analisis brecha egemsa

E.A.P. Ingeniería de Sistemas 2009

1

CURSO : Auditoría y Seguridad de Sistemas

DOCENTE : Ing. Jorge Martín Figueroa Revilla

TEMA : Análisis de Brecha – Empresa EGEMSA

INTEGRANTES :

Huamán Mendoza Erich Lozano Pinedo Jorge Morales Guerrero Elvert Rojas Medina Susan Trujillo Hoces Helen

HUACHO-PERU

2009

[E.A.P. INGENIERÍA DE SISTEMAS]

X CICLO

2009

Seguridad y

Auditoría en

Computación y

Sistemas


INDICE

1. ESTRUCTURA MATRIZ – ANALISIS DE BRECHA

2. CALIFICACIÓN DEL ESTADO DE LA BRECHA

3. MATRIZ ANALISIS DE BRECHA – DESARROLLADA

4. RESÚMEN MATRIZ

5. BIBLIOGRAFÍA

2


1. ESTRUCTURA MATRIZ – ANALISIS DE BRECHA

El detalle de la evaluación y análisis de brechas se mostrará en una matriz, cuyo contenido es el siguiente:

Situación actual: Muestra un resumen de la situación encontrada en la Empresa PROMASA a partir de la información relevada durante las entrevistas y de los documentos relevantes entregados a nuestro equipo.

Mejores prácticas: Muestra un resumen de nuestras mejores prácticas y los requerimientos mencionados en la ISO/IEC 17799-2007de la PCM motivo del presente proyecto.

Análisis de brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los requerimientos de la ISO/IEC 17799-2007 de la PCM y nuestras mejores prácticas.

SITUACION ACTUAL MEJORES PRÁCTICAS ANÁLISIS DE LA BRECHA

DOMINIO 1:

- Subgrupos o Subdivisiones

- Controles

DOMINIO 2:


- Controles

DOMINIO 3:


- Controles

DOMINIO …. :


- Controles

3


2. CALIFICACIÓN DEL ESTADO DE LA BRECHA

En el siguiente cuadro se detalla la descripción de los gráficos:

3. MATRIZ ANALISIS DE BRECHA – DESARROLLADA

4

Razonablementecubierto

Los requerimientos de la ISO/IEC 17799:2004 de la PCM están razonablemente cubiertos.

Sustancialmentecubierto

Faltan realizar algunas actividades para cubrir razonablemente los requerimientos de la ISO/IEC 17799:2004 de la PCM

Parcialmentecubierto

Se han realizado actividades que cubren parcialmente los requerimientos de la ISO/IEC 17799:2004 de la PCM

LimitadamenteCubierto

Se han realizado algunas actividades para cubrir los requerimientos de la de la ISO/IEC 17799:2004 de la PCM

No cubierto No se ha realizado ninguna actividad relacionada con los requerimientos de la ISO/IEC 17799:2004 de la PCM


DTI : Departamento de Tecnología de Información.

SITUACION ACTUAL DE LA EMPRESA MEJORES PRÁCTICAS SEGÚN ISO/IEC 17799:2007 ANÁLISIS

DE LA

BRECHA

DOMINIO 1: POLÍTICA DE SEGURIDADDocument o d e polític a d e segurida d d e l a información La empresa atreves del DTI, por ordenes de gerencia hace y le da a los usuarios la política de seguridad de información.

Revisión y evaluación El DTI lleva acabo la revisión de la política de seguridad cada 06 meses, con la aprobación de gerencia.

Document o d e polític a d e segurida d d e l a información

La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política de seguridad de la información.

Revisión y evaluación La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.

DOMINIO 2: ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Organización interna Comité de gestión de seguridad de la información La empresa a través del gerente general, gerente financiero y asesor legal y con apoyo del DTI, son los que gestionan la seguridad de la información.

Coordinació n d e l a segurida d d e l a información Los que se encargan de coordinar es el DTI, respaldado por gerencia.

Asignació n d e responsabilidade s sobr e segurida d d e l a información La responsabilidad sobre seguridad de información, se da cuando cada empleado firma su contrato donde especifican como se debe usar la información.

Proces o d e autorizació n d e recurso s par a e l tratamient o d e l a información El que se encarga de realizar los procesos de

Organización interna Comité de gestión de seguridad de la información

La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información.Coordinació n d e l a segurida d d e l a información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.Asignació n d e responsabilidade s sobr e segurida d d e l a información Deberían definirse claramente las responsabilidades.La asignación de responsabilidades sobre seguridad de la información debe hacerse en concordancia con la información de la política de seguridad. Las responsabilidades para la protección de activos individuales y para llevar a cabo procesos de seguridad específicos debenser

claramente identificadas. Deberían definirse claramente las responsabilidades locales para activos físicos y de información individualizados y los procesos de seguridadProces o d e autorizació n d e recurso s par a e l tratamient o d e l a información

5


tratamiento de información es el DTI, con aprobación de Gerencia.

Acuerdos de confidencialidad Los acuerdos de confidencialidad son realizados por gerencia para sus respetivos propósitos que cree conveniente.

Contacto con autoridades Carece de políticas que establezcan contactos con autoridades superiores.

Contacto con grupos de interés especialNo mantiene contactos con algún grupo especialista en seguridad.

Revisión independiente de la seguridad de la información.En la empresa el que lleva acabo la revisión independiente es el DTI.

Seguridad en los accesos de terceras partes

Identificació n d e riesgo s po r e l acces o d e terceros La empresa no tiene acceso de terceros a su

Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información.Acuerdos de confidencialidad Requerimientos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la protección de información deben ser identificadas y revisadas regularmente.Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes.Las organizaciones deben de tener procedimientos instalados que especifiquen cuándo y por qué autoridades deben ser contactados y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.Contacto con grupos de interés especialDeben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionalesRevisión independiente de la seguridad de la información.El alcance de la organización para gestionar la seguridad de información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de la seguridad ocurran.

Seguridad en los accesos de terceras partes Mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros.

La seguridad de la información de la organización y las instalaciones de procesamiento de la información no deben ser reducidas por la introducción de un servicio o producto externo.

Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización.Identificació n d e riesgo s po r e l acces o d e terceros

6


información.

Requisitos de seguridad cuando sea trata con clientes La empresa no anexa los requisitos de seguridad identificados antes de dar a los clientes acceso a la información o a los activos de la organización..Requisitos de seguridad en contratos de out s ourcing La empresa no realiza análisis de requisitos de seguridad para afianzar los acuerdos con terceros.

Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso.Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.Requisitos de seguridad en contratos de out s ourcing Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.

DOMINIO 3: CLASIFICACIÓN Y CONTROL DE ACTIVOS

Responsabilidad sobre los activos 1.2.3.4.5.6.7.

8. Inventario de activos La empresa si tiene bien identificados sus activos, por que cuanta con un inventario.

Propiedad de los activos Gerencia se encarga de controlar los activos con ayuda del DTI.

Uso adecuado de los activos El buen uso se especifica en un manual de funciones, donde cada empleado es responsable de los activos asignados.

Clasificación de la información

Responsabilidad sobre los activos Mantener una protección adecuada sobre los activos de la organización. Todos los activos deben ser considerados y tener un propietario asignado.Deberían identificarse los propietarios para todos los activos importantes, y se debería asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado del activo.

9. Inventario de activos Todos los activos deben se claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes.Propiedad de los activos Toda la información y los activos asociados con el proceso de información deben ser poseídos por una parte designada de la organización.Uso adecuado de los activos Las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información deben ser identificadas, documentados e implementadas.

Clasificación de la información

7


Guías de Implementación La información se encuentra clasificada de acuerdo a la funcionalidad requerida por los sistemas de información en las distintas áreas.

1. Marcad o y tratamient o d e l a información La empresa cuenta con un conjunto de procedimientos de clasificación de información mediante un control de toda la información que ingresa y sale.

Asegurar un nivel de protección adecuado a los activos de información. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección.Guías de Implementación La información debería clasificarse en función de su valor, requisitos legales, sensibilidad y criticidad para la organización.

2. Marcad o y tratamient o d e l a información Es importante definir un conjunto adecuado de procedimientos para marcar y tratar la información de acuerdo con el esquema de clasificación adoptado por la organización.

DOMINIO 4: SEGURIDAD EN RECURSOS HUMANOS

Seguridad antes del empleo 1.2.3.

4. Inclusió n d e l a segurida d e n la s responsabilidade s y funcione s laborales Si se tiene bien definido las funciones y responsabilidades, al momento de firmar el contrato o cuando se tiene que leer el manual interno de normas de la empresa.

5.6. Selección y política d e personal

Si cuenta con una selección de política de personal, ya que puede ser por experiencia o puestos a prueba y luego se evalúa su rendimiento.

7.

8. Acuerdos de confidencialidad Si se usa información de confidencialidad, solo en gerencia y directorio de presidencia de la empresa.

Durante el empleo

1.2.3.4.5. Responsabilidad e s d e l a gerencia

Seguridad antes del empleo Asegurar que los empleados, contratistas

y terceros entiendan sus responsabilidades y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones.Inclusió n d e l a segurida d e n la s responsabilidade s y funcione s laborales Las funciones y responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en concordancia con la política de seguridad de la organización.Selección y política d e personal Se debe llevar listas de verificación anteriores de todos los candidatos para empleo, contratistas y terceros en concordancia con las leyes , regulaciones y la ética, al igual que proporcionalmente a los requerimientos del negocio, la clasificación de la información a ser acezada y los riesgos percibidos.Acuerdos de confidencialidad Como parte de su obligación contractual, empleados, contratistas y terceros deben aceptar y firmar los términos y condiciones del contrato de empleo el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.

Durante el empleo Asegurar que los empleados, contratistas, y usuarios de terceros estén consientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo

8


La gerencia si brinda responsabilidad a sus empleados, a la hora de capacitaciones, incentivos, etc.

6. Conocimiento, educación y entrenamiento de la seguridad de información Si por que se realiza un cronograma de capacitaciones para las diferentes áreas.

Proceso disciplinario Existe un reglamento interno para los empleados, como cuáles son sus funciones, su responsabilidad, sanciones, etc.

Finalización o cambio del empleo

1.2.3.

4.5. Responsabilidade s d e finalización

Si está definido, ya que puede ser por término de contrato o por haber incumplido las normas de la empresa, o por bajo rendimiento en sus funciones.

6. Retorno de activos A la entrada y salida de cada empleado que usa información confidencial se registra lo que está trayendo y lo que está llevando, que puede ser con su jefe inmediato o en vigilancia.

7. Retir o d e lo s derecho s d e acceso Cuando comete faltas graves que van contra los intereses de la empresa y incumpla una norma interna de la empresa.

y de reducir el riesgo de error humano.7. Responsabilidad e s d e l a gerencia

La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

8. Conocimiento, educación y entrenamiento de la seguridad de información Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.Proceso disciplinario Debe existir un proceso formal disciplinario para empleados que han cometido una apertura en la seguridad.

Finalización o cambio del empleo Asegurar que los empleados, contratistas e usuarios de terceros salgan de la organización o cambien de empleo de una forma ordenada.Las responsabilidades se establecen con el fin de asegurarse que la salida de la organización de los empleados, contratistas e usuarios de terceros este manejada y que el retorno de todo el equipo y el retiro de todo derecho acceso este completado.

8. Responsabilidade s d e finalización Las responsabilidades para realizar la finalización de un empleo o el cambio de este deben ser claramente definidas y asignadas.

9. Retorno de activos Todos los empleados, contratistas y terceros deben retornar todos los activos de la organización que estén en su posesión hasta la finalización de su empleo, contrato o acuerdo.

10.11. Retir o d e lo s derecho s d e acceso

Los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información deben ser removidos hasta la culminación del empleo, contrato o acuerdo, o debe ser ajustada en caso de cambio

DOMINIO 5: SEGURIDAD FÍSICA Y DEL ENTORNO

Áreas seguras Áreas seguras Evitar accesos no autorizados, daños e interferencias contra los locales y la información de

9


Perímetr o d e segurida d física Si tiene identificado, donde van los equipos que almacenan información, o en donde están sus activos, donde solo tienen acceso personal autorizado.

Controle s físico s d e entradas Si tiene controlado a través de cámaras o a través de supervisores de cada área que llevan un control de ocurrencias de cada día y también los vigilantes de la empresa. Seguridad de oficinas, despacho s y recursos La empresa tiene sus equipos con clave, solamente tiene acceso el empleado y se ingresa alguien es con su permiso y su responsabilidad.Pr o tecció n contr a amenaza s externa s y ambientales La información está protegida en ambientes alejados de donde puedan ocurrir incendios o inundaciones o pérdidas, están ubicadas en lugares seguros.E l trabaj o e n la s área s seguras Los ambientes de trabajo están en áreas seguras, donde el personal se pueda desempeñar con normalidad sus funciones, lejos de ruidos, etc.Acces o público , área s d e carg a y descarga Si se encuentran separadas, ya que en los ambientes que se procesa información se tienen restringido el acceso.

Seguridad de los equipos

Instalación y protección de equipos Los equipos se encuentran protegidos en ambientes seguros, donde no pueda ocurrir riesgo de hurto, de inundaciones o incendios, etc.

Suministr o eléctrico Todos los equipos que procesan información cuentan con energía alterna.

Se gurida d de l cableado Se protege a través de tubos, canaletas, y pasan por lugares estratégicos donde no puedan sufrir algún deterioro.

Mantenimiento de equipos El DTI, se encarga de dar mantenimiento a los equipos cada año.Seguridad de equipo s fuer a d e lo s locale s d e l a organización

la organización.Perímetr o d e segurida d física Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deben ser usados para proteger áreas que contengan información e recursos de procesamiento de información.Controle s físico s d e entradas Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso sólo al personal autorizado.Seguridad de oficinas, despacho s y recursos La seguridad física para oficinas, despachos y recursos debe ser asignada y aplicada.

Pr o tecció n contr a amenaza s externa s y ambientales Se debe designar y aplicar protección física del fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.E l trabaj o e n la s área s seguras Se debería diseñar y aplicar protección física y pautas para trabajar en áreas seguras.

Acces o público , área s d e carg a y descarga Se deberían controlar las áreas de carga y descarga, y si es posible, aislarse de los recursos de tratamiento de información para evitar accesos no autorizados.

Seguridad de los equipos Instalación y protección de equipos El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las oportunidades de accesos no autorizados.Suministr o eléctrico Se deberían proteger los equipos contra fallos de energía u otras anomalías eléctricas en los equipos de apoyo.

Se gurida d de l cableado Se debería proteger contra interceptaciones. o dañoscableado de energía y telecomunicaciones que transporten datos o soporten servicios de información.

10


El jefe inmediato es el que autoriza la salida de equipos de la empresa como puede ser jefe de planta o administrado, etc.

Segurida d e n e l rehús o o eliminació n d e equipos Si realiza el rehusó de partes de equipos, para a si poder ahorrar en gastos a la empresa.

Retir o d e l a propiedad No salen, solo salen cuando son por cambio al proveedor.

Mantenimiento de equipos Los equipos deberían mantenerse adecuadamente para asegurar su continua disponibilidad e integridad.Seguridad de equipo s fuer a d e lo s locale s d e l a organización Se debe aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización tomando en cuenta los diversos riesgos a los que se está expuesto.Segurida d e n e l rehús o o eliminació n d e equipos Todos los elementos del equipo que contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la eliminación.Retir o d e l a propiedad El equipo, información o software no debe ser sacado fuera del local sin autorización.

DOMINIO 6: GESTIÓN DE COMUNICACIONES Y OPERACIONES

Procedimientos y responsabilidades de operación

Documentación de procedimientos operativos Cada sistema tiene su manual, que es elaborado por DTI.

Gestión de Cambios Se encarga DTI sacando nuevas versiones de los sistemas para actualizar con respetiva autorización de gerencia.Segregació n d e tareas

A. Si cada sistema esta desempeñado para su área que le corresponde.

Separació n d e lo s recurso s par a desarroll o y par a producción En la empresa no se encuentra segregados los recursos para desarrollo, prueba y producción .

Gestión de servicios externos

Servici o d e entrega

Procedimientos y responsabilidades de operación Asegurar la operación correcta y segura de los recursos de tratamiento de información.Documentación de procedimientos operativos Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo requieran.Gestión de Cambios Se deberían controlar los cambios en los sistemas y recursos de tratamiento de información.Segregació n d e tareas Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencional, o el de un mal uso de los activos de la organización.Separació n d e lo s recurso s par a desarroll o y par a producción La separación de los recursos para desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional.

Gestión de servicios externos Implementar y mantener un nivel apropiado de seguridad y de entrega de servicio en línea con los acuerdos con terceros.Servici o d e entrega Debemos asegurarnos que todos los controles de

11


La empresa no cuenta con servicios externos.

Moni tore o y revisió n d e lo s servicio s externos La empresa no cuenta con servicios externos.

Gestionando cambios pa r a lo s servicio s externos La empresa no cuenta con servicios externos.

Planificación y aceptación del sistema

Planificación de la capacidad En la empresa se realiza la planificación de la capacidad para el almacenamiento de información, y siempre se realiza una copia para casos de falla en un servidor.

Aceptació n de l sistema Los sistemas son requeridos para los diferentes procesos de la empresa y se encarga de aceptar es el DTI.

Protección contra software malicioso

1. Medida s y controle s contr a softwar e malicioso Se usa un antivirus con licencia, para la detección de software malicioso, y hay una norma de la empresa que indica que solo se puede ejecutar programas autorizados por DTI.

2. Medidas y controles contra código móvil La empresa posee equipos de comunicación telefónica y otros para consulta de correo electrónico, pero no se encuentran configurados de acuerdo a una política de seguridad.

seguridad, definiciones de servicio y niveles de entrega incluidas en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.Moni tore o y revisió n d e lo s servicio s externos Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorias deben ser llevadas a cabo regularmente.Gestionando cambios pa r a lo s servicio s externos Cambios en la provisión del servicio, incluyendo mantenimiento y mejoras en las políticas de seguridad de información existentes.

Planificación y aceptación del sistema Minimizar el riesgo de fallos de los sistemas.Son necesarias una planificación y preparación para asegurar la disponibilidad de capacidad y de recursos adecuados para entregar el sistema de funcionamiento requerido.Planificación de la capacidad El uso de recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas futuras para asegurar el sistema de funcionamiento requerido.Aceptació n de l sistema Se deberían establecer criterios de aceptación para nuevos sistemas de información y versiones nuevas o mejoradas y se deberían desarrollar con ellos las pruebas adecuadas antes de su aceptación.

Protección contra software malicioso Proteger la integridad del software y de la información.Se requieren ciertas precauciones para prevenir y detectar la introducción de software malicioso.

3. Medida s y controle s contr a softwar e malicioso Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios.

4. Medidas y controles contra código móvil Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que este sea ejecutado.

12


Gestión de respaldo y recuperación

Recuperació n d e l a información Si se realizan copias de información, a través de backup, y se lleva acabo de manera automática.

Gestión de seguridad en redes

Controle s d e red Se realizan controles a las redes implementadas, a través del hardware. Dichas redes, cumplen con las normas de TI.

Segurida d e n lo s servicio s d e redes No han sido identificados las características de los niveles de servicio de red que existe fuera de la empresa, pero dentro de ella solo cumplen con actividades de acceso a la información dependiendo de qué área la utilice.

Utilización de los medios de información

Gestió n d e medio s removibles No existe un procedimiento para la gestión de estos medios, pero el departamento de TI se encarga de guardarlos para un uso posterior, ya que también puede contener información importante.Eliminació n d e medios Solo lo realizan a través del formateo, en los ordenadores, que puede hacerse con el mismo XP. O un disco de arranque y otros medios, sin utilizan algún procedimiento formal.

Procedimiento s d e manipulació n d e l a informac ión Si se tiene un procedimiento, para la manipulación y el resguardo de la información en una dirección única.

Gestión de respaldo y recuperación Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.Recuperació n d e l a información Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.

Gestión de seguridad en redes Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.Controle s d e red Las redes deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo información en transito.

Segurida d e n lo s servicio s d e redes Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de red deben ser identificadas e incluidos en cualquier acuerdo de servicio de red, así estos servicios sean provistos dentro o fuera de la organización.

Utilización de los medios de información Prevenir acceso no autorizado, modificaciones, evitar daños a los activos e interrupciones de las actividades de la organización.Los medios deben ser controlados y físicamente protegidos.Gestió n d e medio s removibles Debería haber procedimientos para la gestión de los medios informáticos removibles.

Eliminació n d e medios Se deberían eliminar los medios de forma segura y sin peligro cuando no se necesiten más, utilizando procedimientos formales.

Procedimiento s d e manipulació n d e l a informac ión Los procedimientos para la manipulación y almacenamiento de la información deben ser establecidos para proteger esta información de

13


Seguridad de la documentación de sistemas Si se protege en un ordenador donde solo tiene acceso el jefe inmediato que esta en esa área.

Intercambio de información

Política s y procedimiento s par a e l intercambi o d e informació n y software No se realiza ningún intercambio de información y software entre organizaciones.

Acuerdo s d e Intercambio No se realiza ningún intercambio de información y software entre organizaciones.

Medios físicos en tránsito No se realiza ningún intercambio de información y software entre organizaciones.

Segurida d e n l a mensajerí a electrónica Si se protege la información de mensajería vía electrónica, ya que se cuenta con una intranet, donde cada empleado tiene su cuenta y contraseña, y una vez que deje de trabajar en la empresa se le da de baja a esa cuenta.

Sistema s d e Informació n d e Negocios No se realiza ninguna interconexión con sistemas de información de negocios.

Servicios de correo electrónico

Comerci o Electrónico No existen actividades acerca de comercio electrónico.

divulgaciones o usos no autorizados.

Seguridad de la documentación de sistemas La documentación de sistemas debe ser protegida contra acceso no autorizado.

Intercambio de información Evitar la pérdida, modificación o mal uso de la información intercambiada entre organizaciones. Se deberían realizar los intercambios sobre la base de acuerdos formales. Se deberían controlar los intercambios de información y software entre organizaciones, que deberían cumplir con toda la legislación correspondientePolítica s y procedimiento s par a e l intercambi o d e informació n y software Se deberían establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación.Acuerdo s d e Intercambio Los acuerdos deben ser establecidos para el intercambio de información y software entre la organización y terceros.Medios físicos en tránsito Los medios conteniendo información deben ser protegidos contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.Segurida d e n l a mensajerí a electrónica La información implicada con la mensajería electrónica debe ser protegida apropiadamente.

Sistema s d e Informació n d e Negocios Se deberían desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios.

Servicios de correo electrónico Asegurar la seguridad de los servicios de comercio electrónico y de su uso seguro.Las implicaciones de seguridad asociadas con el uso de servicios de comercio electrónico, incluyendo transacciones en línea y los requisitos para los controlesComerci o Electrónico La información envuelta en el comercio

14


Transacciones en línea Se protege a través de los convenios con las entidades bancarias antes de realizar las transacciones en línea, incluyendo solo el acceso autorizado.

Informació n públic a disponible No existe información pública disponible.

Monitoreo

Registr o d e l a auditoria Existen supervisores quienes se encargar de verificar si la información ingresada a los sistemas es la correcta y si hay errores se procederá a su modificación y documentación.

Monitoreand o e l us o de l sistema Se realiza constantemente el monitoreo del uso de los sistemas por parte del DTI.

Protecció n d e l a informació n d e registro Esta protegido el acceso de los sistemas ya que cada empleado tiene acceso al sistema que va desempeñar sus funciones con clave.Registr o d e administradore s y operadores Todas las actividades que realizan los administradores y operadores se registran ya que en el sistema sale el nombre de usuario. Fecha y hora de ingreso o y de modificación.Registr o d e l a avería Se mantiene registradas las averías que puedan ocurrir y se toman las acciones apropiadas por personal de mantenimiento y soporte.

Sincronizació n de l reloj Todos los sistemas tienen sincronizado el reloj y si no lo esta el mismo usuario lo puede sincronizar.

electrónico pasando a través de redes publicas, deben ser protegidas de actividad fraudulenta, disputas de contratos y de acceso y modificación no autorizada.Transacciones en línea La información implicada en las transacciones en línea debe ser protegida para prevenir la transmisión incompleta, ruta equivocada, alteración no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del mensaje o reproducción.Informació n públic a disponible La integridad de la información que se ha hecho disponible en un sistema público debe ser protegido para prevenir modificaciones no autorizadas.

MonitoreoDetectar las actividades de procesamiento de información no autorizadasRegistr o d e l a auditoria Los registros de auditoria grabando actividades de los usuarios, excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.Monitoreand o e l us o de l sistema Los procedimientos para el uso del monitoreo de las instalación de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.Protecció n d e l a informació n d e registro Las instalaciones de información de registro deben ser protegidas contra acciones forzosas u acceso no autorizado.Registr o d e administradore s y operadores Las actividades del administrador y de los operadores del sistema deben ser registradas.

Registr o d e l a avería Las averías deben ser registradas, analizadas y se debe tomar acciones apropiadas.

Sincronizació n de l reloj Los relojes de todos los sistemas de procesamiento de información dentro de la

15


organización o en el dominio de seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.

DOMINIO 7: CONTROL DE ACCESOS

Requisitos de negocio para el control de accesos

Polític a d e contro l d e accesos El DTI, es el encargado por orden de Gerencia de dar el acceso a cada uno de los usuarios que va usar un sistema creándole su ID de usuario y clave, donde un usuario va tener acceso solo al sistema que desarrollar sus funciones y el también es el que retira el acceso de usuarios una vez que el trabajador cambie de puesto o deje de laborar en la empresa.

Gestión de acceso de usuarios

Registr o d e usuarios El registro de usuario es general, solo en los administradores del sistema que tienen acceso a todas las funciones de los sistemas para poder realizar cambios en las funciones de los sistemas, ya que los usuarios solo pueden hacer actualizaciones, ingresos, etc. Lo realiza un encargado del DTI, sin ningún procedimiento formal.Gestió n d e privilegios El uso y asignación de privilegios es controlado por el DTI, para los administradores de los sistemas, autorizados, ya que ellos pueden dar mantenimiento a los sistemas.Gestión de contraseñas de usuario Existe un procedimiento que esta a cargo del DTI que es el encargado de dar a todos los usuarios su clave de acceso, y el usuario realiza su confirmación enviando un correo electrónico al DTI luego de poder ingresar correctamente al sistema.Revisió n d e lo s derecho s d e acces o d e lo s usuarios Se revisa cuando el usuario tiene algún

Requisitos de negocio para el control de accesos Controlar los accesos a la información.Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocio.Polític a d e contro l d e accesos Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.

Gestión de acceso de usuarios Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información.

Se debería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios.

Registr o d e usuarios Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.

Gestió n d e privilegios Debería restringirse y controlarse el uso y asignación de privilegios.

Gestión de contraseñas de usuario Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.

Revisió n d e lo s derecho s d e acces o d e lo s usuarios La gerencia debería establecer un proceso formal

16


inconveniente al ingreso del sistema, sin un proceso formal establecido.

Responsabilidades de los usuarios

Us o d e contraseñas La contraseña es otorgada por el DTI a los usuarios, donde cada usuario es responsable, y decide cambiar su contraseña enviando un correo al DTI para su respetiva modificación donde el DTI le pide al usuario que le envié la nueva contraseña.Equipo informático de usuario desatendido Al momento que el usuario sale por algún motivo deja bloqueado su equipo y una vez que termina su día laborable se paga el ordenador.Polític a d e pantall a y escritori o limpio Cada usuario tiene en su disco duro una partición donde guarda información y otra partición donde es compartida con todos los usuarios.

Control de acceso a la red

Polític a d e us o d e lo s servicio s d e l a red Si existe una política para acceder a los servicios de red para lo cual estén autorizados. Todos los usuarios poseen una dirección específica para guardar la información utilizada por su propia área y otra para guardar la requerida por otras. Autentificació n d e usuari o par a conexione s externas La empresa no posee usuarios que accedan remotamente.

Identificación de equipos en las redes Realizan la autentificación de conexiones desde equipos específicos a través de su Red Privada Virtual.También posee Firewall para controlar el servicio de internet y accesos a red.

Diagnostico remoto y configuración de protección de

de revisión periódica de los derechos de acceso de los usuarios.Responsabilidades de los usuarios Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la información y de las instalaciones del procesamiento de información. Una protección eficaz necesita la cooperación de los usuarios autorizados.

Us o d e contraseñas Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas.

Equipo informático de usuario desatendido Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos.Polític a d e pantall a y escritori o limpio Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.

Control de acceso a la red Prevenir el acceso no autorizado de los servicios de la red. Debería controlarse el acceso a los servicios a las redes internas y externasPolític a d e us o d e lo s servicio s d e l a red Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.

Autentificació n d e usuari o par a conexione s externas Se deben utilizar métodos apropiados de autentificación para controlar el acceso de usuarios remotos.Identificación de equipos en las redes Las identificaciones automáticas de equipo deben ser consideradas como medios para autentificar conexiones desde locales y equipos específicos.

Diagnostico remoto y configuración de protección de puertos

17


puertosA través de la VPN el DTI hace la configuración y protección de los puertos.Segregació n e n la s redes Los servicios de información, usuarios y sistemas de información se encuentran separados en las redes existentes, de acuerdo a Clase B.

Contro l d e conexió n a la s redes Las redes son contraladas, ya que todos los empleados no tienen acceso a ella, y sólo los administradores de redes tienen acceso para dar su respetivo mantenimiento.

Contro l d e enrutamient o e n l a red Existen controles, a través del DTI, para casos de interrumpirse la conexión o transferencia de archivos, este departamento se encarga de reponer el servicio.

Control de acceso al sistema operativo

Procedimiento s d e conexió n d e terminales Los terminales cuentan con un acceso seguro hacia los servicios de información.

Identificación y autenticación del usuario Cada usuario al ingresar al sistema automáticamente ingresa con un identificador único.

Sistema de gestión de contraseñas El DTI otorga a todos los usuarios una contraseña para el acceso a correo electrónico, pero no proporciona un medio eficaz para contraseñas de los sistemas de información.

Utilizació n d e la s facilidade s de l sistema El DTI, se encarga de controlar la instalación de software que pueda atentar la seguridad de la información.

Desconexión automática de se siones Se desactiva la pantalla del terminal del usuario tras

Se debería controlar el acceso físico y logístico para diagnosticar y configurar puertos.

Segregació n e n la s redes Los grupos de servicios de información, usuarios y sistemas de información deben ser segregados en las redes.

Contro l d e conexió n a la s redes Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se deberían basar en los requisitos de las aplicaciones del negocio.Contro l d e enrutamient o e n l a red Se deberían implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso a las aplicaciones.

Control de acceso al sistema operativo Evitar accesos no autorizados a los computadores.Las prestaciones de seguridad a nivel de sistema operativo se deberían utilizar para restringir el acceso a los recursos del computador.Procedimiento s d e conexió n d e terminales El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro.Identificación y autenticación del usuario Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos.Sistema de gestión de contraseñas Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas.Utilizació n d e la s facilidade s de l sistema La mayoría de las instalaciones informáticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado.Desconexión automática de se siones Las sesiones se deberían desactivar tras un periodo definido de inactividad.

18


un periodo de tiempo de inactividad (10 min), pero no se cierran las aplicaciones en ejecución.

Limitación del tiempo de conexión No se controlan los límites de tiempo de conexión.

Control de acceso a las aplicaciones y la información

Restricció n d e acces o a l a información Se otorga el acceso a la información del sistema de aplicaciones sólo a los usuarios de éste.

Aislamient o d e sistema s sensibles Los sistemas sensibles como el de Facturación se encuentran en entornos aislados, como por ejemplo, en terminales sin puertos de conexión para USB.

Informática móvil y teletrabajo

Informátic a móvi l y comunicaciones Solo los administradores de los sistemas tienen los sistemas a través de medios portátiles y teléfonos móviles.

Teletrabajo No se realizan actividades de Teletrabajo, sólo existe en propuesta para los gerentes de la empresa.

Limitación del tiempo de conexión Las restricciones en los tiempos de conexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

Control de acceso a las aplicaciones y la información Prevenir el acceso no autorizado a la información contenida en los sistemas. Se deberían usar las facilidades de seguridad lógica dentro de los sistemas de aplicación para restringir el acceso.Restricció n d e acces o a l a información Se debería dar acceso a la información y a las funciones del sistema de aplicaciones sólo a los usuarios de éste, incluido el personal de apoyo, de acuerdo con una política de control de accesos definida.Aislamient o d e sistema s sensibles Los sistemas sensibles pueden necesitar entornos informáticos dedicados (aislados).

Informática móvil y teletrabajo Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.Informátic a móvi l y comunicaciones Se debería adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.Teletrabajo Se deberían desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo.

DOMINIO 8: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requisitos de seguridad de los sistema s

Análisi s y especificació n d e lo s requisito s d e seguridad En la empresa todos los sistemas cuentan con manuales otorgados por DTI, mas no realizan un análisis de requisitos de seguridad para los nuevos sistemas o mejoras en los ya existentes. Los controles para éstos sistemas sólo se basan en su funcionalidad.

Requisitos de seguridad de los sistema sAsegurar que la seguridad esté imbuida dentro de los sistemas de informaciónAnálisi s y especificació n d e lo s requisito s d e seguridad Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a sistemas existentes deberían especificar los requisitos de control.

19


Seguridad de las aplicaciones del sistema

Validación de los datos de entrada Si se valida la información que se ingresa a través de las aplicaciones.

Contro l de l proces o interno Lasa aplicaciones poseen comprobaciones de validación que detectan los errores en el ingreso de información.

Integrida d d e mensajes Se identificado la integridad y protección de mensajes empleando código de autenticación de mensaje basados en resúmenes (HMAC - Hash Message).

Validación de los datos de sa lida No se realiza ya que cada usuario es responsable de mensajes que envía ya demás no se envía información confidencial por mensajes.

Controles criptográficos

Polític a d e us o d e lo s controle s criptográficos No se realizan este tipo de actividades, sólo esta en propuesta.

Gestió n d e claves No se realizan este tipo de actividades acerca de gestión de claves.

Seguridad de los archivos del sistema

Seguridad de las aplicaciones del sistema Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.Se deberían diseñar dentro de las aplicaciones (incluidas las aplicaciones escritas por los usuarios) las medidas de control.Validación de los datos de entrada Se deberían validar los datos de entrada a las aplicaciones del sistema para garantizar que son correctas y apropiadas.Contro l de l proces o interno Se deberían incorporar a los sistemas comprobaciones de validación para detectar cualquier tipo de corrupción de información a través de errores del proceso o por actos deliberados.Integrida d d e mensajes Se debería identificar los requerimientos para asegurar la autenticación y protección de la integridad de los mensajes en aplicaciones y se deberían de identificar e implementar controles apropiados.Validación de los datos de sa lida Se deberían validar los datos de salida de un sistema de aplicación para garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.

Controles criptográficos Proteger la confidencialidad, autenticidad o integridad de la información.Se deberían usar sistemas y técnicas criptográficas para proteger la información sometida a riesgo, cuando otras medidas y controles no proporcionen la protección adecuada.Polític a d e us o d e lo s controle s criptográficos La organización debería desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información.Gestió n d e claves La gestión de claves debe criptográficas debe apoyar el uso de las técnicas criptográficas en la organización.

Seguridad de los archivos del sistema Asegurar la seguridad de los archivos del sistema.El acceso a los archivos del sistema debería ser controlado y los proyectos de Tecnología de la

20


Contro l de l softwar e e n producción La gerencia es quien autoriza adquirir nuevas versiones de los sistemas operativos, sin ningún procedimiento formal. Protección de los datos de prueba del sistema Se protege guardándolos en un servidor de prueba para sistemas nuevos. Contro l d e acces o a lo s código s d e programa s fuente Las librerías de programa fuente son guardado en un servidor donde solo tiene acceso el DTI, donde ellos se encargan de modificar, agregar mas funciones o sacar nueva versiones de los sistemas.

Seguridad en los procesos de desarrollo y soporte

Procedimiento s d e contro l d e cambios Cuando el DTI es autorizado por gerencia a adquirir o desarrollar una nueva versión de un sistema, primero es puesto a prueba y luego se capacita a los usuarios.Revisió n técnic a d e lo s cambio s e n e l sistem a operativo Si se realiza una revisión técnica encargada por personal de soporte de DTI donde se genera un backup de la información de cada ordenador. Esta actividad se realiza anualmente.

Restricciones en los cambios a los paquetes de software No se restringen los cambios en paquetes de software si no son estrictamente controlados ya que todo cambio es requerido conforme el proceso del área. Fug a d e Información Se realizan copias o backup, pero no se previenen los riesgos de fuga de información.Desarroll o extern o de l software No se realiza, se crea por parte del personal de desarrollo de DTI.

Gestión de la vulnerabilidad técnica

Contro l d e la s vulnerabilidade s técnicas. La vulnerabilidades técnicas son muy bajas ya que al

Información (TI) y las actividades complementarias deben ser llevadas a cabo de una forma segura.Contro l de l softwar e e n producción Deberían existir procedimientos para controlar la instalación del software en sistemas operacionales.Protección de los datos de prueba del sistema Los datos de prueba deben ser seleccionados cuidadosamente, así como protegidos y controlados.Contro l d e acces o a lo s código s d e programa s fuente El acceso a los códigos de programas fuente debe ser restringido.

Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software de aplicación y la información. Se deberían controlar estrictamente los entornos del proyecto y de soporteProcedimiento s d e contro l d e cambios La implementación de cambios debe ser controlada usando procedimientos formales de cambio.

Revisió n técnic a d e lo s cambio s e n e l sistem a operativo Se deberían revisar y probar las aplicaciones del sistema cuando se efectúen cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad.Restricciones en los cambios a los paquetes de software No se recomiendan modificaciones a los paquetes de software. Se debería limitar a cambios necesarios y todos estos deben ser estrictamente controlados.

Fug a d e Información Las oportunidades de fuga de información deben ser prevenidas.Desarroll o extern o de l software El desarrollo externo del software debe ser supervisado y monitoreado por la organización.

Gestión de la vulnerabilidad técnicaReducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas.

21


momento de adquirir los equipos tiene que cumplir todo los requisitos para que los sistemas puedan funcionar con normalidad sin ningún inconveniente y si que existe es detectada de inmediato por el DTI, para darle la solución correspondiente.

1.2.3. Contro l d e la s vulnerabilidade s técnicas.

Se debe obtener a tiempo la información sobre las vulnerabilidades técnicas de los sistemas información utilizadas. Igualmente, se debe evaluar la exposición de la organización a tales vulnerabilidades y las medidas apropiadas para tratar a los riegos asociados.

DOMINIO 9: GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN

Reportando eventos y debilidades de la seguridad de información

Reportand o lo s evento s e n l a segurida d d e información Los reportes de eventos en la seguridad de información se realizan contantemente de una forma automática por el sistema.Reportand o debilidade s e n l a segurida d d e información Si cada usuario detecta una falla en el sistema se le consulta de inmediato al personal DTI para que tome medidas correctivas y se le de solución a los problemas que pueda traer mas adelante.

Gestión de las mejoras e incidentes en la seguridad de información

Responsabilidades y procedimientos Cada usuario tiene como responsabilidad la de informar al DTI de los incidente que tenga en el desempeño de sus activas, ya sea perdida de datos o ingreso mal de datos o errores del sistema que se den.Aprendiend o d e lo s incidente s e n l a segurida d d e información Existe un registro de los incidentes de seguridad que ocurren, los cuáles son analizados para un control preventivo en caso de incidentes posteriores.Recolección de evidencia Si se recolecta este tipo de información y en caso de incidentes de seguridad de información se utilizan memorándum hacia el empleado.

Reportando eventos y debilidades de la seguridad de información Asegurar que los eventos y debilidades en la seguridad de información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.Reportand o lo s evento s e n l a segurida d d e información Los eventos en la seguridad de información deben ser reportados lo más rápido posible a través de una gestión de canales apropiadaReportand o debilidade s e n l a segurida d d e información Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información deben anotar y reportar cualquier debilidad observada o sospechada en la seguridad de estos.

Gestión de las mejoras e incidentes en la seguridad de información Asegurar un alcance consistente y efectivo aplicado a la gestión de incidentes en la seguridad de información.Responsabilidades y procedimientos Las responsabilidades y procedimientos de la gerencia deben ser establecidas para asegurar una rápida, efectiva y ordenada respuesta a los incidentes en la seguridad de información.Aprendiend o d e lo s incidente s e n l a segurida d d e información Debe existir un mecanismo que permita que los tipos, volúmenes y costos de los incidentes en la seguridad de información sean cuantificados y monitoreados.Recolección de evidencia Cuando una acción de seguimiento contra una persona u organización, después de un incidente

22


en la seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada para estar conforme con las reglas para la colocación de evidencia en la jurisdicción relevante.

DOMINIO 10: GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Aspectos de la gestión de continuidad del negocio

Incluyend o l a segurida d d e informació n e n e l proces o d e gestió n d e la continuidad del negocio La empresa por parte del DTI tiene identificado las debilidades de la empresa que informa a la gerencia para crear nuevos planes de solución y así mantener la continuidad del negocio sin inconvenientes.

Continuidad del negocio y evaluación de riesgos Los riegos son identificados por un personal especializado escogido por gerencia para la evaluación de los riesgos tanto internos como externos de la empresa para así poder realizar un plan preventivo y mantener la continuidad del negocio.Redacción e implantación de planes de continuidad que incluyen la segurida d d e información Solo se realizan planes de prevención de los riesgos para darle continuidad al negocio pero no cuenta con un plan estratégico empresarial.

Marco de planificación para la continuidad del negocioSe mantiene un marco único de planificación, que se va modificando de acuerdo a los requerimientos de nuevos procesos que se van creando en la empresa.

Prueba, mantenimiento y reevaluación de los planes de continuidad Se realiza pruebas y reevaluación de los planes conforme al calendario establecido en cronograma del plan.

Aspectos de la gestión de continuidad del negocioReaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de información o desastres.Incluyend o l a segurida d d e informació n e n e l proces o d e gestió n d e la continuidad del negocio Se debería instalar en toda la organización un proceso de gestión para el desarrollo y el mantenimiento de la continuidad del negocio a través de la organización que trate los requerimientos en la seguridad de información necesarios para la continuidad del negocio.Continuidad del negocio y evaluación de riesgos Los eventos que pueden causar interrupciones a los procesos de negocio deben ser identificados, junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información.

Redacción e implantación de planes de continuidad que incluyen la segurida d d e información Se deberían desarrollar planes de mantenimiento y recuperación de las operaciones del negocio, para asegurar la disponibilidad de información al nivel y en las escalas de tiempo requeridas, tras la interrupción o la falla de sus procesos críticos.Marco de planificación para la continuidad del negocioSe debería mantener un esquema único de planes de continuidad del negocio para asegurar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento.Prueba, mantenimiento y reevaluación de los planes de continuidad Los planes de continuidad del negocio se deberían probar regularmente para asegurarse de su actualización y eficacia.

DOMINIO 11: CUMPLIMIENTO

Cumplimiento con los requisitos legales Cumplimiento con los requisitos legales Evitar los incumplimientos de

23


Identificació n d e l a legislació n aplicable Si se tiene establecido las normas de uso de los sistemas de la empresa para su regularización correspondiente.

Derecho s d e propieda d intelectua l (DPI) Se adquiere los derechos comprando licencias para poder usarlos.

Salvaguarda de l o s registro s d e l a organización Todos los registros de información están guardados por módulos o por área con su respetivo backup.

Protecció n d e lo s dato s y d e l a privacida d d e l a informació n personal Se tiene una política para el uso de los datos personales de los trabajadores solo son manejados internamente y solo son brindados a entidades del estado.

Prevenció n e n e l ma l us o d e lo s recurso s d e tratamient o d e l a información Toda información es prevenida con capacitaciones al personal para evitar su mal uso.

Regulació n d e lo s controle s criptográficos No se realizan este tipo de actividades.

Revisiones de la política de seguridad y de la conformidad técnica

Conformida d co n l a polític a d e segurida d y lo s estánd ares Todos los reglamentos de política de seguridad cumplen las normas y se hace constantemente las revisiones correspondientes.

cualquier ley civil o penal,requisito reglamentario, regulación u

obligación contractual, y de todo requisito de seguridad.Identificació n d e l a legislació n aplicable Se deberían definir, documentar y mantener actualizado de forma explícita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de información.Derecho s d e propieda d intelectua l (DPI) Se deberían implantar los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales, reguladoras y contractuales sobre el uso del material protegido por derechos de propiedad intelectual y sobre el uso de productos de software propietario.Salvaguarda de l o s registro s d e l a organización Se deberían proteger los registros importantes de la organización frente a su pérdida, destrucción y falsificación en concordancia con los requisitos regulatorios, contractuales y de negocio.Protecció n d e lo s dato s y d e l a privacida d d e l a informació n personal La protección de datos y la privacidad debe ser asegurada como se requiere en la legislación, las regulaciones y, si es aplicable, en las cláusulas contractuales.Prevenció n e n e l ma l us o d e lo s recurso s d e tratamient o d e l a información El personal debe ser disuadido de utilizar los recursos de tratamiento de la información para propósitos no autorizados.

Regulació n d e lo s controle s criptográficos Los controles criptográficos deben ser utilizados en conformidad con todos los acuerdos, leyes y regulaciones.

Revisiones de la política de seguridad y de la conformidad técnica Asegurar la conformidad de los sistemas con las políticas y normas de seguridad. Se deberían hacer revisiones regulares de la seguridad de los sistemas de información.Conformida d co n l a polític a d e segurida d y lo s estánd ares Los gerentes deberían asegurarse que se cumplan correctamente todos los procedimientos de

24


Comprobació n d e l a conformida d técnica La comprobación lo hace un ingeniero de sistemas, con ayuda de técnicos especializados en soporte para después emitir su informe a gerencia de conformidad.

Consideraciones sobre la auditoria de sistemas

Controle s d e auditorí a d e sistemas No se realiza este tipo de actividad.

Protecció n d e la s herramienta s d e auditorí a d e sistemas No se realiza este tipo de actividad.

seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de seguridad.Comprobació n d e l a conformida d técnica Se debería comprobar regularmente la conformidad con las normas de implantación de la seguridad en los sistemas de información.

Consideraciones sobre la auditoria de sistemas Maximizar la efectividad y minimizar las interferencias en el proceso de auditoría del sistema.Controle s d e auditorí a d e sistemas Se deberían planificar cuidadosamente y acordarse los requisitos y actividades de auditoría que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupción de los procesos de negocio.Protecció n d e la s herramienta s d e auditorí a d e sistemas Se deberían proteger los accesos a las herramientas de auditoría de sistemas con el fin de prever cualquier posible mal uso o daño.

4. RESÚMEN MATRÍZ

DOMINIOS DE LA NORMAANÁLISIS DE

BRECHA

DOMINIO 1: POLÍTICA DE SEGURIDAD

25


DOMINIO 2: ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

DOMINIO 3: CLASIFICACIÓN Y CONTROL DE ACTIVOS

DOMINIO 4: SEGURIDAD EN RECURSOS HUMANOS

DOMINIO 5: SEGURIDAD FÍSICA Y DEL ENTORNO

DOMINIO 6: GESTIÓN DE COMUNICACIONES Y OPERACIONES

DOMINIO 7: CONTROL DE ACCESOS

DOMINIO 8: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

DOMINIO 9: GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN

DOMINIO 10: GESTIÓN DE CONTINUIDAD DEL NEGOCIO

DOMINIO 11: CUMPLIMIENTO

5. BIBLIOGRAFÍA

26


NTP-ISO/IEC 17799 : 2007

27

analisis brecha egemsa

Documents