ISO GAP ANALYSIS

Transcripción

1 Fecha: 10/7/2007 CONFIDENCIAL Página 1 de POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Se tiene documento de la política de seguridad de la Información Se hace revisión y evaluación de este documento y se promulga su lectura y aplicación. 6.1 ORGANIZACIÓN SEGURIDAD Compromiso de las Directivas con la seguridad de la información Coordinación de la Seguridad Asignación de responsabilidades Proceso de Autorización a áreas de procesamiento de información Se realizan acuerdos de confidencialidad Contacto con las autoridades

2 Fecha: 10/7/2007 CONFIDENCIAL Página 2 de Contacto con grupos de especial interés Se realiza Auditoría interna 6.2 Terceros Identificación de riesgos Aproximación a la seguridad al tratar con clientes Aproximación a la seguridad en acuerdos con terceros 7.1 GESTION DE ACTIVOS Inventario de activos tecnológicos y de la información Responsables de los activos tecnológicos Uso aceptable de las activos tecnológicos 7.2 Clasificación de la Información

3 Fecha: 10/7/2007 CONFIDENCIAL Página 3 de Normas para clasificación de la información Identificación y Manejo de la información 8.1 SEGURIDAD RECURSO HUMANO Previo a la contratación Roles y responsabilidades Investigación del personal que va a ser contratado Términos y condiciones laborales 8.2 Durante el empleo Responsabilidades de las directivas Conciencia de la seguridad, educación y entrenamiento Procesos disciplinarios 8.3 Terminación del contrato o cambio de empleo

4 Fecha: 10/7/2007 CONFIDENCIAL Página 4 de Responsabilidades en la terminación del contrato Devolución de activos tecnológicos Eliminación de permisos sobre los activos 9.1 SEGURIDAD FISICA Áreas Restringidas Perímetro de Seguridad Física es físicos de entrada Aseguramiento de oficinas, cuartos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas restringidas Acceso público, envíos y áreas de carga 9.2 Seguridad de los Componentes Tecnológicos

5 Fecha: 10/7/2007 CONFIDENCIAL Página 5 de Ubicación y protección de equipos tecnológicos Seguridad en el suministro de electricidad y servicios (utilities) Seguridad en el cableado Mantenimiento Seguridad de equipos fuera de las áreas seguras Destrucción y reutilización de equipos Extracción de activos informáticos COMUNICACIONES Y MANEJOS OPERATIVOS Procedimientos Operativos y Responsabilidades Documentación de procesos operativos de Cambios

6 Fecha: 10/7/2007 CONFIDENCIAL Página 6 de Segregación de funciones Separación de los ambientes de Desarrollo, prueba y producción 10.2 Administración de Servicios de terceros Entrega de servicios Monitoreo y revisión de servicios de terceros Administración de cambios a servicios de terceros 10.3 Planeamiento y aceptación de sistemas Administración de la capacidad Aceptación de sistemas 10.4 Protección contra código malicioso y móvil es contra código malicioso

7 Fecha: 10/7/2007 CONFIDENCIAL Página 7 de es contra código móvil 10.5 Copias de seguridad Respaldo de la información Administración de la seguridad de la red es de la Red Seguridad de los Servicios de Red 10.7 Manipulación de medios Administración de medios removibles Destrucción de medios Procedimientos de manejo de la información Seguridad de la documentación de los sistemas

8 Fecha: 10/7/2007 CONFIDENCIAL Página 8 de Intercambio de información Políticas y procedimientos del intercambio de información Acuerdos para el intercambio de información Medios físicos en movimiento Mensajería Electrónica Sistemas de información de negocios 10.9 Servicios de Comercio Electrónico Comercio Electrónico Transacciones en Línea Información pública Monitoreo

9 Fecha: 10/7/2007 CONFIDENCIAL Página 9 de Auditoría de registros Uso de sistemas de monitoreo Protección de registros de monitoreo Registros de monitoreo de administradores y operadores Registro de fallas Sincronía 11.1 CONTROL DE ACCESO A LA INFORMACIÓN; de acuerdo a las necesidades del negocio Política de de Acceso 11.2 Administración de acceso de los usuarios Registro de Usuarios Administración de privilegios Administración de Contraseñas (passwords)

10 Fecha: 10/7/2007 CONFIDENCIAL Página 10 de Revisión de los permisos asignados a los usuarios 11.3 Responsabilidades de los usuarios Uso de las contraseñas Equipos desatendidos Política de escritorios y pantallas limpias de acceso a la red de datos Políticas para el uso de los servicios de la red de datos Autenticación de usuarios para conexiones externas Identificación de equipos en la red Diagnóstico remoto y protección de la configuración de puertos Segregación en la red de conexión a la red

11 Fecha: 10/7/2007 CONFIDENCIAL Página 11 de de enrutamiento de la red 11.5 de acceso a los sistemas operativos Procedimientos para inicio de sesión de las estaciones de trabajo Identificación y autenticación de los usuarios Sistema de administración de contraseñas Uso de las utilidades del sistema Time-out para las estaciones de trabajo Limitación en los periodos de tiempo de conexión a servicios y aplicaciones 11.6 de acceso a las aplicaciones Restricción de acceso a los sistemas de información Aislamiento de sistemas sensibles

12 Fecha: 10/7/2007 CONFIDENCIAL Página 12 de Computación Móvil y Teletrabajo Computación Móvil y comunicacioines Teletrabajo 12.1 DESARROLLO DE SOFTWARE s de seguridad para los sistemas de información Análisis y especificaciones de los requerimientos de seguridad 12.2 Procesamiento correcto en aplicaciones Validación de los datos de entrada del procesamiento interno Integridad de los mensajes Validación de los datos de salida 12.3 es Criptográficos Política para el uso de controles criptográficos

13 Fecha: 10/7/2007 CONFIDENCIAL Página 13 de Administración de llaves Seguridad en los archivos del sistema (System Files) del software operacional(operativo) Protección de los datos en sistemas de prueba de acceso a las librerías de código fuente Seguridad en el desarrollo y en los procesos de soporte técnico Procedimientos para el control de cambios Revisión técnica de aplicaciones después de cambios al sistema operativo Restricciones a cambios en paquetes de software Fuga de información Desarrollo de software por parte de Outsourcing Administración Técnica de Vulnerabilidades técnico de vulnerabilidades REPORTE DE EVENTOS DE SEGURIDAD INFORMÁTICA Y DE SUS DEBILIDADES

14 Fecha: 10/7/2007 CONFIDENCIAL Página 14 de Reporte de eventos de Seguridad de la información Reporte de debilidades de seguridad 13.2 Administración de incidentes de seguridad informática y de su mejoramiento Responsabilidades y procedimientos Aprendizaje a partir de los incidentes de seguridad Recolección de evidencia ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO Inclusión de seguridad de la información en el proceso de administración de la continuidad del negocio Continuidad del negocio y análisis de impacto (BIA) Desarrollo e implementación de planes de continuidad Marco de planeación para la continuidad del negocio

15 Fecha: 10/7/2007 CONFIDENCIAL Página 15 de Pruebas, mantenimiento y revisión de los planes de continuidad del negocio 15.1 CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Identificación de leyes aplicables Derechos de autor y propiedad intelectual Salvaguardar los registros de la organización Protección de los datos y privacidad de la información personal Prevención mal uso de los componentes tecnológicos Regulación de controles criptográficos 15.2 Revisión de la política de seguridad y técnico Cumplimiento de los diferentes requerimientos y controles establecidos por la política de seguridad Chequeo del técnico

16 Fecha: 10/7/2007 CONFIDENCIAL Página 16 de Consideraciones relacionadas con la auditoría interna es para auditoría del sistema Protección de las herramientas para auditoría del sistema FIN