [op.exp.11]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 20/204
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Malfuncionamiento del equipo y que el servicio no esté disponible
Grave (3) Baja (1) Vigilar Mantenimiento continuidad del equipo. Inventariado como activo y con un análisis de riesgos específico.
Ejecutar la planificación de restauración del servicio.
1.3.2.4 Servicios Externos [op.ext]
1.3.2.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Que el personal externo no sea tenido en cuenta en un análisis de riesgos.
Grave (3) Baja (1) Vigilar Realizar un análisis de riesgos integral, contando con el personal externo
Actualizar el análisis de riesgos con todo el personal.
1.3.2.4.2 Gestión diaria [op.ext.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Que un servicio subcontratado no cumpla con las obligaciones
Medio (2) Normal (2) Serio Seguimiento periódico de las acciones y cumplimiento del proyecto por parte del responsable
Escalado a los responsables y replanificación del proyecto.
2 Cambio de los miembros del equipo del servicio
Medio (2) Normal (2) Serio Notificación de posibilidades de cambios
Sustitución de los perfiles existentes con equivalentes
1.3.2.4.3 Medios alternativos [op.ext.9]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 21/204
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Degradación del servicio de la Universidad debido a que un servicio externo no puede dar
Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio integral.
Realizar un plan de continuidad del negocio integral.
1.3.2.5 Continuidad del Servicio [op.cont]
1.3.2.5.1 Análisis de impacto [op.cont.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Información contenida en el análisis de impacto no actualizada.
Grave (3) Normal (2) Serio Designar un responsable del mantenimiento del análisis de impacto y hacer revisiones periódicas de la última actualización.
Si no ha funcionado o en las pruebas no ha ido bien, re-pensarlo y hacerlo de nuevo.
1.3.2.5.2 Plan de continuidad [op.cont.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Descoordinación y pérdida de servicio en caso de alguna catástrofe
Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio y ponerlo a prueba de forma periódica.
Restaurar el servicio lo antes posible, registrar las fallas en la recuperación y puesta en marcha. Realizar un plan de continuidad de negocio con la nueva situación
1.3.2.5.3 Pruebas periódicas [op.cont.3]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 22/204
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Que no se pueda recuperar el servicio ni realizar una continuidad del negocio
Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio
Restaurar los sistemas y servicios a medida que se pueda. Registrar los problemas. Realizar un plan de continuidad de negocio con la nueva situación.
1.3.2.6 Monitorización del sistema [op.mon]
1.3.2.6.1 Detección de intrusión [op.mon.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Existencia de un intruso o de tráfico no autorizado hacia el exterior.
Grave (3) Normal (2) Serio Analizar los registros, establecer pautas de comportamiento autorizadas. Actualizar las firmas de detección.
Registrarlo como un incidente de seguridad. Cambiar las contraseñas administrativas y analizar el alcance de la intrusión. Analizar la afectación en los sistemas comprometidos.
1.3.2.6.2 Sistema de métricas [op.mon.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Acceso al panel de control por una persona no autorizada
Medio (2) Baja (1) Vigilar Securizar el acceso del cuadro de mando hacia el exterior y facilitar el acceso sólo a ciertos usuarios previamente autorizados.
Revisar qué usuario a accedido y emprender acciones legales y correctivas del sistema. Registrarlo como un incidente de seguridad
2 Falta de visión estratégica. No se planifican las
Medio (2) Baja (1) Vigilar Realizar una selección de las métricas adecuadas y
Seguir trabajando como se ha venido haciendo siempre, sin una
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 23/204
acciones ni se ve la evolución de las métricas para catalogar y cuantificar las siguientes adquisiciones de componentes
generar unos informes evolutivos que permitan una correcta toma de decisiones por parte de dirección.
información de lo que está haciendo para una mejor toma de decisiones.
1.3.3 Medidas de Protección [MP]
1.3.3.1 Protección de las instalaciones e infraestructuras [mp.if]
1.3.3.1.1 Áreas separadas y con control de acceso [mp.if.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Desaparición de equipamiento informático.
Grave (3) Normal (2) Serio Control de acceso efectivo. Verificación de puertas de emergencia cerradas
Registrarlo como un incidente de seguridad. Tomar las acciones correspondientes y revisar los accesos.
1.3.3.1.2 Identificación de las personas [mp.if.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Desaparición de equipamiento informático o documentos de la Universidad.
Grave (3) Normal (2) Serio Control de acceso efectivo. Verificación de control de acceso
Registrarlo como un incidente de seguridad. Tomar las acciones correspondientes y revisar los accesos.
1.3.3.1.3 Acondicionamiento de los locales [mp.if.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Acciones correctivas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 24/204
Preventivas
1 Accidente por caída al mismo nivel dentro del CPD.
Grave (3) Baja (1) Vigilar Establecer una política de limpieza del CPD
Según la gravedad del accidente avisar a emergencias (112).
2 Retraso en el cambio de un dispositivo estropeado o que se debe renovar que se encuentra tapado por cables de otros dispositivos
Grave (3) Media (2) Serio Mantener los cables de los armarios ordenantes y que todos pasen por las regatas laterales especialmente diseñadas para esta tarea.
Si se puede, retrasar la intervención hasta que la extracción del dispositivo sea factible. Estudiar la ubicación del dispositivo en otro armario
1.3.3.1.4 Energía eléctrica [mp.if.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Fallo de suministro eléctrico
Grave (3) Baja (1) Vigilar Pruebas de carga de los SAIs. Pruebas de carga de los grupos electrógenos de emergencia
Revisar el tiempo de carga de los SAIs y la respuesta del grupo electrógeno. Planificar un apagón controlada de los sistemas no considerados críticos
1.3.3.1.5 Protección frente incendios [mp.if.5]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Incendio en el CPD Grave (3) Baja (1) Vigilar Revisión de los sistemas anti incendios
Revisar si el sistema ha funcionado correctamente. Recuperar el máximo posible de sistemas afectados.
1.3.3.1.6 Protección contra inundaciones [mp.if.6]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Acciones correctivas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 25/204
Preventivas
1 Entrada de agua al CPD
Grave (3) Baja (1) Vigilar Revisión del estado del sistema de drenaje
Controlar el correcto funcionamiento del sistema de drenaje. Recuperar los sistemas que hayan podido verse afectados.
1.3.3.1.7 Registro de Entrada y Salida de Equipamiento [mp.if.7]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Salida o entrada de un equipamiento que no es el correcto
Grave (3) Baja (1) Serio Control de acceso del equipamiento. Inventario del movimiento de los dispositivos.
Contactar al transportista / proveedor para devolver / recoger el equipo correcto.
1.3.3.1.8 Instalaciones alternativas [mp.if.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Caída del CPD principal (incendio grave, afectación grave del edificio, ...)
Grave (3) Baja (1) Vigilar Establecimiento de un plan de continuidad de negocio con un CPD alternativo. Inventariar los servicios más críticos y que estén replicados en el CPD alternativo
Levantar los sistemas según disponibilidad.
1.3.3.2 Gestión del personal [mp.per]
1.3.3.2.1 Caracterización del lugar de trabajo [mp.per.1]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 26/204
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Un trabajador facilita información de su trabajo. Esta información incluye datos personales o importantes
Grave (3) Baja (1) Vigilar Formar a todo el personal en materia de seguridad de la información.
Investigar el alcance y la importancia de la información facilitada. Tomar medidas correctivas
1.3.3.2.2 Deberes y obligaciones [mp.per.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Posibilidad de trabajo que no se haga por qué no está definido el responsable o el trabajo a realizar no está definida
Grave (3) Normal (2) Serio Tener un catálogo de puestos de trabajo bien definido y actualizado.
Identificar las tareas a realizar de la manera más detallada posible
Asignar un responsable lo antes posible y analizar la integración de este trabajo a realizar a un departamento o área de trabajo.
1.3.3.2.3 Concienciación [mp.per.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Uso no autorizado de las herramientas de trabajo (equipo, correo, ...)
Grave (3) Baja (1) Vigilar Concienciación activa de la seguridad TIC a los trabajadores.
Análisis de las acciones realizadas. Estudio del alcance de las acciones realizadas.
1.3.3.2.4 Formación [mp.per.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Acciones correctivas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 27/204
Preventivas
1 Desconocimiento de todas las opciones de configuración de un nuevo dispositivo o componente.
Medio (2) Normal (2) Serio Formación completa del dispositivo o componente. Opción a consultar a soporte especializado sobre opciones de configuración.
Contratación de un técnico externo para realizar las tareas necesarias.
1.3.3.2.5 Personal alternativo [mp.per.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Personal especializado no disponible
Grave (3) Baja (1) Vigilar Documentación de las acciones que se realizan y proyectos futuros. Formación / explicación a una persona sobre las acciones que se realizan
Revisar la documentación existente para sustituir al personal ausente e ir solventar las incidencias a medida que van surgiendo.
1.3.3.3 Protección de los equipos [mp.eq]
1.3.3.3.1 Puesto de trabajo ordenado [mp.eq.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Buscar información en la mesa de un compañero ausente
Medio (2) Baja (1) Vigilar Establecer un formato estándar de ordenación y clasificación de documentación
Invertir tiempo en encontrar la documentación necesaria.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 28/204
1.3.3.3.2 Bloqueo del puesto de trabajo [mp.eq.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Acceso a los sistemas o información por parte de una persona no autorizada al poder acceder al equipo de una persona.
Grave (3) Normal (2) Serio Bloquear el equipo por parte de la persona nada más levantarse del puesto de trabajo.
Registrarlo como una incidencia de seguridad. Investigar el nivel de afectación y los sistemas comprometidos. Planificar un cambio de palabras de paso.
1.3.3.3.3 Protección de equipos portátiles [mp.eq.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Robo / pérdida de un equipo portátil de un directivo, investigador, vicerrector o personalidad de la Universidad que pueda tener información sensible
Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.
Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.
1.3.3.3.4 Medios alternativos [mp.eq.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Fallo de varios equipos de trabajo
Grave (3) Baja (1) Vigilar Establecer un contrato de facilitación de equipamiento informático en caso de necesidad con un proveedor externo.
Repartir los equipos de trabajo que se dispongan según peticiones y clasificación de importancia. Ir moviendo físicamente los equipos o al personal para que desarrollen sus tareas.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 29/204
Clasificar los servicios según criticidad para asignar les primero los equipos disponibles.
1.3.3.4 Protección de las comunicaciones [mp.com]
1.3.3.4.1 Perímetro seguro [mp.com.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Fallo de un nodo de uno de los cortafuegos
Grave (3) Baja (1) Vigilar Ejecutar el mantenimiento recomendado por el fabricante. Control periódico del estado del equipamiento. Métricas de control del servicio y alarmas internas deberían avisar del dispositivo caído.
Una vez se detecte, emprender acciones correctivas para levantar el dispositivo.
1.3.3.4.2 Protección de la confidencialidad: Criptografía [mp.com.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Necesidad de establecer VPNs y que el responsable no esté disponible
Medio (2) Baja (1) Vigilar Documentar el procedimiento de establecimiento de VPNs.
Esperar a que el responsable devuelva o investigar cómo están establecidas y tratar de establecer la nueva con las ya existentes como referencia.
1.3.3.4.3 Protección de la autenticidad y de la Integridad: autenticidad de la otra parte [mp.com.3]
ID Riesgo Impacto Probabilidad Factor Plan de contingencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 30/204
Riesgo
Acciones Preventivas
Acciones correctivas
1 Enviar información por una VPN y que la información sea interceptada o alterada
Grave (3) Baja (1) Vigilar Establecer un método de cifrado equipo a equipo, no red a red para información altamente sensible. Firmar y cifrar la información.
Registrarlo como una incidencia de seguridad. Investigar para detectar el punto de fallo y establecer unas políticas y correcciones de configuración para evitar
1.3.3.4.4 Segregación de redes [mp.com.4]ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 No comunicación entre equipos en diferente segmento de red
Medio (2) Baja (1) Vigilar Procedimentar la petición por parte de un responsable la necesidad de esta interconexión, datos que se moverán, tiempo, ... una vez validado configurarlo
Según la importancia y la urgencia de las comunicaciones fallidas, se configura y luego se registra el cambio realizado
1.3.3.4.5 Medios alternativos [mp.com.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Fallo de los equipos de comunicación del edificio de rectorado
Grave (3) Baja (1) Vigilar Contrato de mantenimiento y sustitución en caso de fallo grave de los equipos de comunicaciones. Planificación de unas rutas alternativas de comunicación entre los edificios.
Reestructuración en real de las rutas entre los edificios.
2 Fallo de la configuración de alta disponibilidad de salida a Internet
Medio (2) Normal (2) Serio Realización de pruebas de cambio de salida de internet en periodo que no
Revisar dónde está fallando el enrutamiento y repasar la configuración. Realización de los cambios necesarios
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 31/204
haya carga de tráfico. Informe de las acciones realizadas y los incidentes. Realización de una mejora en su caso
de configuración a mano.
1.3.3.5 Protección de los soportes de información [mp.si]
1.3.3.5.1 Etiquetado [mp.si.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Facilitar un dispositivo de almacenamiento con información sensible ya sea en real o recuperable tras un borrado incompleto
Grave (3) Baja (1) Vigilar Borrar con un método efectivo que no permita la recuperación de información todo dispositivo de almacenamiento que no se vaya a usar más por la información que contiene.
Registrarlo como un incidente de seguridad. Revisar los dispositivos similares para ver la información que contienen. Realizar un borrado completo y sistemático de los datos.
1.3.3.5.2 Criptografía [mp.si.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Robo / pérdida de un soporte extraíble de la Universidad que pueda tener información sensible
Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.
Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.
1.3.3.5.3 Custodia [mp.si.3]
ID Riesgo Impacto Probabilidad Factor Plan de contingencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 32/204
Riesgo Acciones Preventivas
Acciones correctivas
1 Cintas de copias de seguridad en mal estado y que no se pueda recuperar la información que contienen
Grave (3) Baja (1) Vigilar Revisión manual y visual del estado de las cintas. Cambiarlas cada cierto tiempo según indicación de fabricante
Esperar que la información a recuperar no sea realmente importante
1.3.3.5.4 Transporte [mp.si.4]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Pérdida de información sensible
Grave (3) Baja (1) Vigilar Procedimentar envíos certificados de forma externa o mensajería interna.
Registrar como incidente de seguridad. Notificar al organismo competente la pérdida de la información.
1.3.3.5.5 Borrado y destrucción [mp.si.5]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Se reutiliza un dispositivo de almacenamiento y este contiene información sensible ya sea en real o recuperable tras un borrado incompleto
Grave (3) Baja (1) Vigilar Borrar con un método efectivo que no permita la recuperación de información todo dispositivo de almacenamiento que no se vaya a usar más por la información que contiene.
Registrarlo como un incidente de seguridad. Revisar los dispositivos similares para ver la información que contienen. Realizar un borrado completo y sistemático de los datos.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 33/204
1.3.3.6 Protección de las aplicaciones informáticas [mp.sw]
1.3.3.6.1 Desarrollo [mp.sw.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Acceso a datos reales que están en los entornos de pruebas y que sean publicadas
Grave (3) Baja (1) Vigilar Borrar los datos reales del entorno de desarrollo. Usar un JOCCA de datos aproximado al real.
Registrarlo como incidente de seguridad. Revisar el usuario que ha accedido, tomar acciones disciplinarias. Borrar los datos reales del entorno de desarrollo.
2 Un aplicativo muestra más datos de los que habría
Grave (3) Baja (1) Vigilar Auditoría de código y batería de pruebas antes de la puesta en producción
Sacar el aplicativo de producción, analizar lo que ha pasado y emprender acciones correctoras.
1.3.3.6.2 Aceptación y puesta en servicio [mp.sw.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Un aplicativo genera una vulnerabilidad en el sistema (facilita información o acceso al equipo)
Grave (3) Baja (1) Vigilar Auditoría de código y batería de pruebas antes de la puesta en producción
Sacar el aplicativo de producción, analizar lo que ha pasado y emprender acciones correctoras.
1.3.3.7 Protección de la información [mp.info]
1.3.3.7.1 Datos de carácter personal [mp.info.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Fichero que contenga datos de
Grave (3) Normal (2) Serio Revisión de la política de seguridad del
Actualizar la información registrada del fichero y
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 34/204
carácter sensible pero el archivo no esté categorizado con este nivel de protección
archivo, revisión de la información publicada del archivo
notificarlo a los responsables para actualizar las políticas de seguridad.
1.3.3.7.2 Calificación de la información [mp.info.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Información sensible pero el archivo / aplicación que accede no está configurado con el nivel de protección adecuado.
Grave (3) Normal (2) Serio Revisión de la política de seguridad del archivo, revisión de la información publicada del fichero. Revisión de la política de seguridad de la aplicación. Revisión del Documento de Seguridad.
Sacar la aplicación de producción. Actualizar la información registrada del fichero y notificarlo a los responsables para actualizar las políticas de seguridad. Una vez arreglado, publicar la aplicación.
1.3.3.7.3 Cifrado [mp.info.3]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Robo / pérdida de un soporte extraíble de la Universidad que pueda tener información sensible
Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.
Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.
1.3.3.7.4 Firma electrónica [mp.info.4]
ID Riesgo Impacto Probabilidad Factor Plan de contingencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 35/204
Riesgo
Acciones Preventivas
Acciones correctivas
1 Generación de un certificado con datos incorrectos / datos inválidas
Medio (2) Baja (1) Vigilar Verificación de los datos introducidos. Verificación de los certificados emitidos. Revocación en caso de datos incorrectos y generación de un
Revocación del certificado una vez se reciba notificación de que está generado de forma incorrecta. Emisión de un nuevo certificado con los datos correctos.
1.3.3.7.5 Sellos de tiempo [mp.info.5]ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Sellado de tiempo de documentación con un horario incorrecto.
Grave (3) Baja (1) Vigilar Revisión periódica de que el sistema se conectando al servidor de tiempo para sincronizarse
Notificarlo. Realizar la actualización manual y hacer un seguimiento.
1.3.3.7.6 Limpieza de documentos [mp.info.6]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Mostrar información extra a una aplicación web (versión, datos de depuración)
Grave (3) Normal (2) Serio Revisar la información que facilita antes de hacer las pruebas. Eliminar la información de depuración.
Eliminar la información que se facilita. Generar una pantalla neutro de información
2 Mostrar información extra en un documento que se
Medio (2) Baja (1) Vigilar Revisar la información del documento antes de
Buscar el documento original y eliminar la información no necesaria.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 36/204
envía (word, ppt, pdf)
enviarlo Sustituir el documento.
1.3.3.7.7 Copias de seguridad (backup) [mp.info.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 No recuperación de unos datos en copia de backup
Grave (3) Baja (1) Vigilar Revisar periódicamente el estado de los datos guardados y hacer recuperación puntual de archivos críticos para verificar que se pueden recuperar.
Intentar recuperar la información a través de copias anteriores a la necesaria y recuperar la información a través de incrementales posteriores.
1.3.3.8 Protección de los servicios [mp.s]
1.3.3.8.1 Protección del correo electrónico [mp.s.1]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Entrada de correo no deseado y no detectado (falso negativo)
Grave (3) Baja (1) Vigilar Formación a la gente sobre lo que no se debe hacer en el correo una vez se recibe un correo no deseado.
Metodología de notificar los falsos positivos.
Estudio de por qué no ha sido detectado. Notificación al fabricante.
1.3.3.8.2 Protección de servicios y aplicaciones web [mp.s.2]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 37/204
1 Recopilación de información de los sistemas a través de los mensajes de error de los servidores de aplicaciones
Grave (3) Normal (2) Serio Modificar las pantallas de información de error una vez los servidores han sido puestos en producción.
Modificar las pantallas de información de error una vez los servidores han sido puestos en producción. Estudiar la información que puede haber facilitado para proteger los equipos que puedan estar comprometidos.
1.3.3.8.3 Protección frente denegación de servicio [mp.s.8]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Lentitud en la red / internet debido a un ataque de denegación de servicio que no tenga un éxito absoluto.
Grave (3) Baja (1) Vigilar Análisis de las conexiones reales. Cuadro de mandos con alertas.
Trabajar con una lentitud de red / internet más o menos puntual.
2 Saturación de algún servidor web que reciba el ataque de denegación de servicio para SYN Flood
Grave (3) Baja (1) Vigilar Análisis de las conexiones reales. Cuadro de mandos con alertas. Procedimiento para bloquear los intentos de acceso desde una IP.
Identificar que se está recibiendo un ataque, identificar la IP atacante y modificar las configuraciones para que no responda a la IP.
1.3.3.8.4 Medios alternativos [mp.s.9]
ID Riesgo Impacto Probabilidad Factor Riesgo
Plan de contingencia
Acciones Preventivas
Acciones correctivas
1 Descoordinación y pérdida de servicio en caso de alguna catástrofe
Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio y ponerlo a prueba de forma
Restaurar el servicio lo antes posible, registrar las fallas en la recuperación y puesta en marcha. Realizar
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 38/204
periódica. un plan de continuidad de negocio con la nueva situación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 39/204
2 Medidas de seguridad a implantar: determinación del GAP entre la situación deseada y la situación actual
2.1 GAP con la norma ISO / IEC 27002:2005
2.1.1 Base
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 40/204
Nivel 1
Nivel 2
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 41/204
Nivel 3
2.1.2 [SEG] Seguridad
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 42/204
Nivel 1
Nivel 2
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 43/204
2.1.3 [EXP] Explotación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 44/204
Nivel 1
Nivel 2
2.1.4 [SIS] Sistemas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 45/204
Nivel 1
Nivel 2
2.1.5 [DWH] DataWareHouse
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 46/204
Nivel 1
Nivel 2
2.1.6 [RAI] Recursos, Aprendizaje e Investigación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 47/204
Nivel 1
Nivel 2
2.1.7 [RRH] Recursos Humanos
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 48/204
Nivel 1
Nivel 2
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 49/204
2.1.8 [PEC] Planificación Económica
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 50/204
Nivel 1
Nivel 2
2.1.9 [JUR] Jurídico
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 51/204
Nivel 1
2.1.10 [ORG] Organización
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 52/204
Nivel 2
Nivel 1
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 53/204
Nivel 2
2.1.11 [CDO] Centros de Docencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 54/204
Nivel 1
Nivel 2
2.1.12 [ITI] Investigación, Transferencia e Innovación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 55/204
Nivel 1
Nivel 2
2.1.13 [INF] Infraestructuras
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 56/204
Nivel 1
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 57/204
Nivel 2
2.1.14 [REC] Rectorado, Gerencia y Secretaría General
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 58/204
Nivel 1
Nivel 2
2.2 GAP con el Esquema Nacional de Seguridad
2.2.1 Base
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 59/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 60/204
Marco Operacional
Medidas de Protección
[SEG] Seguridad
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 61/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 62/204
Marco Operacional
Medidas de Protección
2.2.2 [EXP] Explotación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 63/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 64/204
Marco Operacional
Medidas de Protección
2.2.3 [SIS] Sistemas
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 65/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 66/204
Medidas de Protección
Marco Operacional
2.2.4 [DWH] DataWareHouse
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 67/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 68/204
Marco Operacional
Medidas de Protección
2.2.5 [RAI] Recursos, Aprendizaje e Investigación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 69/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 70/204
Marco Operacional
Medidas de Protección
2.2.6 [RRH] Recursos Humanos
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 71/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 72/204
Marco Operacional
Medidas de Protección
2.2.7 [PEC] Planificación Económica
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 73/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 74/204
Marco Operacional
Medidas de Protección
2.2.8 [JUR] Jurídico
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 75/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 76/204
Marco Operacional
Medidas de Protección
2.2.9 [ORG] Organización
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 77/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 78/204
Marco Operacional
Medidas de Protección
2.2.10 [CDO] Centros de Docencia
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 79/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 80/204
Marco Operacional
Medidas de Protección
2.2.11 [ITI] Investigación, Transferencia e Innovación
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 81/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 82/204
Marco Operacional
Medidas de Protección
2.2.12 [INF] Infraestructuras
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 83/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 84/204
Marco Operacional
Medidas de Protección
2.2.13 [REC] Rectorado, Gerencia y Secretaría General
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 85/204
Nivel 1
Marco Organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 86/204
Marco Operacional
Medidas de Protección
3 Anexos3.1 Valoración PILAR 27002:2005
[27002:2005] Código de Buenas Prácticas para la Gestión de la Seguridad de la Informaciónproyecto: [Uni] Universidad
Datos del proyectoUni Universidaddesc Implementación del Análisis de Riesgos de la Universidad.resp Universidad.org Universidad.ver 1.0date Julio de 2012.biblioteca [Std] Biblioteca INFOSEC (27/04/2012)
LicenciaUNIVERSIDAD
Dominios de Seguridado [Base] Baseo [SEG] Seguridad
Departamento de Seguridad de la Universidad.o [EXP] Explotación
Departamento de Explotación de la Universidad.o [SIS] Sistemas
Departamento de Sistemas de la Universidad.o [DWH] DataWareHouse
Departamento de DataWareHouse de la Universidad.o [RAI] Recursos, Aprendizaje e Investigación
Departamento de Recursos, Aprendizaje e Investigación de la Universidad.o [RRH] Recursos Humanos
Departamento de Recursos Humanos de la Universidad.o [PEC] Planificación Económica
Departamento de Planificación Económica de la Universidad.o [JUR] Jurídico
Departamento de Jurídico de la Universidad.o [ORG] Organización
Departamento de Organización de la Universidad.o [CDO] Centros de Docencia
Departamento de Centros de Docencia de la Universidad.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 87/204
o [ITI] Investigación, Transferencia e InnovaciónDepartamento de Investigación, Transferencia e Innovación de la Universidad.
o [INF] InfraestructurasDepartamento de Infraestructuras de la Universidad.
o [REC] Rectorado, Gerencia y Secretaría General.Rectorado de la Universidad.
Fases del proyectoo [Current] situación actualo [Target] situación Objetivoo [PILAR] Recomendación
Dominio de Seguridad: [base] Base
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 61% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 58%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 63% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 88/204
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 91%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 80%
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 80% [7.1.1] Inventario de Activos 18% 94% 75% [7.1.2] Propiedad de los ACTIVOS 22% 94% 75% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 89/204
[9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 91%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 79% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 86%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 80% [10.6.1] Controlas de red 28% 95% 75% [10.6.2] Seguridad de los Servicios de red 28% 95% 84% [7.10] Tratamiento de soportes de información 41% 95% 83% [10.7.1] Gestión de soportes 40% 95% 81% [10.7.2] Retirada de soportes 92% 95% 91%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 90/204
[10.7.3] Procedimientos de Tratamiento de la información 20% 95% 90% [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 82% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% 71% [10.8.4] Mensajería electrónica 52% 92% 70% [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% 88% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 92% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% 92% [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 91/204
[11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 79%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 72% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 85%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 92/204
informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 78% [1.15] Satisfacción de Requisitos legales 26% 95% 84% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 88%
[15.1.6] Regulación de controlas criptográficos 34% 94% 91% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% 85%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 93/204
[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%
Dominio de Seguridad: [SEG] Seguridad
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 70% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 53%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 80% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 70%
[7] Gestión de Activos
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 94/204
control [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 77% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 77% [7.1.1] Inventario de Activos 18% 94% 70% [7.1.2] Propiedad de los ACTIVOS 22% 94% 70% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información
10% 95% n.a.
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 95/204
[9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 85%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 78% [10.6.1] Controlas de red 28% 95% 74% [10.6.2] Seguridad de los Servicios de red 28% 95% 82% [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 96/204
[10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 80% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 90% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% 87% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 90% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 97/204
[11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 76%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 74% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 85%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 80% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 98/204
[2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 95% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [EXP] Explotación
[5] Política de Seguridad
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 99/204
control [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 80%
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 83% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 83% [7.1.1] Inventario de Activos 18% 94% 80% [7.1.2] Propiedad de los ACTIVOS 22% 94% 80% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 100/204
información
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 101/204
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 73% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 83%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 102/204
[10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 87% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 91% [11.3.1] Uso de contraseñas 34% 95% 90% [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 92% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 103/204
control [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 74%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 75% [12.2.1] Validación de datos de entrada 10% 95% 70% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 74% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 78%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 104/204
[14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 76% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [SIS] Sistemas
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 105/204
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 61% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 58%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 63% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% 90%
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 91%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 80%
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 77% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 77% [7.1.1] Inventario de Activos 18% 94% 70% [7.1.2] Propiedad de los ACTIVOS 22% 94% 70% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información
10% 95% n.a.
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 106/204
[8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 85%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 107/204
[10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 80% [10.6.1] Controlas de red 28% 95% 75% [10.6.2] Seguridad de los Servicios de red 28% 95% 84% [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 85% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% 70% [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 90% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 108/204
[1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% 88% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 92% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% 92% [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 75%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 109/204
[12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 80%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 91% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los 0% 90% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 110/204
llanos de Continuidad
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 95% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [DWH] DataWareHouse
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 111/204
[6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 87% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 85% [7.1.1] Inventario de Activos 18% 94% 82% [7.1.2] Propiedad de los ACTIVOS 22% 94% 82% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 112/204
[8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 83%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 113/204
[4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 114/204
[11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 79%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 72% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 115/204
[12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 85%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 116/204
[15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [RAI] Recursos, Aprendizaje e Investigación
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 117/204
[6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 91% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% 90%
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 91%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entorno
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 118/204
control [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 83%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 93%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 119/204
[10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 120/204
[11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 79%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 85%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 121/204
[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 79% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 87%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 122/204
[2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% 85%
[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%
Dominio de Seguridad: [RRH] Recursos Humanos
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% 90%
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 91%
[6.2.3] Tratamiento de la Seguridad en Contratos con 50% 95% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 123/204
Terceros
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 82% [7.1.1] Inventario de Activos 18% 94% 79% [7.1.2] Propiedad de los ACTIVOS 22% 94% 79% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga 90% 90% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 124/204
y descarga [9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 91%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 75% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 85%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 83% [10.7.1] Gestión de soportes 40% 95% 81% [10.7.2] Retirada de soportes 92% 95% 91% [10.7.3] Procedimientos de Tratamiento de la información 20% 95% 90% [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 125/204
[8.10] Intercambios de información 31% 94% 84% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% 71% [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 126/204
[11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 78%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 80%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 89% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR]
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 127/204
[13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 75% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal
50% 95% 91%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 128/204
Dominio de Seguridad: [PEC] Planificación Económica
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 80%
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 83% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 83% [7.1.1] Inventario de Activos 18% 94% 80% [7.1.2] Propiedad de los ACTIVOS 22% 94% 80% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 129/204
[7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información
10% 95% n.a.
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 130/204
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 73% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 83%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 131/204
[10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 90% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 132/204
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 75%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 85%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 133/204
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 76% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [JUR] Jurídico
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 134/204
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 81% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información
10% 95% n.a.
[8] Seguridad relacionada con los recursos humanos
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 135/204
control [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 67% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de 20% 95% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 136/204
Operación [10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% n.a.
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% n.a.
[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% n.a.
[5.10] Copias de Seguridad 38% 95% n.a. [10.5.1] Copias de Seguridad 38% 95% n.a. [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% n.a. [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% n.a. [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 137/204
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 89% [11.2.1] Registro de usuarios 74% 95% n.a. [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% n.a. [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% n.a. [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% n.a. [11.5.3] Gestión de contraseñas 70% 94% n.a. [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 65%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 138/204
[2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% n.a. [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% n.a.
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% n.a.
[12.5.4] Fugas de información 23% 95% n.a. [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 139/204
[14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 83% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 70% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% n.a.
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 60%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [ORG] Organización
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 140/204
[6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 81% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información
10% 95% n.a.
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en 10% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 141/204
Seguridad de la información [8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 67% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 80%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% n.a.
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 142/204
[3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% n.a.
[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% n.a.
[5.10] Copias de Seguridad 38% 95% n.a. [10.5.1] Copias de Seguridad 38% 95% n.a. [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% n.a. [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% n.a. [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 89% [11.2.1] Registro de usuarios 74% 95% n.a. [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 143/204
[11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% n.a. [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% n.a. [11.5.3] Gestión de contraseñas 70% 94% n.a. [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 65%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 144/204
[12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% n.a. [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% n.a.
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% n.a.
[12.5.4] Fugas de información 23% 95% n.a. [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 83%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 145/204
[15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 70% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% n.a.
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 60%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [CDO] Centros de Docencia
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 146/204
[6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 79% [7.1.1] Inventario de Activos 18% 94% 74% [7.1.2] Propiedad de los ACTIVOS 22% 94% 74% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 147/204
[9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 80%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% n.a.
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% n.a.
[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% n.a.
[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 148/204
[10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 149/204
[11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 78%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% n.a.
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% n.a.
[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 150/204
[6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 80% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 85%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 60%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 151/204
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% 85%
[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%
Dominio de Seguridad: [ITI] Investigación, Transferencia e Innovación
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 72% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 152/204
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 87% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 85% [7.1.1] Inventario de Activos 18% 94% 82% [7.1.2] Propiedad de los ACTIVOS 22% 94% 82% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 153/204
[9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 83%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% 83%
[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% 81%
[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% 70%
[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 154/204
[10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 155/204
[11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 78%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% 80%
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% 63%
[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 156/204
[13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 79% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal
50% 95% 90%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 86%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 66%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% 85%
[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%
Dominio de Seguridad: [INF] Infraestructuras
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 157/204
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 91% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% 90%
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 91%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 79% [7.1.1] Inventario de Activos 18% 94% 74% [7.1.2] Propiedad de los ACTIVOS 22% 94% 74% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 158/204
[7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% 70%
[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 159/204
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 75% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 80%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% n.a.
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% n.a.
[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% n.a.
[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 160/204
[10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 161/204
control [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 78%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% n.a.
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% n.a.
[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 162/204
[14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad
0% 90% 90%
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 73% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 80% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal
50% 95% 91%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 60%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Dominio de Seguridad: [REC] Rectorado, Gerencia y Secretaría General.
[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información
10% 95% 70%
[5.1.2] Revisión de la política de Seguridad de la información
10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 163/204
[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 56% [6.1.1] Comité de gestión de la Seguridad de la información
0% 95% 50%
[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información
28% 95% 60%
[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información
24% 95% 60%
[6.1.5] Acuerdos de Confidencialidad 70% 95% n.a. [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información
10% 95% 70%
[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros
0% 95% n.a.
[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes
22% 47% 90%
[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros
50% 95% n.a.
[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información
10% 95% 90%
[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 90% [8.1] Previa a la contratación 74% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 164/204
[8.1.1] Funciones y responsabilidad 42% 95% n.a. [8.1.2] Investigación de antecedentes 90% 95% n.a. [8.1.3] Términos y condiciones laborales 90% 95% n.a. [8.2] Mientras dure la contratación 57% 95% n.a. [8.2.1] Responsabilidades de la Dirección 70% 95% n.a. [8.2.2] Concienciación, formación y capacitación en Seguridad de la información
10% 95% n.a.
[8.2.3] Medidas disciplinarias 90% 95% n.a. [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 90% [8.3.1] Responsabilidad del CESE o cambio 90% 95% n.a. [8.3.2] Devolución de Activos 90% 95% n.a. [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%
[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga
90% 90% n.a.
[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones
5% 95% 70%
[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)
93% 95% 90%
[9.2.7] Activos que salan de las instalaciones (removal of property)
5% 95% 70%
[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación
20% 95% 80%
[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 165/204
[10.1.4] Separación de los recursos de Desarrollo, prueba y Operación
10% 95% n.a.
[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable
24% 95% n.a.
[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)
10% 95% n.a.
[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.
[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 166/204
[1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% n.a.
[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información
26% 95% 78%
[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 167/204
[12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO
15% 95% n.a.
[12.5.3] restricciones a los Cambios de aplicaciones en producción
65% 95% n.a.
[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%
[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%
[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad
0% 90% 79%
[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad
0% 90% 90%
[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información
0% 90% 70%
[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los 0% 90% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 168/204
llanos de Continuidad
[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal
50% 95% 91%
[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información
26% 95% 90%
[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos
15% 95% 60%
[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información
10% 95% n.a.
[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 169/204
3.2 Valoración PILAR ENS
[ENS: 2010] Esquema Nacional de Seguridad (10/06/2011)proyecto: [Uni] Universidad
Datos del proyectoUni Universidaddesc Implementación del Análisis de Riesgos de la Universidad.resp Universidad.org Universidad.ver 1.0date Julio de 2012.biblioteca [Std] Biblioteca INFOSEC (27/04/2012)
LicenciaUNIVERSIDAD
Dominios de Seguridado [Base] Baseo [SEG] Seguridad
Departamento de Seguridad de la Universidad.o [EXP] Explotación
Departamento de Explotación de la Universidad.o [SIS] Sistemas
Departamento de Sistemas de la Universidad.o [DWH] DataWareHouse
Departamento de DataWareHouse de la Universidad.o [RAI] Recursos, Aprendizaje e Investigación
Departamento de Recursos, Aprendizaje e Investigación de la Universidad.o [RRH] Recursos Humanos
Departamento de Recursos Humanos de la Universidad.o [PEC] Planificación Económica
Departamento de Planificación Económica de la Universidad.o [JUR] Jurídico
Departamento de Jurídico de la Universidad.o [ORG] Organización
Departamento de Organización de la Universidad.o [CDO] Centros de Docencia
Departamento de Centros de Docencia de la Universidad.o [ITI] Investigación, Transferencia e Innovación
Departamento de Investigación, Transferencia e Innovación de la Universidad.o [INF] Infraestructuras
Departamento de Infraestructuras de la Universidad.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 170/204
o [REC] Rectorado, Gerencia y Secretaría General.Rectorado de la Universidad.
Fases del proyectoo [Current] situación actualo [Target] situación Objetivoo [PILAR] Recomendación
Dominio de Seguridad: [base] Base
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 82% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 60%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 72% [Op.exp.2] Configuración de Seguridad 11% 77% 93% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 171/204
[Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 91% [Op.mon.1] Detección de intrusión 10% 95% 92% [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 86% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 82% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% 92% [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 86% [Mp.per.4] Formación 17% 95% 83% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 88% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 172/204
[Mp.com.4] segregaciones de redes 17% 95% 94% [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% 92% [Mp.si.1] Etiquetado 10% 95% 90% [Mp.si.2] Criptografía 10% 95% 95% [Mp.si.3] Custodia 10% 95% 90% [Mp.si.4] Transporte 50% 95% 91% [Mp.si.5] borrada y destrucción 92% 95% 92% [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 94% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 80% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% 83% [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 67%
Dominio de Seguridad: [SEG] Seguridad
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 65%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 79% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 173/204
[Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 70% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 91% [Op.ext] SERVICIOS EXTERNOS 22% 79% 69% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 70% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 81% [Op.mon.1] Detección de intrusión 10% 95% 73% [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 174/204
[Mp.per] Gestión del personal 30% 95% 81% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 85% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% 85%
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 91% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% 93% [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%
Dominio de Seguridad: [EXP] Explotación
[Org] Marco organizativo
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 175/204
control [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 60% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 80% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 176/204
[Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 83% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 177/204
[Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [SIS] Sistemas
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 84% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 65%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 70%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 178/204
[Op.exp.2] Configuración de Seguridad 11% 77% 93% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 89% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 92% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 91% [Op.mon.1] Detección de intrusión 10% 95% 92% [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 86% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 179/204
[Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 88% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% 90%
[Mp.com.4] segregaciones de redes 17% 95% 94% [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 91% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% 93% [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% 80% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% 83% [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 67%
Dominio de Seguridad: [DWH] DataWareHouse
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 83%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 180/204
[Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 85% [Op.exp.1] Inventario de Activos 31% 95% 82% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 181/204
[Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 182/204
[Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [RAI] Recursos, Aprendizaje e Investigación
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 82% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 183/204
[Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 77% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 184/204
[Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%
Dominio de Seguridad: [RRH] Recursos Humanos
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 63%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 185/204
[Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 85% [Op.exp.1] Inventario de Activos 31% 95% 79% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 82% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 81% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 186/204
[Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% 92% [Mp.si.1] Etiquetado 10% 95% 90% [Mp.si.2] Criptografía 10% 95% 95% [Mp.si.3] Custodia 10% 95% 90% [Mp.si.4] Transporte 50% 95% 91% [Mp.si.5] borrada y destrucción 92% 95% 92% [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 94% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%
Dominio de Seguridad: [PEC] Planificación Económica
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 63%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 187/204
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 90% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 188/204
[Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 189/204
[Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [JUR] Jurídico
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 83% [Op.acc.1] Identificación 75% 95% 50% [Op.acc.2] Requisitos de Acceso 48% 95% 92% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 90% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 190/204
[Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 191/204
[Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [ORG] Organización
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 83% [Op.acc.1] Identificación 75% 95% 50% [Op.acc.2] Requisitos de Acceso 48% 95% 92% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 192/204
[Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 90% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 193/204
[Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [CDO] Centros de Docencia
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 194/204
[Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 81% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 90% [Op.exp.3] Gestión de la configuración 24% 86% 79% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 195/204
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 196/204
[Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 78% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 65%
Dominio de Seguridad: [ITI] Investigación, Transferencia e Innovación
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 82% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 197/204
[Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 198/204
[Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Dominio de Seguridad: [INF] Infraestructuras
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 199/204
[Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 79% [Op.exp.4] Mantenimiento 17% 95% 83% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 82% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 200/204
[Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% 92% [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%
Dominio de Seguridad: [REC] Rectorado, Gerencia y Secretaría General.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 201/204
[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 82% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 60%
[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 70% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% n.a. [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64%
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 202/204
[Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%
[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 83% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% n.a. [Mp.per.2] deberá y obligaciones 47% 95% n.a. [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% n.a. [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad
21% 94% n.a.
[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 203/204
[Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.
Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 204/204
top related