ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 1 de 25
ANEXO A
INTERFACES Y SOLUCIONES S.A.S
DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 DI-SGSI-01
Elaborado Por: Revisado Por: Aprobado Por:
Yasmin Suárez Adriana Moyano
Ing. Jairo Hernández Gutiérrez
Ing. Jorge Pérez Acosta
Fecha: junio 2017 Fecha: junio 2017 Fecha: junio 2017
Cargo: Pasantes a cargo del SGSI
Cargo: Director y Asesor del trabajo de grado
Cargo: Director de Proyectos I&S
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 2 de 25
Tabla de Contenido 0. INTRODUCCIÓN 4
1. EVALUACIÓN INICIAL 5
2. ENCUESTA 5
A5 Política de seguridad 6
A6 Organización de la SI 6
A7 Seguridad de los RRHH 7
A8 Gestión de activos 8
A9 Control de accesos 8
A10 Criptografía 9
A11 Seguridad física y ambiental 9
A12 Seguridad en las operaciones 10
A13 Seguridad en las comunicaciones 11
A14 Adquisición de sistemas, desarrollo y mantenimiento 12
A15 Relación con proveedores 13
A16 Gestión de los incidentes de seguridad 13
A17 Continuidad del negocio 14
A18 Cumplimiento con requerimientos legales y contractuales 14
3. RESULTADOS 15
A5 Política de seguridad. 16
A6 Organización de la seguridad de la información. 16
A7 Seguridad de los RRHH. 17
A8 Gestión de activos. 18
A9 Control de accesos. 18
A10 Criptografía. 19
A11 Seguridad física y ambiental. 19
A12 Seguridad en las operaciones. 20
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 3 de 25
A13 Seguridad en las Comunicaciones. 21
A14 Adquisición de sistemas, desarrollo y mantenimiento. 22
A15 Relación con proveedores. 22
A16 Gestión de los incidentes de seguridad. 23
A17 Continuidad del negocio. 23
A18 Cumplimiento con requerimientos legales y contractuales. 24
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 4 de 25
0. INTRODUCCIÓN
El presente documento describe el estado de la Seguridad de la Información (SI) en Interfaces y Soluciones S.A.S (I&S) hasta la fecha. El diagnóstico de la SI en la organización es de los primeros pasos para la realización del plan de implementación del SGSI, de forma que se evalúa el cumplimiento de cada uno de los dominios descritos por la norma ISO/IEC 27001:2013.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 5 de 25
1. EVALUACIÓN INICIAL
Entre los pasos iniciales para desarrollar el plan de implementación del SGSI basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño y mejoras, los cuales se convierten en elementos esenciales para actuar según la norma. La evaluación permite establecer el nivel de cumplimiento de la norma en I&S. Por lo tanto, las respuestas posibles para la encuesta aplicada son: NC, CP, CS. De acuerdo a la información que se presenta en la siguiente tabla: Tabla 1 Parámetros de evaluación
Sigla Estado de Evaluación Descripción
NC NO CUMPLE No existe y/o no se está haciendo
CP CUMPLE PARCIALMENTE
Lo que la norma requiere (ISO/IEC 27001 versión 2013) se está haciendo de manera parcial, se está haciendo diferente, no está documentado, se definió y aprobó pero no se gestiona
CS CUMPLE SATISFACTORIAMENTE
Existe, es gestionado, se está cumpliendo con lo que la norma ISO/IEC 27001 versión 2013 solicita, está documentado, es conocido y aplicado por todos los involucrados en el SGSI cumple 100%
Tabla 1. Fuente: Elaboración Propia
2. ENCUESTA
A continuación se presenta la encuesta aplicada en Interfaces y Soluciones a Jorge Luis Pérez, gerente de proyectos de la organización. Con la encuesta se evalúan 106 ítems que hacen referencia a los dominios de: Política de seguridad, Organización de la SI, Seguridad de los RRHH, Gestión de activos, Control de accesos, Criptografía, Seguridad física y ambiental, Seguridad en las operaciones, Seguridad en las comunicaciones, Adquisición de sistemas, desarrollo y mantenimiento, Relación con proveedores, Gestión de los incidentes de seguridad, Continuidad del negocio y Cumplimiento con requerimientos legales y contractuales.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 6 de 25
A5 Política de seguridad Tabla 2 Encuesta A5
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A5 Política de seguridad Existen documento(s) de políticas de seguridad de SI NC
A5 Política de seguridad Existe normativa relativa a la seguridad de los SI NC
A5 Política de seguridad Existen procedimientos relativos a la seguridad de SI CP
A5 Política de seguridad Existe un responsable de las políticas, normas y procedimientos CP
A5 Política de seguridad Existen mecanismos para la comunicación a los usuarios de las normas NC
A5 Política de seguridad Existen controles regulares para verificar la efectividad de las políticas NC
Fuente: Elaboración Propia A6 Organización de la SI Tabla 3 Encuesta A6
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A6 Organización de la SI Existen roles y responsabilidades definidos para las personas implicadas en la seguridad CP
A6 Organización de la SI Existe un responsable encargado de evaluar la adquisición y cambios de SI CP
A6 Organización de la SI La Dirección y las áreas de la Organización participa en temas de seguridad CS
A6 Organización de la SI Existen condiciones contractuales de seguridad con terceros y outsourcing NC
A6 Organización de la SI Existen criterios de seguridad en el manejo de terceras partes CP
A6 Organización de la SI Existen programas de formación en seguridad para los empleados, clientes y terceros NC
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 7 de 25
A6 Organización de la SI Existe un acuerdo de confidencialidad de la información a la que se accede CS
A6 Organización de la SI Se revisa la organización de la seguridad periódicamente por una empresa externa NC
Fuente: Elaboración Propia A7 Seguridad de los RRHH Tabla 4 Encuesta A7
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A7 Seguridad de los RRHH
Se tienen definidas responsabilidades y roles de seguridad CP
A7 Seguridad de los RRHH
Se tiene en cuenta la seguridad en la selección y baja del personal
CP
A7 Seguridad de los RRHH
Se plasman las condiciones de confidencialidad y responsabilidades en los contratos
CS
A7 Seguridad de los RRHH
Se imparte la formación adecuada de seguridad y tratamiento de activos
CP
A7 Seguridad de los RRHH
Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad
NC
A7 Seguridad de los RRHH
Se recogen los datos de los incidentes de forma detallada CP
A7 Seguridad de los RRHH
Informan los usuarios de las vulnerabilidades observadas o sospechadas
NC
A7 Seguridad de los RRHH
Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades
NC
A7 Seguridad de los RRHH
Existe un proceso disciplinario de la seguridad de la información
NC
Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 8 de 25
A8 Gestión de activos Tabla 5 Encuesta A8
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A8 Gestión de activos
Existe un inventario de activos actualizado CP
A8 Gestión de activos
El Inventario contiene activos de datos, software, equipos y servicios
CP
A8 Gestión de activos
Se dispone de una clasificación de la información según la criticidad de la misma
NC
A8 Gestión de activos
Existe un responsable de los activos CP
A8 Gestión de activos
Existen procedimientos para clasificar la información NC
A8 Gestión de activos
Existen procedimientos de etiquetado de la información NC
Fuente: Elaboración Propia
A9 Control de accesos Tabla 6 Encuesta A9
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A9 Control de accesos Existe una política de control de accesos CP
A9 Control de accesos Existe un procedimiento formal de registro y baja de accesos CP
A9 Control de accesos Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario NC
A9 Control de accesos Existe una gestión de los password de usuarios CP
A9 Control de accesos Existe una revisión de los derechos de acceso de los usuarios NC
A9 Control de accesos Existe el uso del password CS
A9 Control de accesos Se protege el acceso de los equipos desatendidos NC
A9 Control de accesos Existen políticas de limpieza en el escritorio de los equipos CP
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 9 de 25
A9 Control de accesos Existe una política de uso de los servicios de red NC
A9 Control de accesos Se asegura la ruta (path) desde el terminal al servicio NC
A9 Control de accesos Existe una autenticación de usuarios en conexiones externas CP
A9 Control de accesos Existe una autenticación de los nodos NC
A9 Control de accesos Existe un control de la conexión de redes NC
A9 Control de accesos Existe un control del routing de las redes NC
A9 Control de accesos Existe una identificación única de usuario y una automática de terminales NC
A9 Control de accesos Existen procedimientos de log-on al terminal NC
A9 Control de accesos Se ha incorporado medidas de seguridad a la computación móvil NC
A9 Control de accesos Está controlado el teletrabajo por la organización CP
Fuente: Elaboración Propia A10 Criptografía Tabla 7 Encuesta A10
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A10 Criptografía Existen controles criptográficos NC
A10 Criptografía Existen procedimientos para uso de llaves criptográficas NC
A10 Criptografía Existe una política para la protección y tiempo de vida de las llaves criptográficas NC
Fuente: Elaboración Propia A11 Seguridad física y ambiental Tabla 8 Encuesta A11
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A11 Seguridad física y ambiental
Existe perímetro de seguridad física(una pared, puerta con llave) CS
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 10 de 25
A11 Seguridad física y ambiental
Existen controles de entrada para protegerse frente al acceso de personal no autorizado CS
A11 Seguridad física y ambiental
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales CP
A11 Seguridad física y ambiental
En las áreas seguras existen controles adicionales al personal propio y ajeno CP
A11 Seguridad física y ambiental
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios CP
A11 Seguridad física y ambiental
Existen protecciones frente a fallos en la alimentación eléctrica NC
A11 Seguridad física y ambiental
Existe seguridad en el cableado frente a daños e intercepciones NC
A11 Seguridad física y ambiental
Se asegura la disponibilidad e integridad de todos los equipos CP
A11 Seguridad física y ambiental
Existe algún tipo de seguridad para los equipos retirados o ubicados externamente CP
A11 Seguridad física y ambiental Se incluye la seguridad en equipos móviles NC
Fuente: Elaboración Propia A12 Seguridad en las operaciones Tabla 9 Encuesta A12
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A12 Seguridad en las operaciones
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados CP
A12 Seguridad en las operaciones
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas CP
A12 Seguridad en las operaciones
Existe una separación de los entornos de desarrollo y producción CP
A12 Seguridad en las operaciones
Existen contratistas externos para la gestión de los Sistemas de Información NC
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 11 de 25
A12 Seguridad en las operaciones
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento CP
A12 Seguridad en las operaciones Controles contra software maligno CP
A12 Seguridad en las operaciones
Realizar copias de backup de la información esencial para el negocio CS
A12 Seguridad en las operaciones
Existen logs para las actividades realizadas por los operadores y administradores CP
A12 Seguridad en las operaciones Existen logs de los fallos detectados NC
A12 Seguridad en las operaciones Existen rastros de auditoría NC
A12 Seguridad en las operaciones
Hay establecidos controles para realizar la gestión de los medios informáticos(cintas, discos, removibles, informes impresos) NC
Fuente: Elaboración Propia A13 Seguridad en las comunicaciones Tabla 10 Encuesta A13
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A13 Seguridad en las comunicaciones Existe algún control en las redes NC
A13 Seguridad en las comunicaciones
Existe seguridad de la documentación de los Sistemas CP
A13 Seguridad en las comunicaciones
Existen acuerdos para intercambio de información y software CP
A13 Seguridad en las comunicaciones
Existen medidas de seguridad en el comercio electrónico NC
A13 Seguridad en las comunicaciones
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información publicada CS
A13 Seguridad en las comunicaciones
Existen medidas de seguridad en las transacciones en línea NC
Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 12 de 25
A14 Adquisición de sistemas, desarrollo y mantenimiento Tabla 11 Encuesta A14
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A14
Adquisición de sistemas, desarrollo y mantenimiento
Están establecidas las responsabilidades para controlar los cambios en equipos CP
A14
Adquisición de sistemas, desarrollo y mantenimiento
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones NC
A14
Adquisición de sistemas, desarrollo y mantenimiento
Se garantiza que la seguridad está implantada en los Sistemas de Información CP
A14
Adquisición de sistemas, desarrollo y mantenimiento Existe seguridad en las aplicaciones CP
A14
Adquisición de sistemas, desarrollo y mantenimiento
Existe seguridad en los ficheros de los sistemas CP
A14
Adquisición de sistemas, desarrollo y mantenimiento
Existe seguridad en los procesos de desarrollo, testing y soporte CP
A14
Adquisición de sistemas, desarrollo y mantenimiento
Existen controles de seguridad para los resultados de los sistemas CP
A14
Adquisición de sistemas, desarrollo y mantenimiento Existe la gestión de los cambios en los SO NC
A14
Adquisición de sistemas, desarrollo y mantenimiento
Se controlan las vulnerabilidades de los equipos NC
Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 13 de 25
A15 Relación con proveedores Tabla 12 Encuesta A15
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A15 Relación con proveedores
Existe una política de seguridad de la información para las relaciones con proveedores NC
A15 Relación con proveedores
Existe un acuerdo documentado con cada proveedor que tenga acceso a la infraestructura de TI NC
A15 Relación con proveedores
Se monitorean las actividades relacionadas a la seguridad con los proveedores NC
A15 Relación con proveedores
Los acuerdos con proveedores incluyen los requisitos para tratar los riesgos de la seguridad de la información NC
Fuente: Elaboración Propia A16 Gestión de los incidentes de seguridad Tabla 13 Encuesta A16
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A16
Gestión de los incidentes de seguridad
Están establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad NC
A16
Gestión de los incidentes de seguridad Se comunican los eventos de seguridad CP
A16
Gestión de los incidentes de seguridad Se comunican los debilidades de seguridad CS
A16
Gestión de los incidentes de seguridad
Existe definidas las responsabilidades ante un incidente CP
A16
Gestión de los incidentes de seguridad Existe un procedimiento formal de respuesta CP
A16
Gestión de los incidentes de seguridad Existe la gestión de incidentes NC
Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 14 de 25
A17 Continuidad del negocio Tabla 14 Encuesta A17
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A17 Continuidad del negocio
Existen procesos para la gestión de la continuidad NC
A17 Continuidad del negocio
Existe un plan de continuidad del negocio y análisis de impacto NC
A17 Continuidad del negocio
Existe un diseño, redacción e implantación de planes de continuidad NC
A17 Continuidad del negocio
Existe un marco de planificación para la continuidad del negocio NC
A17 Continuidad del negocio
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio NC
Fuente: Elaboración Propia A18 Cumplimiento con requerimientos legales y contractuales Tabla 15 Encuesta A18
SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO
A18
Cumplimiento con requerimientos legales y contractuales
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas CP
A18
Cumplimiento con requerimientos legales y contractuales
Existe el resguardo de la propiedad intelectual CS
A18
Cumplimiento con requerimientos legales y contractuales
Existe el resguardo de los registros de la organización CS
A18
Cumplimiento con requerimientos legales y contractuales
Existe una revisión de la política de seguridad y de la conformidad técnica NC
A18
Cumplimiento con requerimientos legales y contractuales
Existen consideraciones sobre las auditorías de los sistemas NC
Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 15 de 25
3. RESULTADOS
Tras el análisis se obtienen los siguientes resultados: Tabla 16 Resumen resultados
Dominio CS CP NC Items
Evaluados
A5 Política de seguridad 2 4 6
A6 Organización de la SI 2 3 3 8
A7 Seguridad de los RRHH 1 4 4 9
A8 Gestión de activos 3 3 6
A9 Control de accesos 1 6 11 18
A10 Criptografía 3 3
A11 Seguridad física y ambiental 2 5 3 10
A12 Seguridad en las operaciones 1 6 4 11
A13 Seguridad en las comunicaciones 1 2 3 6
A14 Adquisición de sistemas, desarrollo y mantenimiento 6 3 9
A15 Relación con proveedores 4 4
A16 Gestión de los incidentes de seguridad 1 3 2 6
A17 Continuidad del negocio 5 5
A18 Cumplimiento con requerimientos legales y contractuales 2 1 2 5
Suma total 11 41 54 106 Fuente: Elaboración Propia
54 de los ítems evaluados no se cumplen. 41 de los ítems evaluados son cumplidos parcialmente. 11 de los ítems evaluados se cumplen satisfactoriamente.
Gráfico 1. Resultado General
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 16 de 25
A nivel general, se destaca que se requiere una intervención inmediata a nivel de los dominios relacionados con políticas de seguridad, continuidad del negocio, criptografía y relación con los proveedores, puesto que son los que tienen mayor índice de incumplimiento con la norma y afectan la seguridad de la información que se requiere. A continuación se da un breve resumen de los hallazgos por cada dominio evaluado:
A5 Política de seguridad. Se busca que la dirección brinde orientación y soporte para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. Se observa que I&S tiene carencia documental de políticas, procedimientos y controles para garantizar la seguridad de la información.
Gráfico 2. Resultado Evaluación A5 Fuente: Elaboración Propia
A6 Organización de la seguridad de la información.
Se busca un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Se observa que I&S ha avanzado en la tarea de acuerdos de confidencialidad, la dirección junto con los miembros líder, intentan cambiar y mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y responsabilidades con respecto a la seguridad.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 17 de 25
Gráfico 3. Resultado Evaluación A6 Fuente: Elaboración Propia
A7 Seguridad de los RRHH.
Se busca garantías de que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. Debido a que no existe una definición clara de responsabilidades y roles de seguridad, como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias para proteger los intereses de la organización, principalmente, en los procesos de cambio o terminación de empleo y la detección de vulnerabilidades.
Gráfico 4. Resultado Evaluación A7 Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 18 de 25
A8 Gestión de activos.
Se deben identificar los activos organizacionales y definir las responsabilidades de protección adecuadas asegurando que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. Se observa que I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no está totalmente actualizado y hacen falta procedimientos documentados y comunicados al personal para la clasificación de la información según su criticidad.
Gráfico 5. Resultado Evaluación A8 Fuente: Elaboración Propia
A9 Control de accesos.
Es de vital importancia limitar el acceso a información y a instalaciones de procesamiento de información asegurando el acceso de los usuarios autorizados y evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace uso de contraseñas como medida para restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de desarrollar políticas de control de accesos, gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han tomado medidas basadas en el sentido común. Sin embargo, no existe documentación formal y/o estandarizada.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 19 de 25
Gráfico 6. Resultado Evaluación A9 Fuente: Elaboración Propia
A10 Criptografía. Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para proteger la confidencialidad, autenticidad y/o la integridad de la información. Se observa que en I&S no existen procedimientos sobre el uso, protección y tiempo de vida de las llaves criptográficas. De hecho no existen controles criptográficos de forma que la información crítica puede verse expuesta fácilmente a amenazas de seguridad.
Gráfico 7. Resultado Evaluación A10 Fuente: Elaboración Propia
A11 Seguridad física y ambiental. Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no autorizado, el daño y la interferencia a la información. No obstante, se aconseja tomar acciones específicas, documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización. Puesto que se evidencia falta de protección frente a fallos en la alimentación eléctrica,
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 20 de 25
falta de seguridad en el cableado y no existen restricciones en el uso de equipos móviles.
Gráfico 8. Resultado Evaluación A11 Fuente: Elaboración Propia
A12 Seguridad en las operaciones.
Con la seguridad en las operaciones se busca obtener operaciones correctas y seguras de las instalaciones de procesamiento de información. Aquí, se incluyen controles contra códigos maliciosos, respaldo de la información, separación de los ambientes de desarrollo, pruebas y operación, registro de eventos. De forma empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de cumplimiento parcial. Pero es necesario documentar y poner a disposición los procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se detecta problemas principalmente en:
● Implementación de logs para la detección y seguimiento a fallos. ● Ausencia de auditorías internas y/o externas. ● Falta de controles para la gestión de medios informáticos (cintas, discos,
removibles, informes impresos).
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 21 de 25
Gráfico 9. Resultado Evaluación A12 Fuente: Elaboración Propia
A13 Seguridad en las Comunicaciones.
El nivel de preocupación por asegurar la protección de la información en las redes y la transferencia de información en I&S se ha enfocado en la implementación de medidas para proteger la confidencialidad e integridad de información publicada y acuerdos para intercambio de información y software con los clientes. Sin embargo, se encuentran falencias en cuanto al control de las redes y transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan las vulnerabilidades existentes.
Gráfico 10. Resultado Evaluación A13 Fuente: Elaboración Propia
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 22 de 25
A14 Adquisición de sistemas, desarrollo y mantenimiento.
El personal de I&S ha implementado tareas correspondientes a los procesos de adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común. Aunque, no hay comunicación formal de procedimientos estandarizados. Con las tareas realizadas se busca garantizar la seguridad de la información durante todo el ciclo de vida de los sistemas de información pero se requiere establecer y aplicar reglas para el desarrollo de software y de sistemas, junto con, la documentación, supervisión y seguimiento a las aplicaciones críticas del negocio.
Gráfico 11. Resultado Evaluación A14 Fuente: Elaboración Propia
A15 Relación con proveedores.
En I&S la relación con los proveedores se ha basado en una confidencialidad asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se estipulen todos los requisitos de seguridad de la información pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización. En este punto es indispensable asegurar la protección de los activos de la organización que sean accesibles a los proveedores y mantener el nivel acordado de seguridad de la información y de prestación del servicio alineado con los acuerdos que corresponden a los proveedores.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 23 de 25
Gráfico 12. Resultado Evaluación A15 Fuente: Elaboración Propia
A16 Gestión de los incidentes de seguridad.
La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir responsabilidades y procedimientos que faciliten la evaluación de tales eventos y decisiones sobre ellos. Adicionalmente, no se encuentra una gestión de incidentes adecuada que incluya la recolección de evidencia y permita reducir la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.
Gráfico 13. Resultado Evaluación A16 Fuente: Elaboración Propia
A17 Continuidad del negocio.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 24 de 25
En este dominio se hace necesario planificar, implementar, verificar, revisar y evaluar la continuidad de la seguridad de la información. I&S debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa puesto que en la encuesta realizada no se muestra evidencia de la existencia de los elementos esenciales para ello.
Gráfico 14. Resultado Evaluación A17 Fuente: Elaboración Propia
A18 Cumplimiento con requerimientos legales y contractuales.
Con el propósito de evitar el incumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con seguridad de la información I&S ha optado por tomar medidas parciales como el resguardo de la propiedad intelectual y de los registros de la organización: los documentos físicos están bajo llave en zonas seguras y solo pueden ser accedidos por personal autorizado. Sin embargo, la ausencia de políticas de seguridad, controles criptográficos y conformidades técnicas crean un estado de incertidumbre con respecto al cumplimiento de políticas y normas de seguridad incluyendo la privacidad y protección de los datos.
ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 25 de 25
Gráfico 15. Resultado Evaluación A18 Fuente: Elaboración Propia