UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN

ESCUELA DE POSTGRADO
MAESTRIA EN INGENIERA DE SISTEMAS E INFORMATICA ADMINISTRACIN DE TECNOLOGIAS DE LA INFORMACIN

ANLISIS DE BRECHAS SEGN LA NORMA NTP ISO/IEC 17799 APLICADO A LA SUNAT

Maestrante: Amrica Noem Cevallos Prez Marvin Daniel Glvez Pilco Wilson Mamani Yanapa

EVALUACIN DE RIESGOS SEGN LA NORMA NTP ISO/IEC 17799: AO 2011 TECNOLOGAS DE INFORMACIN CDIGO DE BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN

SUNAT INTENDENCIA REGIONAL DE TACNA

Fecha de Creacin ltima Actualizacin Versin

: 24 de noviembre del 2011 : 24 de noviembre del 2011 : 1.0

Control del Documento Registro de Cambios

Fecha 21/ 11/ 2011

Autor Grupo de Maestra de Sistemas

Versin 1.0

Referencia de Cambios Identificacin de reas Implicadas

INDICE Control del Documento Registro de Cambios Revisiones Distribucin Contenido del presente Informe 1. Antecedentes 2. Alcance 3. Plan de Trabajo 4. Trabajo de Campo 5. Resultados de la Consultora 6. Conclusiones 7. Anexos Anexo 1: Matriz del Nivel de cumplimiento Anexo 2: Referencia de Preguntas

Contenido del presente Informe El presente documento describe el trabajo efectuado por el grupo de alumnos del segundo ciclo de la maestra de Ingeniera de Sistemas e Informtica Administracin de las Tecnologas de la Informacin para el anlisis de brechas segn la norma NTP ISO/IEC 17799: Ao 2011 1ra. Edicin Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin. El documento cubre los siguientes tpicos: Antecedentes Plan de Trabajo Anlisis de brechas Resultados Conclusiones Anexos.

1.

Antecedentes La institucin viene llevando en marcha una serie de polticas de seguridad, as como normas que garantizan las buenas prcticas para la seguridad de la informacin, dirigidas por la Oficina de Seguridad de Informacin, mediante Contrato de Servicio Nro. 001-2011-SUNAT de fecha 20.10.2011 se contrata el servicio de consultora de SYSTEM TECH para el anlisis de brechas segn la NTP ISO/IEC 17799: Ao 2011 EDI Tecnologa de Informacin cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, con un plazo contractual de 6 das calendario, computados a partir del 21 de noviembre del 2011, siendo el plazo de entrega el 27 de noviembre del 2011.

2.

Alcance El alcance del servicio comprende el anlisis de brechas para la seguridad de la informacin, de acuerdo con la Norma NTP ISO/IEC 17799: Ao 2011 tecnologas de la informacin Cdigo de Buenas Prcticas Para la Gestin de la Seguridad de la Informacin Superintendencia Nacional de Administracin Tributaria.

3.

Plan de Trabajo La estrategia de implantacin de la Norma NTP ISO/IEC 17799: 2011, es un tema crtico. A continuacin se muestran las actividades realizadas dentro del presente servicio.

4.

Trabajo de Campo El trabajo de campo estuvo comprendido entre los das del 21 al 22 del mes de noviembre del 2011. El presente informe es el resultado del anlisis de brecha realizado a Superintendencia Nacional de Administracin Tributaria, IR Tacna. Asimismo, se realiz el anlisis de brechas para cada uno de los 133 objetivos que define la Norma. Para cada objetivo se evalu la situacin actual y el grado de cumplimiento con respecto al objetivo. Se utilizaron los siguientes criterios: Criterios de Cumplimiento Nivel de Cumplimiento Alto Bajo Medio N.A.

Si No Parcialmente No Aplica

Se realizaron las siguientes entrevistas para el levantamiento de informacin N 1 2 3 4 5 6 7 rea Soporte Informtico Soporte Informtico Soporte Informtico Soporte Informtico Soporte Informtico Control de la Deuda Control de la Deuda Fecha 21/11/2011 21/11/2011 21/11/2011 21/11/2011 21/11/2011 21/11/2011 21/11/2011 Entrevistado Jess Bazn Julia Mamani Jess Reyna Marvin Glvez Susana Garca Sergio Santander Noem Cevallos

Para ver el detalle del Anlisis de Brechas vea el Anexo N1.

5.

Resultados de la Consultora Como resultado de la consultora, se tienen los siguientes resultados: Reconocimiento de las reas involucradas con los dominios de la Norma. Resumen de la Situacin actual en la institucin. Anlisis de Brechas de la situacin actual de la Intendencia Regional Tacna vs. lo dispuesto en la Norma. Resultados de la revisin de la documentacin existente

5.1. Identificacin de reas involucradas A continuacin se presentan las reas crticas identificadas que estan involucradas en la implementacin de la norma. Para cada una de las reas se presentan las tareas ms importantes a su cargo para la implementacin de la Norma. Oficina de Soporte Informtico Controles para la salvaguarda de Informacin Definicin de procedimientos Implantacin de controles Procedimientos de Monitoreo Implementacin de Centro de Cmputo de procesamiento de respaldo. Concientizacin de usuarios. Operaciones Controles para confidencialidad de la informacin de los usuarios del Instalacin. Recursos Humanos Definicin de Polticas de verificacin de antecedentes del personal Definicin de Polticas de verificacin de referencias del personal Definicin de Polticas de confirmacin de estudios del personal Definicin de Polticas de verificacin de historial crediticio Definicin de Polticas de envo de informacin a Informtica para bloqueo de cuentas para personal temporal, cesado o de vacaciones. Formulacin de compromiso deontolgico. Modificacin del reglamento Interno de Trabajo, considerndolos las responsabilidades de los usuarios y las sanciones aplicables al incumplimiento de la Poltica de Seguridad de la Informacin. Acuerdos de confidencialidad firmado por el personal, practicantes. Logstica Controles para el envo de informacin (documentos) fuera de las instalaciones. Revisin del Contrato del servicio de mensajera para siguiente periodo. Definicin de Acuerdos de Confidencialidad. Existencia de controles de confidencialidad de envo de documentos
7

Legal Recopilacin y publicacin de regulaciones relacionadas a la Tecnologa de Informacin. Usuarios en General Cumplir con lo dispuesto en las polticas de seguridad de la informacin, as como en las directivas y procedimientos. 5.2. Resumen de la Situacin Actual de la Seguridad de la Informacin De acuerdo a las entrevistas efectuadas, revisin de documentos e inspeccin ocular, se ha podido percibir los siguientes aspectos importantes relativos a la Seguridad de Informacin. Poltica de seguridad Existe la Poltica de Seguridad de la Informacin, que ha sido aprobada por el Comit de Tecnologa de la Informacin y Comunicaciones CTIC el 23 de Mes Abril del Ao 2011. Sin embargo en la actualidad esta poltica no ha sido actualizada. Aspectos organizativos para la seguridad Existe un comit de Gestin de Seguridad de Informacin quienes constantemente estn preocupados por la seguridad de los sistemas informticos de la organizacin. Clasificacin y control de activos Se cuenta un inventario de activos de informacin de las reas crticas del negocio, sin embargo no se encuentra actualizado. Seguridad en Recursos Humanos Se realizan charlas, capacitaciones y entrenamiento con temas de seguridad de informacin para los trabajadores Seguridad fsica y del entorno El ingreso y de salida de bienes y/o equipos (Computadoras, Laptop) tiene un poco control para el personal contratado En cuanto a la seguridad del Data Center se cuenta con un sistema de proteccin de incendios. Gestin de Comunicaciones y Operaciones Los procedimientos para la gestin de comunicaciones y operaciones, se encuentran documentados pero la aplicacin por parte del personal es aun deficiente.
8

Control de Accesos No existe una poltica de pantalla y escritorio limpio y no se encontr un procedimiento formal para la administracin de contraseas. No se han establecido los controles necesarios sobre el uso de laptops, celulares, memorias de tipo USB, etc.

Adquisicin, Desarrollo y Mantenimiento de Sistemas Aun est faltando incorporar controles para evitar las fugas de informacin, as como tambin realizar pruebas de vulnerabilidades tcnicas a las aplicaciones.

Gestin de Incidentes en la Seguridad de la Informacin En gran parte de las reas, no existe notificacin de puntos dbiles de seguridad. Gestin de Continuidad del Negocio Existe una conciencia sobre la continuidad del negocio, los directivos a nivel nacional exponen nuevas directivas para la mejora continua. Cumplimiento El derecho de la propiedad intelectual y el pago de licencias se viene cumpliendo sin complicaciones, pues existe polticas serias de parte de las organizaciones estatales.

5.1. Resultados del anlisis de Brechas Como Resultado de la evaluacin de brechas a Intendencia Regional Tacna tiene un grado de cumplimiento de 70% con respecto a lo dispuesto en la norma NTP ISO/IEC 17799: Ao 2011. Cuadro de General de Cumplimiento (Porcentaje) N 1 2 3 4 5 6 7 8 Dominios de la Norma % Nivel de Cumplimiento 83 % 76 % 86 % 48 % 85 % 75 % 74 % de 69 % 55 % 73 % 73 % 72.4 %

Poltica de Seguridad Organizacin de la Seguridad de la Informacin Clasificacin y Control de Activos Seguridad en Recursos Humanos Seguridad Fsica y del Entorno Gestin de Comunicacin y Operaciones Control de Accesos Adquisicin, Desarrollo y Mantenimiento Sistemas de la Informacin 9 Gestin de Incidentes de la Seguridad de la Informacin 10 Gestin de Continuidad del Negocio 11 Cumplimiento Nivel de Cumplimiento Total

Como podemos observar los dominios de Seguridad en Recursos Humanos y Gestin de Incidentes de la Seguridad de la Informacin tienen los niveles de cumplimiento de la norma NTP ISO/IEC 17799: Ao 2011 EDI ms bajo siendo el 48% y 55% respectivamente. Por otro lado los dominios de Poltica de Seguridad, Clasificacin y Control de Activos y Seguridad Fsica y del Entorno tienen los niveles de cumplimiento ms alto con un 83%, 86% y 85% con respecto a lo dispuesto en la norma NTP ISO/IEC 17799:Ao 2011 EDI, esto se debe a la implementacin de la norma NTP ISO/IEC 12207:Ao 2011 Tecnologa de la Informacin, Procesos del Ciclo de Vida del Software, 2da. Edicin.

10

Cuadro de Cumplimiento (Por Nro. de objetivos) No Aplica Medio Total 2 11 5 9 13 32 25 16 5 5 10 133

50% 73% 80% 78% 62% 53% 72% 63% 40% 60% 50%

Dominios de la Norma

Poltica de Seguridad 0 Organizacin de la Seguridad de la 0 Informacin Clasificacin y Control de Activos 0 Seguridad en Recursos Humanos 0 Seguridad Fsica y del Entorno 1 Gestin de Comunicacin y Operaciones 2 Control de Accesos 0 Adquisicin, Desarrollo y Mantenimiento de 0 Sistemas de Informacin Gestin de Incidentes de la Seguridad 0 Informacin Gestin de Continuidad de Negocio 0 Cumplimiento 3 Total Controles de la Norma Cuadro de Cumplimiento (Por Porcentaje) No Aplica

Bajo

0 2 0 1 2 4 1 1 0 1

1 1 1 1 4 11 3 5 2 2 1

Medio
50% 9% 20% 11% 31% 34% 12% 31% 40% 40% 10%

Alto 1 8 4 7 8 17 18 10 2 3 5

Dominios de la Norma Poltica de Seguridad Organizacin de la Seguridad de la Informacin Clasificacin y Control de Activos Seguridad en Recursos Humanos Seguridad Fsica y del Entorno Gestin de Comunicacin y Operaciones Control de Accesos Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin Gestin de Incidentes de la Seguridad Informacin Gestin de Continuidad de Negocio Cumplimiento

0% 0% 0% 0% 8% 6% 0% 0% 0% 0% 30%

18% 0% 11% 0% 6% 16% 6% 20% 0% 10%

Bajo

0%

Alto
11

Representacin Grfica del Cumplimiento por cada Dominio

Poltica de Seguridad
Alto Medio Bajo No Aplica 0% 0% 0% 10% 20% 30% 40% 50% 50% 50%

Organizacin de la Seguridad de la Informacin

Alto 73% 9% 18% 0% 0% 20% 40% 60% 80%

Medio
Bajo No Aplica

Clasificacin y Control de Activos

Alto
Medio Bajo 0% 0% 20% 80%

No Aplica 0%

20%

40%

60%

80%

12

Seguridad en Recursos Humanos

Alto Medio Bajo No Aplica 0% 0% 20% 40% 60% 80% 11% 11% 78%

Seguridad Fsica y del Entorno

Alto Medio Bajo No Aplica 0% 0% 8% 10% 20% 30% 40% 50% 60% 70% 62%

31%

Gestin de Comunicacin y Operaciones

Alto Medio Bajo No Aplica 0% 6% 6% 10% 20% 30% 40% 50% 60% 34% 53%

13

Control de Accesos
Alto Medio Bajo No Aplica 0% 0% 20% 40% 60% 80% 12% 16% 72%

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin

Alto Medio Bajo 6% 0% 0% 10% 20% 30% 40% 50% 60% 70% 63%

31%

No Aplica

Gestin de Incidentes de la Seguridad Informacin

Alto Medio Bajo No Aplica 0% 0% 10% 20% 30% 40% 20% 40% 40%

14

Gestin de Continuidad de Negocio

Alto Medio Bajo No Aplica 0% 0% 0% 10% 20% 30% 40% 50% 60% 40% 60%

Cumplimiento
Alto Medio Bajo No Aplica 0% 10% 20% 30% 50%

10%
10% 30% 40% 50%

En estos grficos podemos apreciar el anlisis detallado del porcentaje de cumplimiento por cada dominio el cual nos indica que porcentaje el nivel de cumplimiento es alto, medio y bajo, para este caso no se considera los controles que no aplican a Intendencia Regional Tacna.

15

Grfico de Cumplimiento por cada Dominio (Por Porcentaje)

90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
80%

73% 50%

78%
62%

72%
63%

53%
40%

60% 50%

No Aplica Bajo Medio Alto

Este grfico nos ilustra los dominios que tienen un menor y mayor nivel de cumplimiento en relacin a la norma NTP ISO/IEC 17799: Ao 2011 EDI.

16

6.

Conclusiones En el presente estudio de anlisis de brechas de seguridad de informacin se obtuvo un 72% de cumplimiento con respecto a la NTP ISO/IEC 17799: Ao 2011 observado un ndice dentro de un margen aceptable. Con respecto a la seguridad de la informacin, si bien hay un buen ndice, este podra mejorar si se implantara ms concientizacin por parte del personal, para no incurrir en errores, por falta de conocimiento. El ndice ms alto es el de la clasificacin y control de Activos, esto debido a que se tiene un buen manejo de todos los recursos, nombrando responsables de los bienes, y manteniendo actualizada dicha informacin. Con un proceso documentado de asignacin, movimiento y baja de los bienes patrimoniales. La seguridad del Recurso humano, podra ser mejorada, el personal de oficina no tendra mayores inconvenientes, pero el personal de puestos de control o de trabajo de campo podra tener un mejor resguardo de su integridad. Los bienes de la institucin son resguardados por el personal de seguridad de una manera adecuada. Las operaciones si bien se encuentran bien definidas, establecidas y publicadas, podran verificarse y detallarse ms para el personal que labora en la institucin. La utilizacin de los accesos a las aplicaciones se encuentran debidamente registradas, as como en el caso de ser necesario puede obtenerse un historial del uso de las mismas. Los sistemas de informacin se encuentran concentradas en Lima, por lo que una intervencin directa relativamente complicada. Los incidentes son comunicados a la alta direccin para poder evaluar la sancin pertinente, as como registrarlos y en futuros casos tener precedentes. Anualmente la alta direccin informa las metas cumplidas a todo el personal as como informar los avances obtenidos, manteniendo la comunicacin por parte de la institucin a su personal. Con respecto al cumplimiento de todas las normas y polticas, esta se da en un grado aceptable, debido a que varias de estas son de acceso para los jefes de departamento, los cuales legislan su cumplimiento

17

7.

Anexos Anexo 1: Matriz del Nivel de cumplimiento

Nivel de Calificacin Promedio de Calificacin % Nivel de Cumplimiento

DESCRIPCION DE CONTROL 1. POLTICA DE SEGURIDAD. Documento de poltica de Seguridad de la Informacin Revisin de la poltica de Seguridad de la Informacin 2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN. Compromiso de la gerencia con la seguridad de la informacin Coordinacin de la Seguridad de la Informacin Definicin de las responsabilidades de Seguridad de la Informacin Proceso de autorizacin de recursos para el tratamiento de la informacin Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de inters especial Revisin independiente de la seguridad de la informacin Identificacin de riesgos del acceso de partes externas Tratamiento de la seguridad en la relacin con los clientes Requisitos de seguridad en contratos en terceros 3. GESTIN DE ACTIVOS Inventario de activos Propiedad de activos Uso aceptable de los activos Gua para la clasificacin Identificacin y manejo de la informacin 4. SEGURIDAD LIGADA A LOS HUMANOS Roles y responsabilidades Contratacin Trminos y condiciones del empleo Responsabilidades de gestin Concientizacin, educacin y seguridad de la informacin. Proceso disciplinario Finalizacin de responsabilidades Devolucin de activos Retiro de los permisos de acceso 5. SEGURIDAD FSICA Y AMBIENTAL Controles de seguridad fsica Controles fsicos de entrada entrenamiento en la RECURSOS

83%
Alto Medio 95% 70%

76%
Medio Alto Alto Alto Alto Alto Bajo Bajo Alto Alto Alto Alto Alto Medio Alto Alto 70% 90% 80% 95% 85% 80% 30% 35% 80% 95% 100% 86% 90% 90% 75% 95% 80% 48% Alto Alto Medio Alto Bajo Alto Alto Alto Alto Medio Medio 85% 100% 45% 90% 25% 95% 85% 95% 90% 85% 75% 75%

18

Seguridad en oficinas, cuartos y edificios Proteccin contra amenazas externas y ambientales El trabajo en reas seguras reas de Acceso Pblico, carga y descarga Ubicacin y proteccin de equipamiento Instalacin de suministros Seguridad de cableado Mantenimiento de los equipos Seguridad de los equipos fuera de las instituciones Reutilizacin o eliminacin de equipos Retirada de materiales propiedad de la empresa 6. GESTIN DE COMUNICACIONES OPERACIONES Procedimientos operacionales documentados Administracin de cambios Segregacin de funciones Separacin de los recursos de desarrollo, ensayo y produccin Prestacin de servicio Superacin y revisin de los servicios prestados por terceros Gestin de cambios en los servicios prestados por terceros Gestin de la Capacidad Aceptacin de sistemas Controles contra el cdigo malicioso Controles contra el cdigo descargado en el cliente Back-up de informacin Controles de red Seguridad de los servicios de red Gestin de soporte extrables Eliminacin de medios Procedimientos para el manejo de informacin Seguridad de la documentacin de los sistemas Polticas y procedimientos de intercambio de informacin Acuerdos de intercambio Soportes fsicos en trnsito Mensajera electrnica Sistemas de informacin de empresa Comercio electrnico Transacciones en lnea Informacin a disposicin pblica Registro de auditoras Supervisin del uso del sistema Proteccin de la informacin de registro Registros de administracin y operacin Y

Alto Alto Medio N.A. Alto Alto Alto Alto Medio Alto Alto

85% 90% 75% N.A. 90% 95% 85% 95% 60% 100% 100% 75%

Alto Medio Medio Alto Medio Alto Medio Medio Alto Alto Medio Alto Alto Alto Medio Medio Alto Alto Alto Alto Bajo Alto Medio N.A. N.A. Alto Bajo Alto Medio Medio

80% 70% 70% 90% 70% 85% 65% 50% 85% 95% 100% 100% 95% 95% 50% 50% 90% 95% 90% 90% 30% 95% 45% N.A. N.A. 85% 35% 80% 55% 40%

19

Registro de fallos Sincronizacin de relojes 7. REQUISITOS DE NEGOCIO CONTROL DE ACCESOS Poltica de control de accesos Registro de usuarios Gestin de privilegios Gestin de contraseas de usuarios Revisin de los derechos de acceso de los usuarios Uso de contraseas Equipo informtico de usuario desatendido Poltica de escritorio y pantalla limpia Poltica de uso de los servicios de red Proteccin de los datos de prueba del sistema Identificacin del equipo en la red Diagnstico remoto y proteccin de los puertos de configuracin Segregacin en redes Control de la conexin a red Control de encaminamiento de red Procedimientos seguros de inicio de sesin Identificacin y autentificacin de usuario Sistema de gestin de contraseas Uso de las utilidades del sistema Desconexin automtica de sesiones Limitacin del tiempo de conexin Restriccin del acceso a la informacin Aislamiento de sistemas sensibles Ordenadores porttiles y comunicaciones mviles Teletrabajo 8. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN Procedimiento Operacionales Validacin de los datos iniciales Control del procedimiento interno Autentificacin e integridad de los mensajes Validacin de los datos de salida Poltica de uso de los controles criptogrficos Gestin de clave Control de software en explotacin Proteccin de los datos de prueba del sistema Control de acceso al Cdigo Fuente del programa Procedimientos de control de cambios Revisin tcnica de aplicaciones tras efectuar cambios en el sistema operativo. PARA EL

Alto Alto

85% 90% 74%

Alto Alto Alto Alto Medio Medio Medio Bajo Alto Alto Alto Alto Alto Alto Alto Alto Alto Alto Bajo Alto Bajo Alto Alto Bajo Alto

80% 90% 95% 90% 55% 40% 30% 35% 85% 90% 95% 85% 90% 85% 90% 95% 90% 95% 25% 95% 25% 90% 95% 15% 95% 69%

Alto Alto Alto Alto Medio Medio Alto Medio Alto Alto Alto Medio

80% 90% 85% 95% 45% 55% 85% 35% 95% 90% 85% 45%

20

Restricciones a los cambios en los paquetes de software Fugas de informacin Externalizacin del desarrollo de software Control de las vulnerabilidades tcnicas 9. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN Notificacin de los eventos de seguridad de la informacin Notificacin de puntos dbiles de la seguridad Responsabilidades y procedimientos Aprendizaje de los incidentes de seguridad de la informacin Recopilacin de evidencias 10. GESTIN DE LA CONTINUIDAD DEL NEGOCIO Inclusin de la informacin de seguridad en el proceso de administracin de la continuidad del negocio Continuidad del negocio y evaluacin de riesgos Desarrollo e implementacin de planes de continuidad incluyendo seguridad de la informacin Marco de referencia para la planificacin de la continuidad del negocio Prueba, mantenimiento y evaluacin de los planes de continuidad del negocio 11. CUMPLIMIENTO Identificacin de la legislacin aplicable Derechos de propiedad intelectual (DPI) Proteccin de los registros de la organizacin Proteccin de datos y privacidad de la informacin personal Regulacin de los controles criptogrficos Prevencin del uso indebido de las instalaciones de procesamiento de la informacin Cumplimiento de las polticas y normas de seguridad Verificacin del cumplimiento tcnico Controles de auditora de los sistemas de informacin Proteccin de las herramientas de auditora de los sistemas de informacin

Alto Medio Bajo Alto

90% 40% 20% 75% 55%

Medio Bajo Alto Medio Alto

45% 23% 85% 40% 80% 73%

Medio Medio Alto Alto Alto Alto Alto Alto Medio N.A. Alto Alto N.A. Bajo N.A.

55% 60% 90% 80% 80% 73% 90% 95% 80% 45% N.A. 80% 95% N.A. 25% N.A.

Leyenda: Nivel de Cumplimiento Bajo de 0% a 39% Medio de 40% a 79% Alto de 80% a 100%

21

Anexo 2: Referencia de Preguntas POLITICAS DE SEGURIDAD Existe una revisin constante de las polticas de seguridad de informacin? Medio 70% ASPECTOS ORGINAZATIVOS DE LA SEGUIRIDAD DE LA INFORMACION Existen acuerdos de confidencialidad? Alto 85% GESTION DE ACTIVOS Existe un correcto manejo de inventarios? Alto 90% SEGUIRIDAD LIGADA A LOS RECURSOS HUMANOS Existe concientizacin, educacin y entrenamiento en la seguridad de la informacin. Bajo 25% SEGURIDAD FISICA Y AMBIENTAL Existen controles fsicos durante el ingreso a la organizacin? Medio 35% GESTION DE COMUNICACIONES Y OPERACIONES Existe un manejo responsable de los back up ? Si Alto 95% REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO Existe gestin de contraseas de los usuarios? Si, Alto 90% ADQUISICION DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION Existe un sistema de validacin de datos de salida? Medio 45% GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION Existe notificacin de puntos dbiles de seguridad? Bajo 25%

22

GESTION DE LA CONTINUIDAD DEL NEGOCIO Como es el manejo de Pruebas, mantenimiento y evaluacin de los planes de continuidad del negocio. Alto 80% CUMPLIMIENTO Son respetados los derechos de propiedad intelectual? Alto 90% Existe prevencin del uso indebido de las instalaciones de procesamiento de la informacin? Si, Alto 100%

23