ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458"

Transcripción

1 ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD INFORMATICA 2014

2 ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZPEÑARANDA WENDY CARRASCAL VILLAMIZAR Presentado a: JEAN POLO CEQUEDA OLAGO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD INFORMATICA 2014

3 OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA ANEXO A Control Titular Aplica Declaración si/no A.5 Política de seguridad A. 5.1 Orientación de la dirección para la gestión de la A Política de El proceso de gestión financiera se encarga de administrar todos los recursos financieros bajo políticas de seguridad establecidas en la universidad, es de suma importancia ya que estos definen lineamientos y planes para la seguridad A Revisión de la política de de la que allí se maneja. En el proceso de gestión financiera debe estar en constante revisión de las políticas de seguridad, ya que la que se maneja debe estar bajo continuo seguimiento, los procesos internos deben estar acorde a lo que se maneja actualmente y requiere que esté asegurada. A.6 Organización de la A.6.1 A A A A Organización interna Roles y responsabilidades para la seguridad de la Separación de deberes Contacto con las autoridades Contacto con grupos de interés especial El proceso de gestión financiera involucra al vicerrector administrativo, tesorero, jefe de contabilidad entre otros empleador cada uno de estos roles cuenta con unas responsabilidades definidas, que intervienen en la. Para la en el proceso de gestión financiera se encuentran definidas las responsabilidades de cada uno de los roles que intervienen en el proceso con el fin de llevar un control en cuento a la manipulación de los datos. Para el caso de cualquier incidente de robo, perdida o destrucción de los activos del proceso se debe contar con una comunicación con las autoridades pertinentes. Para el proceso de gestión financiera es importante estar en contacto con grupos de interés especialmente en el área de seguridad, y así mantenerse acorde con las metodologías pertinentes para mantener la

4 A A.6.2 A Seguridad de la en la gestión de proyectos Dispositivos móviles y teletrabajo Política para dispositivos móviles Dentro del objetivo del proceso de gestión financiera no se contempla la gestión de proyectos El proceso de gestión financiera no aplica políticas para la manipulación de dispositivos móviles ya que no hacen parte de los activos del proceso A Teletrabajo existe una política de seguridad para el control de la que es procesada o almacenada en lugares en los que se realiza teletrabajo. A.7 Seguridad de los recursos humanos 7.1 Antes de asumir el empleo Selección Se tiene en cuenta a la hora de realizar la selección del personal que esté capacitado para realizar las responsabilidades que tendrá en relación con el proceso tomando en cuenta las leyes, reglamentaciones, éticas pertinentes en relación con la manipulación de la del proceso Términos y condiciones del empleo 7.2 Durante la ejecución del empleo Responsabilidade s de la dirección Toma de conciencia, ejecución y formación en la Existen términos y condiciones para cada uno de los roles y de esta forma establecer responsabilidades de todos los empleados y así también las de la organización respecto a la El director del proceso en este caso el vicerrector administrativo lleva un seguimiento de sus empleados en cuanto a las políticas y procedimientos establecidos que debe cumplir cada uno respecto a la Es importante para el proceso de gestión financiera que sus empleados tengan conciencia, y educación en la para que de esta forma se haga un buen uso y manipulación de datos. A Proceso disciplinario Se mantiene informados a los empleados que se cometerán sanciones en contra de los que realicen violaciones de la

5 A.7.3 Terminación o cambio del empleo A Terminación o cambio de responsabilidades del empleo Se redefinen las responsabilidades en cuanto a los deberes de la para que no llegue a existir mala manipulación de la por parte de los empleados A.8 Gestión de activos A.8.1 A A A A.8.2 A A Responsabilidad por los activos Inventario de activos Propiedad de los activos Uso aceptable de los activos Clasificación de la Clasificación de la Etiquetado de la Es de gran importancia llevar un inventario de los activos del proceso de gestión financiera, y el uso de una metodología de conlleva a realizar una identificación de activos. Se lleva un seguimiento de quien es el responsable del activo de todos los activos identificados en el proceso de gestión financiera Se tienen un conjunto de reglas de la buena manipulación de los activos asociados al proceso de gestión financiera e instalaciones de procesamiento de la El proceso de gestión financiera maneja un criterio de clasificación de la, quien tiene acceso y manipulación a cierta. Con el fin de clasificar la del proceso de gestión financiera, esta es etiquetada según los criterios tomados por el director del proceso A Manejo de activos El proceso de gestión financiera de la ufps debe llevar un conjunto de procedimientos para el manejo de activos sobre todo para la manipulación de la del proceso. A.8.3 A A Manejo de medios Gestión de medios removibles Disposición de los medios El único control que se lleva en cuanto al manejo de medios ha sido la aplicación de la seguridad desde el recurso humano con los términos y condiciones del empleo y con asesorías a los empleados en cuanto a la con la manipulación de medios removibles Se dispone de forma segura de los medios cuando ya no se requieran sin que afecte en ningún sentido la A Medios físicos La protección de la del proceso se protege contra el acceso no autorizado por expertos en seguridad informática

6 A.9 Control de acceso A.9.1 A A A.9.2 A Requisitos del negocio para control de acceso Política de control El proceso de gestión financiera cuenta con de acceso políticas de control de acceso, con un protocolo de acceso a la en base a las responsabilidades de los empleados que Acceso a redes y a servicios de red Gestión de acceso de usuarios Registro y cancelación de registro de usuarios intervienen en el proceso. En el proceso de gestión financiera de la ufps cuenta con un control de acceso a redes y servicios de red los medios de computo están protegidos bajo políticas de seguridad informática. Se lleva a cabo un proceso de registro de usuarios que tienen acceso a las instalaciones, quipos y de esa forma a la del proceso de gestión financiera así como la asignación de los derechos de acceso A Suministro de acceso de usuarios Se lleva un control de acceso de usuarios para restringir el acceso de usuarios de todo tipo que no tengan relación al proceso de gestión financiera A A A A A.9.3 A Gestión de derechos de acceso privilegiado Gestión de de autenticación secreta de usuarios Revisión de los derechos de acceso de usuarios Retiro o ajuste de los derechos de acceso Responsabilidades de los usuarios Uso de de autenticación secreta aplica dentro del proceso de gestión financiera cada rol dentro del proceso tiene diferentes derechos al acceso de la El proceso de gestión financiera debe controlar por medio de procesos la autenticación secreta de usuarios Cada uno de los activos del proceso tiene responsables asignados y estos responsables deben revisar los controles de acceso por parte de usuarios a la manipulación de los activos Los derechos de acceso de los empleados del proceso de gestión financiera se eliminan al terminar su empleo Se exige a los empleados que intervienen en el proceso de gestión financiera que cumplan las reglas que establece el proceso en cuanto a la

7 A.9.4 A A A A Control de acceso a sistemas y aplicaciones Restricción de acceso a la Procedimiento de ingreso seguro stema de gestión de contraseñas Uso de programas utilitarios privilegiados A.10 Criptografía Existen políticas dentro del proceso que restringe el acceso a la y de esta forma mantener el control de la seguridad. Se tiene establecida y documentada una política de control de acceso a los activos identificados del proceso de gestión financiera. El proceso de gestión financiera cuenta con un sistema de gestión de contraseñas que garantiza la calidad de la s contraseñas. El proceso de gestión cuenta con controles que restringen el uso de programas utilitarios que podrían ser capaces de anular el sistema y de este modo atentar contra la 10.1 Controles criptográficos A Política sobre el uso de controles criptográficos El proceso de gestión financiera no cuenta con controles criptográficos para la protección de la A Gestión de llaves En el proceso de gestión financiera no existe una política de control de llaves criptográficas que puedan aportar a la protección de la. A.11 Seguridad física y del entorno A.11.1 A.11.1 A.11.1 A.11.1 A.11.2 A A A Áreas seguras Perímetro de seguridad física Controles de acceso físicos Seguridad de oficinas, recintos e instalaciones Equipos Ubicación y protección de los equipos Servicios de suministro Seguridad de cableado El proceso de gestión financiera implementa con controles para la protección de las instalaciones de manejo de confidencial Se implementan controles de seguridad físicos como cámaras, sensores entre otros, garantizando que solo se permite el acceso a personal autorizado Se implementa controles de seguridad a oficinas o recintos. Los equipos son ubicados en lugares seguros y protegidos contra riesgos de cualquier tipo. Los equipos son protegidos contra fallas de energía y otros daños causados por servicios de suministro Los equipos identificados como activos del proceso cuentan con cableado de energía eléctrica y de telecomunicaciones que brinda

8 A Mantenimiento de equipos soporte al proceso de gestión financiera de la ufps Los equipos cuentan con un mantenimiento periódico para garantizar el correcto funcionamiento y disponibilidad. A Retiro de activos Para el retiro de equipos por mantenimiento o cambios, se debe tener un control y autorización por el responsable del área. A A A A Seguridad de equipos y activos fuera de las instalaciones Disposición segura o reutilización de equipos Equipos de usuario desatendido Política de escritorio limpio y pantalla limpia A.12 Seguridad de las operaciones En caso de que los equipos se encuentren fuera de las instalaciones se debe tener en cuenta su cuidado ya que puede que cuenten con de uso diario. Es necesario realizar backup de la para que haya un respaldo y si es posible borrar toda la que puede ser sustraída por terceros de los equipos que serán enviados fuera de las instalaciones. Verificar que los equipos que no estén en uso estén protegidos de amenazas ambientales o de terceros. Ese control se lleva a cabo por cada persona en su puesto de trabajo. A.12.1 A A A A A.12.2 A A.12.3 Procedimientos operacionales y responsabilidades Procedimientos de operaciones documentados Gestión de cambios Gestión de capacidad Separación de ambientes de desarrollo, pruebas y operación Protección contra códigos maliciosos Controles contra códigos maliciosos Copias de respaldo Actualmente existen políticas para los pasos de realización de procesos internos dentro de la gestión financiera de ufps. Se debe contar con una documentación para establecer los cambios que se realicen de las operaciones. se realiza ningún seguimiento, a medida que se requiere, se va realizando los cambios. Ya que en realidad no se realizan grandes cambios. En la parte de gestión financiera se tiene establecidos los procesos en cada departamento y las funciones a realizar. Estos controles se realizan mediante análisis del sistema a través de software antivirus.

9 A A.12.4 A A Respaldo de la Periódicamente se realizan backup de la en discos externos. Registro y seguimiento Registro de Se debe contar con un registro de las actividades, eventos fallas y eventos de en la gestión financiera. Esta es de suma importancia para detectar falla y realizar Protección de la mejoras en el proceso. Entre la que se maneja se puede encontrar datos como cuentas y transacciones, de todo el personal de la universidad, por ello es de suma importancia su protección. A A A.12.5 A A.12.6 A A A.12.7 A Registros del administrador y del operador ncronización de relojes Control de software operacional Instalación de software en sistemas operativos Gestión de vulnerabilidad técnica Gestión de las vulnerabilidades técnicas Restricción en la instalación de software Cualquier actividad que se realice y que produzcan cambios o actualizaciones se debe mantener en un control. se tiene en cuenta este control en la parte de gestión de financiera. En los equipos que hacen parte de los recursos se debe realizar controles sobre el software a instalar, para realizar una evaluación previa de riesgos. Se deben realizar en la evaluación de seguridad un análisis de las vulnerabilidades que se presentan e intentar mitigarlas o informar sobre ellas, para evitar que se materialice una amenaza. En los equipos que hacen parte de los recursos se debe realizar controles sobre el software a instalar, para realizar una evaluación previa de riesgos. Consideraciones sobre auditorias de sistemas de Controles de auditorías de sistemas de Se debe realizar una planeación periódica de las visitas de auditoria, además de implementar cambios y mejorar los procesos internos. A.13 Seguridad de las comunicaciones A.13.1 Gestión de la s redes A Controles de red Se deben realizar controles y asegurarse la seguridad en las redes y en las conexiones a través de las cuales se envía. A Seguridad de los servicios de red ya que hay un constante flujo de, así pues se debe llevar un control de los servicios tanto internamente como externos.

10 A A.13.2 A A A A Separación en las redes Transferencia de Políticas y procedimientos de transferencia de Acuerdos sobre transferencia de Mensajería electrónica Acuerdos de confidencialidad o de no divulgación Dentro del proceso gestión financiera se debe realizar la separación de, usuarios y sistemas de, dentro las redes. Se deben realizar políticas y definir los procedimientos de seguridad para la transferencia de la, para que este proceso se dé más seguro y no esté la en riesgo de robos, copias, modificaciones y actualizaciones de terceros. Debe haber una documentación sobre todos los acuerdos sobre la transferencia de. Se deben definir correos institucionales y mensajería segura, para el envió y entrega de correos electrónicos. Se deben definir acuerdos de confidencialidad sobre de importancia que se maneja dentro del proceso de gestión financiera. A.14 Adquisición, desarrollo y mantenimiento de los sistemas de A.14.1 A A A A.14.2 A A A Requerimientos de seguridad de los sistemas Análisis y especificación de los requerimientos de Seguridad Seguridad de servicios de las aplicaciones en redes publicas Protección de transacciones de los servicios de las aplicaciones En la evaluación de los riesgos, se deben definir los requisitos de e incluirlos a todos los sistemas existentes. Se deben definir en el proceso de gestión financiera el procedimientos y seguridad al ingresar a una red publica es necesario llevar un control de estas transacciones. Seguridad en los procesos de desarrollo y de soporte Política de desarrollo seguro Procedimientos de control de cambios en sistemas Revisión técnica de las aplicaciones después de cambios en la

11 A plataforma de operación Restricciones en los cambios a los paquetes de software A A A A A A.14.3 A Principios de construcción de los sistemas seguros Ambiente de desarrollo seguro Desarrollo contratado externamente Pruebas de seguridad de sistema as Prueba de aceptación de sistemas Datos de prueba Protección de datos de prueba A.15 Relaciones con los proveedores A.15.1 A A A A.15.2 A Seguridad de la en las relaciones con los proveedores Política de para las relaciones con proveedores Tratamiento de las seguridad dentro de los acuerdos con proveedores Cadena de suministro de tecnología de y comunicación Gestión de la prestación de servicios de proveedores Seguimiento y revisión de los servicios de los proveedores tiene en cuenta la parte de proveedores. tiene en cuenta la parte de proveedores. tiene en cuenta la parte de proveedores. tiene en cuenta la parte de proveedores.

12 A Gestión de cambios en los servicios de los proveedores tiene en cuenta la parte de proveedores. A.16 Gestión de incidencias de A.16.1 A A A A A A A Gestión de incidentes y mejoras en la Responsabilidade Es necesario establecer responsables, planes y s y procedimientos de seguridad ante alguna procedimientos amenaza, esto para que a la hora que sucede, se Reporte de eventos de Reporte de debilidades de Evaluación de eventos de y decisiones sobre ellos Respuesta a incidentes de Aprendizaje obtenido de los incidentes de Recolección de evidencia pueda mitigar de una manera rápida y eficaz. Se debe tener documentación de todos los reportes para que en caso que se repitan se pueda saber cómo tratarlos. Se debe tener documentación de todas las debilidades que se crean existan actualmente para intentar mitigarlas. Se debe tener documentación de los incidentes además de clasificarlos y saber cómo mitigarlos en caso que se vuelvan a producir. Se debe tener en cuenta toda la documentación previa para que el proceso de mitigar y evaluar daños después de producida la amenaza sea mas rápido. Se debe tener en cuenta toda la documentación previa para que el proceso de mitigar y evaluar daños después de producida la amenaza sea más rápido. Se debe tener documentación de los incidentes además de clasificarlos y saber cómo mitigarlos en caso que se vuelvan a producir. A.17 Aspectos de de la gestión de continuidad de negocio A.17.1 A Continuidad de Planificación de la Deben existir procedimientos y políticas de continuidad de la seguridad establecidos para el caso de una crisis.

13 A A A.17.2 A Implementación de la continuidad de la seguridad de la Verificación, revisión y evaluación de la continuidad de la Redundancias Disponibilidad de instalaciones de procesamiento de Dependiendo de los documentos que se tengan establecidos y responsables, que se lleve una buena implementación de lo establecido. Es importante realizar un seguimiento a los controles y procedimientos previos establecidos. se dispone. A.18 Cumplimiento A.18.1 A A Cumplimiento de requisitos legales y contractuales Identificación de la legislación aplicable y de los requisitos contractuales Derechos de propiedad intelectual Se debe realizar un estudio de toda la documentación legal que exista y realizar en base a ellos políticas y planes de seguridad. se tiene en cuenta la propiedad intelectual en procesos financieros. Ya que la propiedad intelectual hace referencia a proteger los intereses de los creadores. A Protección de registros Se debe mantener la acerca de registros, para control interno del proceso. A Privacidad y protección de de datos personales El proceso de gestión financiera está basado en toda la parte de recursos financiera y maneja de todos los empleados, docentes y estudiantes. A Reglamentación de controles criptográficos Se debería tener más en la parte de gestión financiera, ya que en el envió de datos se podría perder la y es una medida de seguridad que se puede tener en cuenta. A.18.2 A Revisiones de Revisión Se deben realizar revisiones periódicas de la independiente de parte de seguridad para tener una clara idea que la los procedimientos y planes que se establecieron están realizando lo establecido.

14 A A Cumplimiento con las políticas y normas de seguridad Revisión del cumplimiento técnico Se debe tener un control de que haya un cumplimiento de políticas y procedimientos de seguridad que están previamente establecidos, ya que estos velan por que la y recursos manejados en el proceso de gestión financiera estén seguros. En el proceso de gestión financiera se debe tener controles periódicos de que se esté cumpliendo con toda la documentación, en cuento a políticas y procedimientos de seguridad, para que haya un buen manejo de la.