Plan de implementación del SGSI basado en la norma ISO 27001:2013 para la empresa Interfaces y Soluciones S A S

Texto completo

(1)ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 1 de 25. ANEXO A. INTERFACES Y SOLUCIONES S.A.S DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 DI-SGSI-01. Elaborado Por:. Revisado Por:. Aprobado Por:. Ing. Jairo Hernández Gutiérrez. Ing. Jorge Pérez Acosta. Fecha: junio 2017. Fecha: junio 2017. Fecha: junio 2017. Cargo: Pasantes a cargo del SGSI. Cargo: Director y Asesor del trabajo de grado. Cargo: Director de Proyectos I&S. Yasmin Suárez Adriana Moyano.

(2) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 2 de 25. Tabla de Contenido. 0.. INTRODUCCIÓN. 4. 1.. EVALUACIÓN INICIAL. 5. 2.. ENCUESTA. 5. 3.. A5 Política de seguridad. 6. A6 Organización de la SI. 6. A7 Seguridad de los RRHH. 7. A8 Gestión de activos. 8. A9 Control de accesos. 8. A10 Criptografía. 9. A11 Seguridad física y ambiental. 9. A12 Seguridad en las operaciones. 10. A13 Seguridad en las comunicaciones. 11. A14 Adquisición de sistemas, desarrollo y mantenimiento. 12. A15 Relación con proveedores. 13. A16 Gestión de los incidentes de seguridad. 13. A17 Continuidad del negocio. 14. A18 Cumplimiento con requerimientos legales y contractuales. 14. RESULTADOS. 15. A5 Política de seguridad.. 16. A6 Organización de la seguridad de la información.. 16. A7 Seguridad de los RRHH.. 17. A8 Gestión de activos.. 18. A9 Control de accesos.. 18. A10 Criptografía.. 19. A11 Seguridad física y ambiental.. 19. A12 Seguridad en las operaciones.. 20.

(3) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 3 de 25. A13 Seguridad en las Comunicaciones.. 21. A14 Adquisición de sistemas, desarrollo y mantenimiento.. 22. A15 Relación con proveedores.. 22. A16 Gestión de los incidentes de seguridad.. 23. A17 Continuidad del negocio.. 23. A18 Cumplimiento con requerimientos legales y contractuales.. 24.

(4) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 4 de 25. 0. INTRODUCCIÓN. El presente documento describe el estado de la Seguridad de la Información (SI) en Interfaces y Soluciones S.A.S (I&S) hasta la fecha. El diagnóstico de la SI en la organización es de los primeros pasos para la realización del plan de implementación del SGSI, de forma que se evalúa el cumplimiento de cada uno de los dominios descritos por la norma ISO/IEC 27001:2013..

(5) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 5 de 25. 1. EVALUACIÓN INICIAL Entre los pasos iniciales para desarrollar el plan de implementación del SGSI basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño y mejoras, los cuales se convierten en elementos esenciales para actuar según la norma. La evaluación permite establecer el nivel de cumplimiento de la norma en I&S. Por lo tanto, las respuestas posibles para la encuesta aplicada son: NC, CP, CS. De acuerdo a la información que se presenta en la siguiente tabla: Tabla 1 Parámetros de evaluación. Sigla. Estado de Evaluación. Descripción. NC. NO CUMPLE. CP. Lo que la norma requiere (ISO/IEC 27001 versión 2013) se está haciendo de manera parcial, se está CUMPLE PARCIALMENTE haciendo diferente, no está documentado, se definió y aprobó pero no se gestiona. CS. Existe, es gestionado, se está cumpliendo con lo que la norma ISO/IEC 27001 versión 2013 solicita, está documentado, es conocido y aplicado por todos los involucrados en el SGSI cumple 100%. No existe y/o no se está haciendo. CUMPLE SATISFACTORIAMENTE. Tabla 1. Fuente: Elaboración Propia. 2. ENCUESTA A continuación se presenta la encuesta aplicada en Interfaces y Soluciones a Jorge Luis Pérez, gerente de proyectos de la organización. Con la encuesta se evalúan 106 ítems que hacen referencia a los dominios de: Política de seguridad, Organización de la SI, Seguridad de los RRHH, Gestión de activos, Control de accesos, Criptografía, Seguridad física y ambiental, Seguridad en las operaciones, Seguridad en las comunicaciones, Adquisición de sistemas, desarrollo y mantenimiento, Relación con proveedores, Gestión de los incidentes de seguridad, Continuidad del negocio y Cumplimiento con requerimientos legales y contractuales..

(6) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 6 de 25. A5 Política de seguridad Tabla 2 Encuesta A5. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A5. Política de seguridad. Existen documento(s) de políticas de seguridad de SI. NC. A5. Política de seguridad. Existe normativa relativa a la seguridad de los SI. NC. A5. Política de seguridad. Existen procedimientos relativos a la seguridad de SI. CP. A5. Política de seguridad. Existe un responsable de las políticas, normas y procedimientos. CP. A5. Política de seguridad. Existen mecanismos para la comunicación a los usuarios de las normas. NC. Política de seguridad. Existen controles regulares para verificar la efectividad de las políticas. NC. A5. Fuente: Elaboración Propia. A6 Organización de la SI Tabla 3 Encuesta A6. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A6. Existen roles y responsabilidades definidos para las Organización de la SI personas implicadas en la seguridad CP. A6. Existe un responsable encargado de evaluar la Organización de la SI adquisición y cambios de SI. CP. A6. La Dirección y las áreas de la Organización Organización de la SI participa en temas de seguridad. CS. A6. Existen condiciones contractuales de seguridad Organización de la SI con terceros y outsourcing. NC. A6. Existen criterios de seguridad en el manejo de Organización de la SI terceras partes. CP. A6. Existen programas de formación en seguridad para Organización de la SI los empleados, clientes y terceros NC.

(7) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 7 de 25. A6. Existe un acuerdo de confidencialidad de la Organización de la SI información a la que se accede. CS. A6. Se revisa la organización de la seguridad Organización de la SI periódicamente por una empresa externa. NC. Fuente: Elaboración Propia. A7 Seguridad de los RRHH Tabla 4 Encuesta A7. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A7. Seguridad de los Se tienen definidas responsabilidades y roles de seguridad RRHH. CP. A7. Seguridad de los Se tiene en cuenta la seguridad en la selección y baja del RRHH personal. CP. A7. Seguridad de los Se plasman las condiciones de confidencialidad y RRHH responsabilidades en los contratos. CS. A7. Seguridad de los Se imparte la formación adecuada de seguridad y RRHH tratamiento de activos. CP. A7. Seguridad de los Existe un canal y procedimientos claros a seguir en caso de NC RRHH incidente de seguridad. A7. Seguridad de los Se recogen los datos de los incidentes de forma detallada RRHH. A7. Seguridad de los Informan los usuarios de las vulnerabilidades observadas o NC RRHH sospechadas. A7. Seguridad de los Se informa a los usuarios de que no deben, bajo ninguna RRHH circunstancia, probar las vulnerabilidades. NC. A7. Seguridad de los Existe un proceso disciplinario de la seguridad de la RRHH información. NC. Fuente: Elaboración Propia. CP.

(8) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 8 de 25. A8 Gestión de activos Tabla 5 Encuesta A8. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A8. Gestión de activos. Existe un inventario de activos actualizado. CP. A8. Gestión de activos. El Inventario contiene activos de datos, software, equipos y CP servicios. A8. Gestión de activos. Se dispone de una clasificación de la información según la NC criticidad de la misma. A8. Gestión de activos. Existe un responsable de los activos. CP. A8. Gestión de activos. Existen procedimientos para clasificar la información. NC. A8. Gestión de activos. Existen procedimientos de etiquetado de la información. NC. Fuente: Elaboración Propia. A9 Control de accesos Tabla 6 Encuesta A9. SECCIÓN A9. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. Control de accesos. Existe una política de control de accesos. Control de accesos. Existe un procedimiento formal de registro y baja de accesos CP. A9. Control de accesos. Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario. NC. A9. Control de accesos. Existe una gestión de los password de usuarios. CP. A9. Control de accesos. Existe una revisión de los derechos de acceso de los usuarios. NC. A9. Control de accesos. Existe el uso del password. CS. Control de accesos. Se protege el acceso de los equipos desatendidos. NC. Control de accesos. Existen políticas de limpieza en el escritorio de los equipos CP. A9. A9 A9. CP.

(9) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 9 de 25. A9. Control de accesos. Existe una política de uso de los servicios de red. NC. A9. Control de accesos. Se asegura la ruta (path) desde el terminal al servicio. NC. A9. Control de accesos. Existe una autenticación de usuarios en conexiones externas. CP. A9. Control de accesos. Existe una autenticación de los nodos. NC. A9. Control de accesos. Existe un control de la conexión de redes. NC. A9. Control de accesos. Existe un control del routing de las redes. NC. A9. Control de accesos. Existe una identificación única de usuario y una automática de terminales NC. A9. Control de accesos. Existen procedimientos de log-on al terminal NC. A9. Control de accesos. Se ha incorporado medidas de seguridad a la computación móvil. NC. A9. Control de accesos. Está controlado el teletrabajo por la organización. CP. Fuente: Elaboración Propia. A10 Criptografía Tabla 7 Encuesta A10. SECCIÓN A10 A10 A10. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. Criptografía. Existen controles criptográficos. NC. Criptografía. Existen procedimientos para uso de llaves criptográficas. NC. Criptografía. Existe una política para la protección y tiempo de vida de las llaves criptográficas. NC. Fuente: Elaboración Propia. A11 Seguridad física y ambiental Tabla 8 Encuesta A11. SECCIÓN A11. DOMINIO Seguridad física y ambiental. ELEMENTO A EVALUAR Existe perímetro de seguridad física(una pared, puerta con llave). HALLAZGO CS.

(10) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 10 de 25. A11. Seguridad física y ambiental. Existen controles de entrada para protegerse frente al acceso de personal no autorizado. A11. Seguridad física y ambiental. Un área segura ha de estar cerrada, aislada y protegida de eventos naturales CP. A11. Seguridad física y ambiental. En las áreas seguras existen controles adicionales al personal propio y ajeno. CP. A11. Seguridad física y ambiental. La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. CP. A11. Seguridad física y ambiental. Existen protecciones frente a fallos en la alimentación eléctrica. NC. A11. Seguridad física y ambiental. Existe seguridad en el cableado frente a daños e intercepciones. NC. A11. Seguridad física y ambiental. Se asegura la disponibilidad e integridad de todos los equipos CP. A11. Seguridad física y ambiental. Existe algún tipo de seguridad para los equipos retirados o ubicados externamente CP. A11. Seguridad física y ambiental. Se incluye la seguridad en equipos móviles NC. CS. Fuente: Elaboración Propia. A12 Seguridad en las operaciones Tabla 9 Encuesta A12. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A12. Seguridad en las operaciones. Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados CP. A12. Seguridad en las operaciones. Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas CP. A12. Seguridad en las operaciones. Existe una separación de los entornos de desarrollo y producción. A12. Seguridad en las operaciones. Existen contratistas externos para la gestión de los Sistemas de Información NC. CP.

(11) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 11 de 25. A12. Seguridad en las operaciones. Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento CP. A12. Seguridad en las operaciones. Controles contra software maligno. A12. Seguridad en las operaciones. Realizar copias de backup de la información esencial para el negocio CS. A12. Seguridad en las operaciones. Existen logs para las actividades realizadas por los operadores y administradores CP. A12. Seguridad en las operaciones. Existen logs de los fallos detectados. NC. A12. Seguridad en las operaciones. Existen rastros de auditoría. NC. A12. Seguridad en las operaciones. Hay establecidos controles para realizar la gestión de los medios informáticos(cintas, discos, removibles, informes impresos). NC. CP. Fuente: Elaboración Propia. A13 Seguridad en las comunicaciones Tabla 10 Encuesta A13. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A13. Seguridad en las comunicaciones. Existe algún control en las redes. NC. A13. Seguridad en las comunicaciones. Existe seguridad de la documentación de los Sistemas. CP. A13. Seguridad en las comunicaciones. Existen acuerdos para intercambio de información y software. CP. A13. Seguridad en las comunicaciones. Existen medidas de seguridad en el comercio electrónico. NC. A13. Seguridad en las comunicaciones. Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información publicada. CS. A13. Seguridad en las comunicaciones. Existen medidas de seguridad en las transacciones en línea. NC. Fuente: Elaboración Propia.

(12) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 12 de 25. A14 Adquisición de sistemas, desarrollo y mantenimiento Tabla 11 Encuesta A14. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A14. Adquisición de sistemas, desarrollo y mantenimiento. Están establecidas las responsabilidades para controlar los cambios en equipos. CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones. NC. A14. Adquisición de sistemas, desarrollo y mantenimiento. Se garantiza que la seguridad está implantada en los Sistemas de Información CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existe seguridad en las aplicaciones. CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existe seguridad en los ficheros de los sistemas. CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existe seguridad en los procesos de desarrollo, testing y soporte. CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existen controles de seguridad para los resultados de los sistemas. CP. A14. Adquisición de sistemas, desarrollo y mantenimiento. Existe la gestión de los cambios en los SO. NC. A14. Adquisición de sistemas, desarrollo y mantenimiento. Se controlan las vulnerabilidades de los equipos. NC. Fuente: Elaboración Propia.

(13) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 13 de 25. A15 Relación con proveedores Tabla 12 Encuesta A15. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. Relación con proveedores. Existe una política de seguridad de la información para las relaciones con proveedores. NC. A15. Relación con proveedores. Existe un acuerdo documentado con cada proveedor que tenga acceso a la infraestructura de TI. NC. A15. Relación con proveedores. Se monitorean las actividades relacionadas a la seguridad con los proveedores NC. Relación con proveedores. Los acuerdos con proveedores incluyen los requisitos para tratar los riesgos de la seguridad de la información NC. A15. A15. Fuente: Elaboración Propia. A16 Gestión de los incidentes de seguridad Tabla 13 Encuesta A16. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A16. Gestión de los incidentes de seguridad. Están establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad. NC. A16. Gestión de los incidentes de seguridad. Se comunican los eventos de seguridad. CP. A16. Gestión de los incidentes de seguridad. Se comunican los debilidades de seguridad CS. A16. Gestión de los incidentes de seguridad. Existe definidas las responsabilidades ante un incidente. A16. Gestión de los incidentes de seguridad. Existe un procedimiento formal de respuesta CP. A16. Gestión de los incidentes de seguridad. Existe la gestión de incidentes. Fuente: Elaboración Propia. CP. NC.

(14) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 14 de 25. A17 Continuidad del negocio Tabla 14 Encuesta A17. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR para. la. gestión. HALLAZGO. A17. Continuidad del negocio. Existen procesos continuidad. de. la. A17. Continuidad del negocio. Existe un plan de continuidad del negocio y análisis de impacto NC. A17. Continuidad del negocio. Existe un diseño, redacción e implantación de planes de continuidad NC. A17. Continuidad del negocio. Existe un marco de continuidad del negocio. A17. Continuidad del negocio. Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio NC. NC. planificación. para. la NC. Fuente: Elaboración Propia. A18 Cumplimiento con requerimientos legales y contractuales Tabla 15 Encuesta A18. SECCIÓN. DOMINIO. ELEMENTO A EVALUAR. HALLAZGO. A18. Cumplimiento requerimientos contractuales. con Se tiene en cuenta el cumplimiento legales y con la legislación por parte de los sistemas CP. A18. Cumplimiento requerimientos contractuales. con legales y Existe el resguardo de la propiedad intelectual CS. A18. Cumplimiento requerimientos contractuales. con legales y Existe el resguardo de los registros de la organización CS. A18. Cumplimiento requerimientos contractuales. con Existe una revisión de la política de legales y seguridad y de la conformidad técnica NC. A18. Cumplimiento requerimientos contractuales. con legales y Existen consideraciones sobre las auditorías de los sistemas NC. Fuente: Elaboración Propia.

(15) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 15 de 25. 3. RESULTADOS Tras el análisis se obtienen los siguientes resultados: Tabla 16 Resumen resultados. Dominio A5. Política de seguridad. A6. Organización de la SI. A7. Seguridad de los RRHH. A8. Gestión de activos. A9. Control de accesos. CS. CP. Items Evaluados. NC 2. 4. 6. 2. 3. 3. 8. 1. 4. 4. 9. 3. 3. 6. 6. 11. 18. 3. 3. 1. A10 Criptografía A11 Seguridad física y ambiental. 2. 5. 3. 10. A12 Seguridad en las operaciones. 1. 6. 4. 11. A13 Seguridad en las comunicaciones. 1. 2. 3. 6. 6. 3. 9. 4. 4. 2. 6. 5. 5. 2. 5. A14 Adquisición de sistemas, desarrollo y mantenimiento A15 Relación con proveedores A16 Gestión de los incidentes de seguridad. 1. 3. A17 Continuidad del negocio A18 Cumplimiento con requerimientos legales y contractuales Suma total. 2 11. 1 41. 54. Fuente: Elaboración Propia. 54 de los ítems evaluados no se cumplen. 41 de los ítems evaluados son cumplidos parcialmente. 11 de los ítems evaluados se cumplen satisfactoriamente.. Gráfico 1. Resultado General. 106.

(16) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 16 de 25. A nivel general, se destaca que se requiere una intervención inmediata a nivel de los dominios relacionados con políticas de seguridad, continuidad del negocio, criptografía y relación con los proveedores, puesto que son los que tienen mayor índice de incumplimiento con la norma y afectan la seguridad de la información que se requiere. A continuación se da un breve resumen de los hallazgos por cada dominio evaluado: A5 Política de seguridad. Se busca que la dirección brinde orientación y soporte para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. Se observa que I&S tiene carencia documental de políticas, procedimientos y controles para garantizar la seguridad de la información.. Gráfico 2. Resultado Evaluación A5. Fuente: Elaboración Propia. A6 Organización de la seguridad de la información. Se busca un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Se observa que I&S ha avanzado en la tarea de acuerdos de confidencialidad, la dirección junto con los miembros líder, intentan cambiar y mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y responsabilidades con respecto a la seguridad..

(17) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 17 de 25. Gráfico 3. Resultado Evaluación A6. Fuente: Elaboración Propia. A7 Seguridad de los RRHH. Se busca garantías de que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. Debido a que no existe una definición clara de responsabilidades y roles de seguridad, como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias para proteger los intereses de la organización, principalmente, en los procesos de cambio o terminación de empleo y la detección de vulnerabilidades.. Gráfico 4. Resultado Evaluación A7. Fuente: Elaboración Propia.

(18) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 18 de 25. A8 Gestión de activos. Se deben identificar los activos organizacionales y definir las responsabilidades de protección adecuadas asegurando que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. Se observa que I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no está totalmente actualizado y hacen falta procedimientos documentados y comunicados al personal para la clasificación de la información según su criticidad.. Gráfico 5. Resultado Evaluación A8. Fuente: Elaboración Propia. A9 Control de accesos. Es de vital importancia limitar el acceso a información y a instalaciones de procesamiento de información asegurando el acceso de los usuarios autorizados y evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace uso de contraseñas como medida para restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de desarrollar políticas de control de accesos, gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han tomado medidas basadas en el sentido común. Sin embargo, no existe documentación formal y/o estandarizada..

(19) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 19 de 25. Gráfico 6. Resultado Evaluación A9. Fuente: Elaboración Propia. A10 Criptografía. Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para proteger la confidencialidad, autenticidad y/o la integridad de la información. Se observa que en I&S no existen procedimientos sobre el uso, protección y tiempo de vida de las llaves criptográficas. De hecho no existen controles criptográficos de forma que la información crítica puede verse expuesta fácilmente a amenazas de seguridad.. Gráfico 7. Resultado Evaluación A10. Fuente: Elaboración Propia. A11 Seguridad física y ambiental. Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no autorizado, el daño y la interferencia a la información. No obstante, se aconseja tomar acciones específicas, documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización. Puesto que se evidencia falta de protección frente a fallos en la alimentación eléctrica,.

(20) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 20 de 25. falta de seguridad en el cableado y no existen restricciones en el uso de equipos móviles.. Gráfico 8. Resultado Evaluación A11. Fuente: Elaboración Propia. A12 Seguridad en las operaciones. Con la seguridad en las operaciones se busca obtener operaciones correctas y seguras de las instalaciones de procesamiento de información. Aquí, se incluyen controles contra códigos maliciosos, respaldo de la información, separación de los ambientes de desarrollo, pruebas y operación, registro de eventos. De forma empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de cumplimiento parcial. Pero es necesario documentar y poner a disposición los procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se detecta problemas principalmente en: ● Implementación de logs para la detección y seguimiento a fallos. ● Ausencia de auditorías internas y/o externas. ● Falta de controles para la gestión de medios informáticos (cintas, discos, removibles, informes impresos)..

(21) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 21 de 25. Gráfico 9. Resultado Evaluación A12. Fuente: Elaboración Propia. A13 Seguridad en las Comunicaciones. El nivel de preocupación por asegurar la protección de la información en las redes y la transferencia de información en I&S se ha enfocado en la implementación de medidas para proteger la confidencialidad e integridad de información publicada y acuerdos para intercambio de información y software con los clientes. Sin embargo, se encuentran falencias en cuanto al control de las redes y transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan las vulnerabilidades existentes.. Gráfico 10. Resultado Evaluación A13. Fuente: Elaboración Propia.

(22) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 22 de 25. A14 Adquisición de sistemas, desarrollo y mantenimiento. El personal de I&S ha implementado tareas correspondientes a los procesos de adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común. Aunque, no hay comunicación formal de procedimientos estandarizados. Con las tareas realizadas se busca garantizar la seguridad de la información durante todo el ciclo de vida de los sistemas de información pero se requiere establecer y aplicar reglas para el desarrollo de software y de sistemas, junto con, la documentación, supervisión y seguimiento a las aplicaciones críticas del negocio.. Gráfico 11. Resultado Evaluación A14. Fuente: Elaboración Propia. A15 Relación con proveedores. En I&S la relación con los proveedores se ha basado en una confidencialidad asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se estipulen todos los requisitos de seguridad de la información pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización. En este punto es indispensable asegurar la protección de los activos de la organización que sean accesibles a los proveedores y mantener el nivel acordado de seguridad de la información y de prestación del servicio alineado con los acuerdos que corresponden a los proveedores..

(23) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 23 de 25. Gráfico 12. Resultado Evaluación A15. Fuente: Elaboración Propia. A16 Gestión de los incidentes de seguridad. La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir responsabilidades y procedimientos que faciliten la evaluación de tales eventos y decisiones sobre ellos. Adicionalmente, no se encuentra una gestión de incidentes adecuada que incluya la recolección de evidencia y permita reducir la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.. Gráfico 13. Resultado Evaluación A16. Fuente: Elaboración Propia. A17 Continuidad del negocio..

(24) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Versión. 1.0. Fecha: junio 2017. Página: 24 de 25. En este dominio se hace necesario planificar, implementar, verificar, revisar y evaluar la continuidad de la seguridad de la información. I&S debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa puesto que en la encuesta realizada no se muestra evidencia de la existencia de los elementos esenciales para ello.. Gráfico 14. Resultado Evaluación A17. Fuente: Elaboración Propia. A18 Cumplimiento con requerimientos legales y contractuales. Con el propósito de evitar el incumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con seguridad de la información I&S ha optado por tomar medidas parciales como el resguardo de la propiedad intelectual y de los registros de la organización: los documentos físicos están bajo llave en zonas seguras y solo pueden ser accedidos por personal autorizado. Sin embargo, la ausencia de políticas de seguridad, controles criptográficos y conformidades técnicas crean un estado de incertidumbre con respecto al cumplimiento de políticas y normas de seguridad incluyendo la privacidad y protección de los datos..

(25) ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 Información Clasificada. Gráfico 15. Resultado Evaluación A18. Fuente: Elaboración Propia. Versión. 1.0. Fecha: junio 2017. Página: 25 de 25.

(26)