Anexo A - Objetivos de Control y Controles de Seguridad de la Informacin ISO/IEC 27001:2005

(Conjunto de medidas, acciones y documentos que permiten cubrir y auditar cierto riesgo)

Dominio - Control Poltica de seguridad de la informacin

Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.

#Ctrls 2

Cumplimiento

A5 A6 A7 A8 A.8.1.1 A.8.1.2 A.8.1.3 A.8.2.1 A.8.2.2 A.8.2.3 A.8.3.1 A.8.3.2 A.8.3.3 A9 A10 A11 A.11.1.1 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.3.1 A.11.3.2 A.11.3.3 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 A.11.6.1 A.11.6.2 A.11.7.1 A.11.7.2 A12 A13 A.13.1.1 A.13.1.2 A.13.2.1 A.13.2.2 A.13.2.3 A14 A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 A15 A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 A.15.1.6 A.15.2.1 A.15.2.2 A.15.3.1 A.15.3.2

Organizacin de la seguridad de la informacin

Gestionar la organizacin de la seguridad de informacin.

11 1 0

Gestin de activos de informacin (AI)

Lograr y mantener la proteccin apropiada de los activos de informacin

Seguridad de los recursos humanos

Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal uso de los activos de informacin.

Antes del empleo

Durante el empleo Terminacin o cambio del empleo

Se tiene documentado (de acuerdo a la poltica) los roles y responsabilidadesde de SI, de todo el personal. Se verifica antecedentes de todo candidato a empleado o contratista. Se firman contratos donde se incluye las responsabilidades de SI. Se procura que todos los empleados apliquen la SI segn la poltica. Se sensibiliza, capacita y educa en SI pertinente a su funcin de trabajo. Se tiene establecido un procesos disciplinario ante el incumplimiento de SI. Estn definidas las responsabilidades para el trmino o cambio de empleo. Se procura la entrega de activos al tmino de contrato. Se retira los derechos de acceso al trmino del contrato. 2 7 1

Seguridad fsica y medioambiental

Prevenir el acceso fsico no autorizado, dao e interferencia en las instalaciones y activos de informacin.

Gestin de operaciones y comunicaciones

Asegurar la operacin correcta y segura de los activos de informacin.

Control de acceso (lgico)

Controlar el acceso lgico a los activos de informacin

Requerimientos

Gestin de acceso de usuarios

Se dispone de una poltica de control de acceso con base en requerimientos del negocio y de seguridad para el acceso. 1 Se dispone de procedimiento de registro y baja de concesin de acceso a los sistemas y servicios de informacin. No existe un control sobre los accesos o bajas. Se dispone de procedimiento para la gestin (restriccin, control se y asignacin) de privilegios. Definidamente no, unicamente generan los accesos de manera general, en dado caso si el usuario requiere acceso a cierta informacion es necesario busque autorizacion del jefe directo Se dispone de procedimiento para la gestin de contraseas. No existe regulacion respecto a contraseas, en este caso se generan de forma no estructurada o regulada Se audita los derechos de acceso de manera regular. No se revisa en ninguna caso los accesos, unicamente en caso de que sea requerido por alguna area, Normatividad y transparencia por ejemplo Se promueve las buenas prcticas de seguridad para la seleccin y uso de contraseas seguras. No se le informa al usuario acerca de como generar su contrasea

Responsabilidades de usuarios

Se promueve que los usuarios deben asegurar la proteccin de los equipos desatendidos. Solamente se le dice al usuario que todo aquello que sea modificado sera registrado por sus clave por lo cual quedara bajo su responsabilidad Se promueve la prctica de escritorio limpio para documentos y dispositivos de almacenamiento removibles, y una poltica de pantalla limpia. No realmente solo se le entrega el equipo al usuario, sin brindarle mayor informacion o medidas al respecto Los usuarios solo tienen acceso a los servicios queEn estn autorizados. cuanto a sistemas si, respecto al equipo puede suceder que no requiera de ciertos accesos pero busca autorizacion con jefe directo y se los conceden Se utiliza mecanismos apropiados de autenticacin para acceso de usuarios externos. Se pasa a traves del proxy, se genera usuario clave para el uso de sistemas intenros. La identificacin del equipo forma parte de la autenticacin. Se genera un usario aun siendo proveedo externo Control de acceso a Se controla el acceso para el diagnstico y configuracin de puertos. Usuario basicos se generan para todos, unicamente apra el control de ciertos sistemas se genera en administrados la red Se segrega en la red, los usuarios y sistemas de informacin. Se segregan para usuarios Se restringe la capacidad de conexin de usuarios a redes compartidas. Se segrega de acuerdo al usuario, La red se configura de modo que no se infrinja los controles de acceso. Se genera los acceso por autorizacion del jefe directo Se controla el acceso al SO en las estaciones o terminales (procedimiento de conexin segura). Se genera por usuario general Todo usuario dispone de una cuenta de acceso nica. Se genera por area comun, pero por sistemas se genera una clave unica Control de acceso al El sistema de gestin de claves asegura su calidad. No hay un procedimiento para generacion de contraseas sistema operativo Se restringe el uso de utilidades (software) no autorizadas, que podran eludir las medidas de control del sistema. Se restrige pero no se bloquea, en el caso de Ultrasurf o proxys web son tipicamente utilizados Las sesiones inactivas se cierran luego de un tiempo de inactividad. No, los equipos no se programan para tal funcion Se restringe el horario de acceso a las aplicaciones de alto riesgo. No hay horario para el usuario, debido aque las funciones por cuestion de actividad pueden ser 24/7 Para ciertas funciones se gera la restriccion. Control de acceso a Se restringe el acceso a los usuarios y al personal de TI. las aplicaciones e Los sistemas sensibles estn en un ambiente aislado. informacin Esta un site en el caso de C2, no se cuenta con acceso, en el caso de otay cuenta con llave Computacin mvil Se dispone de poltica de proteccin de equipos mviles. No hay informacion respecto a dispositivos moviles y teletrabajo Se dispone de poltica y procedimiento para teletrabajo. No hay politica para teletrabajo, unicamente el area de TI, es el area que puede tener teletrabjo Adquisicin, desarrollo y mantenimiento de sistemas de informacin 1
Procurar que la seguridad sea una parte integral de los sitemas de informacin.

Gestin de incidentes de seguridad de informacin

Asegurar que los eventos y debilidades de seguridad de informacin sean comunicados de manera tal que, permita una accin correctiva oportuna.

Reporte de incidentes y debilidades

Los incidentes de SI se reportan por los canales apropiados tan rpido como sea posible. Se promueve que todo el personal reporte las debilidades de SI, que observe o sospeche. Esta definido por la persona

Se dispone de procedimiento para respuesta rpida, eficaz y ordenada ante incidentes de SI. Gestin de Se dispone de mecanismos para aprender a resolver incidentes, que permitan cuantificar y incidentes y mejoras realizar el seguimiento de los tipos, volmenes y costos de los incidentes de SI. Se recolecta y mantiene evidencias (para fines de auditora).

Gestin de continuidad de operaciones

Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos, de los efectos de fallas significativas o desastres, y asegurar su reanudacin oportuna.

Se dispone de un proceso de gestin de continuidad de operaciones. No se sabe que hacer en caso de falla, unicamente se posterga la captura hasta que el sistema se encuentre habilitado y funcional. Se realiza gestin de riesgos. Se dispone de un Plan de Continuidad de Operaciones (PCO). Se descarta por estar fuera de magnitud en cuanto jerarquias refiere. Se maneja un nico marco referencial de PCO. Se maneja por correo. El PCO se prueba y actualiza en forma regular. N/A Cumplimiento regulatorio 0 Gestin de la continuidad operativa
Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.

Con los requerimientos legales

Con las polticas y estndares de S.I. Auditora de los sistemas de informacin

Se ha definido, documentado y mantiene actualizado todos los requisitos legales, reglamentarios, contractuales pertinentes. No existe un documento contractual que defina poloiticas de privacidad, unicamente el manual del servidor publico Se dispone de procedimientos para respetar la propiedad intelectual. Licencias son legales, todos en mayoria, segn requisitos de licitacion todo equipo debe tener licencia Se protege los registros importantes de la organizacin. Mediante herramientas informaticas ya validas, (antiviruas, firewall, etc) Se protege la privacidad de la informacin Siguiendo personal, el marco segn referencial la regulaciones. logico para uso de ifnormacion privada, sin embargo no existe una regulacion de privacidad para informacion privada en posesion de entidades de gobierno Se sensibiliza al personal para evitar usos no autorizados. Unicamente se les recuerda de palbara. Se hace uso de cifrado, segn las regulaciones. N/A Se procura el cumplimiento de los procedimientos de SI. No existen procedimientos. Se procura el cumplimiento de la normativa de SI en los sistemas de informacin. No hay normativa Se planifica las auditoras internas de sistemas de informacin. Se protege el acceso a las herramientas de auditora de sistemas de informacin.

25

Tabla de Escala para ISO27001 e ISO27002

N Calificacin N/A 0 20 No Aplica Inexistente Inicial

Dominio - Control
Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

#Ctrls

Cumplimiento

40

Repetible

60 80 100

Definido Gestionado Optimizado

Tabla de Escala para ISO27001 e ISO27002

Escala No Aplica Inexistente Inicial % N/A 0 20 Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

Repetible

40

Definido Gestionado

60 80

Optimizado

100