Embed Size (px)
Citation preview
GE
M
ESTIÓN DE ADM
UMÁSTER
DE LA SMISIÓN, R
JUA
UOC UNIV INTERU
SEGURIDREGISTR
UNIVE
AN CARL
VERSITAUNIVERS
DAD DE LRO Y CONRSIDAD
LOS SILV
AT OBERITARIO E
(MISTIC2014
LA INFORNTROL AVANCU
VA JARA
RTA DE CEN SEGUC)
RMACIÓACADÉMR
AMILLO
CATALUURIDAD
Págin
ÓN DEL ÁMICO DE
NYA DE LAS
na 1 de 98
ÁREA LA
TIC
GE
M
ESTIÓN DE ADM
UMÁSTER
DE LA SMISIÓN, R
JUA
AnM
UOC UNIV INTERU
SEGURIDREGISTR
UNIVE
AN CARL
Trabajo
ntonio JoMáster Se
VERSITAUNIVERS
DAD DE LRO Y CONRSIDAD
LOS SILV
de Final
Profesoosé Sego
eguridad
AT OBERITARIO E
(MISTIC2014
LA INFORNTROL AVANCU
VA JARA
l de Más
or ovia Hen Informa
RTA DE CEN SEGUC)
RMACIÓACADÉMR
AMILLO
ter
nares ación
CATALUURIDAD
Págin
ÓN DEL ÁMICO DE
NYA DE LAS
na 2 de 98
ÁREA LA
TIC
Este trab
Che
ajo está ded
ela (mi mam
E
dicado a las
ma), Karina,
En especial a
s personas q
María Luisa
a Dios por m
que han creíd
a y Soley (m
mantenerme
do, han sido
mis hermana
e firme a pes
Págin
o pacientes yaco
as), y Kelly (m
sar de los ob
na 3 de 98
y me han onsejado: mi novia)
bstáculos
Expr
La Ulos cprofedese
El PInforapor
reso mis a
Universidadconocimienesionales empeño de
Profesor Armación, Drtaciones, a
gradecimie
d UOC, enntos transcon alto c
e la vida pr
Antonio JDocente deapoyo y co
AGR
entos a:
especial amitidos a
compromisorofesional y
José Segel Máster Uonstante co
RADECIMI
al programlo largo do, responsy personal
ovia HenUniversitariolaboració
IENTOS
ma de Mástde la prepsabilidad y.
ares, Máo MISTIC n en el des
ter Universaración ac
y ética, par
ster en Sde la UOCsarrollo de
Págin
sitario MISTcadémica ra aplicarlo
SeguridadC, por sus e este traba
na 4 de 98
TIC, por y hacer os en el
de la valiosas ajo.
INTR
Cap
1234
Cap
1
23
Cap1
2
Cap1
RODUCCIO
itulo Preli
1. Norma 2. ISO 2703. Norma 4. Serie 27
ítulo I. SIT
1. Context1.1. O1.2. Á1.3. F1.4. S1.5. In1.6. E1.7. A
2. Objetivo3. Análisis
3.1. R
ítulo II. SI1. Esquem
1.1. S1.1.1
1.2. P1.3. P1.4. G1.5. P1.6. G1.7. M1.8. D
. Resulta
ítulo III. A. Inventar
ON
iminar. NO
ISO/IEC 2001:2013 ISO/IEC 27000
TUACIÓN
tualizaciónOrganigramÁrea de AdFunciones Software nstalación Estado inicAlcance os del plans DiferenciaResultados
STEMA Dma documeSistemática. Código dPolítica de ProcedimieGestión deProcedimieGestión deMetodologDeclaraciódos
ANALISIS Drio de activ
ORMAS IS
7001
7002
ACTUAL
ma dmisión, Re
física cial de la se
n director al s
E GESTIÓental a documendel documeSeguridad
ento de Aue Indicadorento Revise Roles y Ría de Análn de Aplica
DE RIESGvos
CONTENI
SO 27001 e
egistro y C
eguridad
ÓN DOCUM
ntal. ento d uditorías Inres. ión por Dir
Responsabisis de Rieabilidad.
GOS
IDO
e ISO 2700
Control Aca
MENTAL
ternas.
rección. bilidades. esgos.
02
adémico
Págin
na 5 de 98
Pág.
10
12 13 13 14
16 16 17 18 19 20 21 21 21 22 29
31 31 31 32 32 32 32 32 32 33 33
35
2345
6
Cap1
2 Cap
1
2
CONREF
. Análisis
. Nivel de
. Riesgo
. Calculo 5.1. Ele5.2. Rie5.3. Rie
. Resulta
ítulo IV. P1. Propues
1.1. Pro1.2. Pro1.3. Pro
2. Resultad
itulo V. AU1. Evaluac
27001 2. Evaluac
27002
NCLUSIONFERENCIA
s de amenae riesgo acintrínseco,del Riesgocción de s
esgo Efectivesgo Residdos
PLAN DE Sstas de prooyecto 1. Poyecto 2. Poyecto 3. Pdos
UDITORIAción de ma
ción de ma
NES AS
azas ceptable , efectivo yo alvaguardavo ual
SEGURIDAoyectos Proyecto dProyecto a Proyecto a
A DE CUMadurez resp
adurez resp
y residual
as
AD DE LA
e implememediano plargo plaz
PLIMIENTpecto a los
pecto a los
INFORMA
entación inmplazo zo
TO s controles
s controles
ACIÓN
mediata
definidos
definidos
Págin
en la ISO/
en la ISO/
na 6 de 98
40 46 47 47 57 58 60 66
68 69 70 71 72
/IEC 75
/IEC 84
96 97
TablTablTablTablTablTablTablTablTablTablTablTablTablTabl
TablTablTablTablTablTablTablTablTablTabl
TablTabl Tabl
la 1. Installa 2. Análisla 3. Análisla 4. Valorla 5. Escalla 6. Valorla 7. Activola 8. Nivelela 9. Contrla 10. Calcla 11. Riesla 12. Activla 13. Salvla 14. Activ
Conla 15. Escala 16. Estala 17. Nivela 18. Valola 19. Gesla 20. Audla 21. Revla 22. Mejola 23. Nivela 24. Porc
ISO/la 25. Valola 26. Nive
ISO/la 27. Porc
ISO/
ación Físicsis diferencsis diferencación dimela de valoración de aos y dimenes de Riesroles impleculo del Riesgo Intrínsevos con rievaguardas vos críticos
ntrol Acadéala de tiemadísticas deeles de efeoración detión de la ritoría interisión por laora del SGeles de macentaje de /IEC 2700
oración de eles de ma/IEC 27002centaje de /IEC 27002
LIS
ca cial con recial con reensiones dración de aactivos nsiones de sgos ementadosesgo de loeco por Amesgo intríns
s del Área
émico mpo de los e los proye
ectividad deel SGSI responsabna a dirección
GSI adurez con
efectividad1 la norma I
adurez con 2 efectividad2
STA DE TA
specto a laspecto a la
de seguridaactivos
la segurid
s activos
menazaseco supe
de Admisi
proyectosectos desael modelo C
bilidad
n del SGSI
el numerod obtenida
SO/IEC 27el numero
d obtenida
ABLAS
a ISO/IEC a ISO/IEC ad
dad
rior al nive
ión, Regist
arrolladosCMM
o de controa en cada d
7002 o de contro
a en cada d
2700127002
el aceptado
tro y
oles de la ndominio de
oles de la n
dominio de
Págin
o
norma 270e la
norma
e la
na 7 de 98
Pág.
20 22 22 35 37 37 40 46 46 50 54 55 57
66 69 72 74 75 78 79 79 80
01 81
82 84
89
91
FiguFigu
FiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFiguFigu
FiguFiguFigu
ura 1. Orgaura 2. Orga
Acaura 3. Estaura 4. Nuevura 5. Depeura 6. Riesura 7. Riesura 8. Riesura 9. Activura 10. Actura 11. Actura 12. Actura 13. Actura 14. Actura 15. Actura 16. Actura 17. Actura 18. Rieura 19. Evoura 20. Graura 21. Gra
ISOura 22. Maura 23. Graura 24. Gra
ISO
anigrama Uanigrama ddémico
ado inicial dva estructuendencias
sgo intrínsesgo Intrínsesgo Intrínsevos del tipotivos del tiptivos del tiptivos del tiptivos del tiptivos del tiptivos del tiptivos del tiptivos del tipesgos Totaolución de afico de radafico de baO/IEC 2700durez de loafico de radafico de baO/IEC 2700
LIS
Universidadde la oficin
de implemeura organiz entre activ
eco por grueco por Ameco de los o locaciónpo Hardwapo Softwarpo Datos po Soportepo Red po Serviciopo Equipampo Personaales
los diferendar del niv
arras nivele01 os controledar Nivel d
arras nivele02
TA DE FIG
d Vancura de Admi
entación dzativavos upo de actmenazasActivos
are re
e
os miento Auxal
ntes dominvel de mades de cump
es ISO/IECde madurees de cump
GURAS
sión, Regi
e controles
ivos
xiliar
nios de la nurez de la plimiento d
C 27002 z de la norplimiento d
stro y Con
s de segur
norma ISOnorma ISO
de la norma
rma ISO/IEde la norma
Págin
ntrol
ridad
/IEC 2700O/IEC 270a
EC 27002 a
na 8 de 98
Pág.
17
18 29 33 36 54 55 56 61 62 62 63 63 64 64 65 65 67
2 73 01 83
83 90 92
92
Acti
Acti
Aná
Con
Disp
Enu
Ges
Info
Integ
Ries
Seg
Sist
Sist
vo. Cualqu
vo de Infoalmacencomo se
lisis de Rpara est
nfidencialiddivulgue
ponibilidaduna ent
nciado delos cont
tión del organiza
rmación. lógica e
gridad. La
sgo Resid
uridad dedisponib
ema de Gsistemamonitore
ema de Inrelacionmantenmedios
uier cosa q
ormación.na en cuaensitiva o c
Riesgo. Ustimar el rie
dad. La pe a person
d. La propidad autori
e aplicabitroles que s
Riesgo. ación con
Toda formexplícita.
a propiedad
ual. El ries
e la Informbilidad, aut
Gestión dea gerencialear, revisa
nformaciónnan e inteimiento, try mecanis
que tenga v
Datos o inlquier tipocrítica para
so sistemáesgo
propiedad as, entidad
piedad de izada
lidad. Docson releva
Actividaderelación al
ma de con
d de salvag
sgo reman
mación. Ptenticidad,
e la Segu general,
ar, mantene
n. Conjunteraccionanransmisiónsmos tanto
GLOSAR
valor para
nformación de medioa el cumpli
ático de la
de que la des o proc
estar disp
cumento qantes y apli
es coordin riesgo.
nocimiento
guardar la
ente desp
Preservacióno repudio
uridad de su objetivoer y mejora
to ordenadn permitie y difusión automatiz
RIO
la organiz
n propiedao y que esmiento de
informació
informacicesos no au
ponible y u
ue describicables al S
nadas pa
objetivo c
exactitud
ués del tra
ón de la co y confiab
la Informo es estabar la segur
do de elemndo la ren de informzados com
zación.
ad de la orgs considerlos objetiv
ón para id
ón esté dutorizados
utilizable c
be los objeSGSI de u
ara dirigir
con repres
e integrida
atamiento d
confidenciabilidad de l
ación (SGblecer, impridad de la
entos cuyaecopilaciónmación utio manuale
Págin
ganizaciónada por lavos.
entificar fu
isponible s.
cuando lo r
etivos de cna organiz
y contro
sentación
ad de los a
del riesgo.
alidad, inta informac
GSI). Es pplementar,informació
as propiedn, procesailizando difes
na 9 de 98
n que se a misma
uentes y
y no se
requiera
control y zación.
olar una
física o
activos.
egridad, ción
parte del operar, ón.
dades se amiento, ferentes
El prde Univ
El Selaboperde lPlanproc
Algu
La imde lcríticpostAdmalcaRegeste Los
•
•
•
resente traun Sistem
versidad de
SGSI, se fuorada parración, segla segurid
nificar-Hacecesos del S
unos de los Reducc Los clie Los ries Confian
confiden
mplementala informacos de la teriores; de
misión, Regnce del Sistro y Con Sistema d
objetivos d Definir
concieninformadesaten
ImplemeSIARC, autorizaafectar
Reducirante el energía
abajo plantma de Gee Vancur.
undamentara brindarguimiento, ad de la er-Verifica
SGSI.
s beneficioción del riesentes tienensgos y sus nza de cliencialidad c
ación de unación, pero
organizace ahí la ragistro y C
SGSI las antrol, del Sde informac
del Plan Dila polític
nciación deción que
nción de esentar meda modo d
ados, elevala integridar la posibil
riesgo de, robo de e
IN
tea el estabestión de
a en la nor un modrevisión, minformaci
r-Actuar (P
s de la impsgo de pérn acceso acontroles
entes y socomercial.
n SGSI eso habitualción, para azón de laControl de actividadesSistema deción de la
irector, defa de seg
e la direccipermita re
scritorios, udidas que mde evitar yación de pad de la inflidad de ine presentaequipos, sa
NTRODUC
blecimientoSegurida
orma NTCdelo para mantenimión. TambPDCA), qu
plementacrdida, roboa la informason contin
ocios estra
s un procesmente emir engloba
a puesta ela Unive
s relaciona InformaciUniversida
finidos songuridad deión y los eeducir inciuso de clavmejoren la
y contrarresprivilegios formación.nterrupciónarse continabotaje, en
CION
o de las baad de la
-ISO/IEC el establ
ento y mebién, adopue se aplic
ión de un So o corrupcación a tra
nuamente ratégicos p
so de contmpieza abaando áreasn marcha rsidad de adas con ón SIARC ad.
n: e informa
empleadosidentes deves, entre
a seguridadstar el frauy otros tip. n del Sistengencias cntre otros.
ases para Informació
27001, esecimiento,
ejora del sta el mod
ca para est
SGSI, sonción de infoavés medidrevisados. or la gara
tinua mejoarcando los menos cde un SGVancur,
los procesy del hard
ación con en materie seguridaotros. d en el Siude a travpos de ata
ema de Incomo: ince
Página
la implemeón (SGSI)
sta norma , implemeistema de delo de ptructurar to
: ormación. das de seg
antía de ca
ra de la seos procescriticas en
GSI en el Áque definsos de Addware que
el fin dia seguridaad tales c
stema Infoés de acc
aques que
nformaciónendios, ca
a 10 de 98
entación ) en la
ha sido entación,
gestión procesos odos los
uridad.
alidad y
eguridad os más
n etapas Área de e como dmisión, soporta
e crear ad de la
como: la
ormático esos no lleguen
SIARC aídas de
Estoayuddepe El ecualformde uinterindicNiñopregvideo El meligióal pry sitorgasituainves Fina CapCapCapCapCapCap
os objetivodaran a mendencia lu
enfoque mitativa tom
mas posibleun limitadoresantes o cado en elo, 2011, p. guntas, tesos, grabac
método segó este procroblema qutuaciones
anizacionesación anastigacione
almente, el
itulo Prelimítulo I: SITítulo II: SISítulo III: ANítulo IV: PLitulo V: AU
os de planmitigar losuego de fin
metodológicma como mes, excepto pero det esclarece libro Cóm28). Los i
st, imágenciones, doc
guido es ecedimientoue se idenparticular
s especificalizada. Los.
trabajo se
minar: NORTUACIÓN ASTEMA DENALISIS DLAN DE SE
UDITORIA
n director s riesgos nalizar el a
co de estamisión “recuando la ntallado nú
edores, y smo se haceinstrument
nes, textoscumentos,
l Inductivoo ya que ptifico. Estees, aplicácas, a moos resulta
e presenta
RMAS ISOACTUAL E GESTIÓN
DE RIESGOEGURIDADE CUMP
permitirán al que
análisis de
a investigacolectar y numérica. mero de c
su meta ese una invetos de frecs, fotografíetc.
o. Siguienpermite cume método pndose con
odo de obados obte
con la sigu
O 27001 e I
N DOCUMOS D DE LA I
PLIMIENTO
luego, esestán expriesgos.
ación es canalizar lTiende a
casos o es lograr `prestigación duente uso ías, tallere
do lo indicmplir con loparte de lan mucha btener expenidos pue
uiente estr
SO 27002
MENTAL
NFORMACO
stablecer lpuestos lo
cualitativo.a informaccentrarse
ejemplos qrofundidadde Blaxterdel enfoqu
es, sociogr
cado por Mos objetivo
a observacfrecuencia
plicacioneseden serv
ructura:
2.
CIÓN
Página
os proyecos activos
La invesción en toen la expue se con´ y no `am
r (como seue cualitatiramas, reu
Méndez (20os y dar reción de fena en audis del fenóvir a pos
a 11 de 98
ctos que s de la
stigación odas las ploración nsideran
mplitud´”, e cita en ivo, son: uniones,
001), se espuesta ómenos torias a meno o steriores
C
1. N
Es uSecuaproInterElec Estaman(SGSChede lbritánorm La nbritáinfor La pla qu7799sisteentidy la en e En 2siste77992700comel añ En Mpublinfor
Capitulo
NORMA IS
un estándurity techn
obado y prnational Octrotechnica
a norma entener y mSI) según ck, Act (Pla norma
ánica, la Bma BS 779
norma BS ánica un cormación. La
primera parue no se 9-2), publicema de sedad indepeprimera pa
el año 2000
2002, se remas de g9-2, esta n01. Al tiemo ISO 270
ño de publi
Marzo de icó la BS
rmación.
o Prelim
SO/IEC 27
ar para laniques - Infpublicado Organizatioal Commis
específica mejorar un
el conocidanificar, HISO/IEC 2
British Stan9.
7799 de onjunto dea norma B
rte de la nestablecía
cada por peguridad dendiente. Larte se ad0.
revisó BS gestión. Ennorma se p
mpo se revi002:2005 eicación for
2006, po7799-3:20
minar. N
7001
a seguridaformation como eston for Stssion.
los requ sistema
do como “CHacer, Verif27001, se ndards Ins
BSI, tuvo e buenas pBS 7799 es
orma (BS a un esqueprimera vezde la infoLas dos paoptó por IS
7799-2 pan 2005, copublicó porsó y actua
el 1 de Julirmal de la r
osteriormen006, centra
NORMAS
ad de la isecurity mtándar inteandardizat
uisitos necde gestión
Ciclo de Deficar, Actuadebe refe
stitution (B
como objeprácticas pstaba confo
7799-1) fuema de cez en 1998,
ormación (artes de la SO, sin ca
ara adecuaon más der ISO, con alizó ISO 1o de 2007revisión.
nte a la pada en la g
S ISO 2
nformaciónmanagemeernacionaltion y po
cesarios pn de la seming”: PDar). Para cerenciar la
BSI). Esta
eto proporpara la gesormada po
ue una guíertificación, la que es(SGSI) panorma BS
ambios sus
arse a la e 1700 emalgunos c7799. Esta
7, manteni
publicacióngestión de
27001 e
n (Informant systems en octubr la comi
para estaeguridad d
DCA - acrócomenzar aa entidad
entidad e
rcionar a cstión de lar dos parte
ía de buenn. Es la sestableció lora ser ce
S 7799 se stanciales,
filosofía dmpresas ccambios, coa última noiendo el co
n de ISO el riesgo d
Página
ISO 270
ation techns - Requirbre de 20sión Inter
blecer, imde la info
ónimo de Pa hablar dede norma
emitió en
cualquier ea seguridaes.
nas prácticaegunda pa
os requisitoertificable previsaron e como ISO
e normas certificadasomo estánorma se reontenido a
27001:20e los siste
a 12 de 98
002
nology - ements) 005 por rnational
mplantar, rmación
Plan, Do, el origen alización 1995 la
empresa ad de su
as, para arte (BS os de un por una en 1999 O 17799
ISO de s en BS ndar ISO enombró sí como
05, BSI emas de
Asimde laimpledent
2. I
Exisellos
•
••
•
•
Una dos debeconsmed Hay análcontaseg
3. N
La ISprimStanel títinfor
mismo, ISOa serie 270ementaciótro de la se
ISO 27001
ten varios s se destac
Desapala eleccmejoras
Pasa de Conside
incremecontrole
Inclusiócrecient
Se partecomparlas ame
vez publicaños) du
erán adecsolidarse ddiante una
que destisis de rietroles que gurar de qu
NORMA IS
SO 27002mera vez cndardizatiotulo de Inrmation se
O ha contin000 que si
ón de ISO/erie.
1:2013
cambios ccan:
arece la seción de ms. e 102 requerables caentando el es a 114. ón de un nutes relacioe del anál
rarlos con enazas y su
cada la nurante el c
cuar sus durante unauditoría e
tacar tambesgos, de se necesitue no se h
SO/IEC 27
2 es un escomo ISO
on y por la formation curity man
nuado, y cirvan de ap/IEC 27001
con respec
ección "enfmetodologí
isitos a 13ambios en
número d
uevo domines entre eisis de riesel Anexo Aus vulnera
ueva normcual las oSGSI a
na auditoríextraordina
bién que eforma qu
tan, para da dejado n
7002
tándar parO/IEC 177Comisión technolog
nagement.
continúa aúpoyo a las1, que es
cto a la ver
foque a proías de tra
30. n los conde dominio
nio sobre empresa ysgos para A, en lugabilidades.
a, se ha aorganizacio
la nuevaía de seguaria si se co
en la nuevue a partirdespués coninguno ap
ra la segu799:2000 pElectrotécy - SecurLuego de
ún, desarros organizacla norma
rsión 2005
ocesos" daabajo para
troles estos a 14 y d
"Relacioney proveedo
determinar de de ide
abierto un ones que a versión. uimiento, donsidera o
va versiónr de este omparar esplicable;
ridad de lapor la Intnica Intern
rity techniquna etapa
ollando otrciones en principal y
en esta ve
ando mayoa el análi
ablecidos disminuye
es con el Por en la nubar los contrentificar pr
periodo (sdeseen sEsta ac
de re-certifoportuno.
n el puntoanálisis s
sta lista co
a informacternational nacional enques - Coa de revisi
Página
ras normasla interpre
y única cer
ersión 201
or flexibilidsis de rie
en el Anndo el núm
Proveedor"be. roles necerimero los
se cree quseguir certctualizaciónficación, o
de partidse determion el anexo
ción publicOrganiza
n el año 20de of pracón y actua
a 13 de 98
s dentro tación e rtificable
3. Entre
dad para esgos y
nexo A, mero de
" por las
esarios y activos,
ue es de tificadas n podrá o incluso
da es el inan los o A para
cado por ation for 000, con ctice for alización
de actu El esfue recoinforman La v
12345678911
Dentla separaseccaplic
4. S
La sestá
•
•
los contenalizado de
stándar ISpublicado
omendacionrmación antener siste
versión de 21. Política 2. Organiz3. Gestión4. Segurid5. Segurid6. Gestión7. Control 8. Adquisic9. Gestión10. Gestión11. Cumplim
tro de cadaeguridad da su implaciones auncables seg
Serie 2700
seguridad ndares ISO
ISO 270vocabultener udiferent
ISO/IECInformaGestióncertificacontempISO 270
nidos del enominado
SO/IEC 177o por pnes de las
a todos loemas de ge
2005 del ede Seguri
zación de lan de Activodad de los dad Física yn de las Co
de Accesoción, Desa
n de Inciden de Continmiento.
a sección, e la inform
antación. Eque cada ún sus pro
00
de la infO/IEC:
000: Publiclario a ser
un entendies docume
C 27001:2ación (SGSn de Segados por apla una list002 (anteri
estándar ISO/IEC 1
799 tiene srimera ves mejores os interesestión de la
estándar indad de la a Seguridas de InformRecursos y Ambienta
omunicacioos. arrollo y Mantes en la
nuidad del
se especimación. PaEl númeroorganizaci
opias nece
formación
cada en mempleado
imiento mentos que
2005 “SisSI)”. Es la guridad deauditores eta con los ormente d
, se publ17799:200
su origen ez en 1prácticas
ados y rea segurida
cluye las sInformacióad de la Infmación. Humanos.al.
ones y Ope
antenimienSeguridadNegocio.
fican los oara cada uno total de
ón debe csidades.
tiene asig
mayo de 20o en toda l
más claro la conform
temas denorma prine la Infoexternos aobjetivos d
denominad
icó en el5. Este est
en el Britis1995. ISO
en la gesesponsabl
ad de la info
siguientes ón. formación.
eraciones.
nto de Sisted de la Info
objetivos deno de los ccontroles onsiderar
gnada la
009. Contiela serie 27de la ser
man.
e Gestiónncipal de r
ormación. las organde control a ISO 177
l año 200tándar No
sh StandaO/IEC 27stión de laes en iniormación.
once secc
.
emas de Inormación.
e los distincontroles ssuma 133
cuántos se
serie 2700
ene la des7000. Se prie y la r
de la Srequisitos Los SGS
nizacionesy controles99).
Página
05 el doces certifica
rd BS 7797002 propa seguridaiciar, impl
ciones princ
nformación
ntos controse indica u3 entre toerán realm
00 dentro
scripción gpuede utilizrelación e
Seguridadde un Sist
SI’s deber. En su As que desa
a 14 de 98
cumento able.
99-1 que porciona ad de la antar o
cipales:
n.
les para una guía odas las
mente los
de los
eneral y zar para ntre los
de la tema de rán ser
Anexo A, arrolla la
•
•
•
•
•
ISO/IECcontrol ycon 11 d
ISO/IECContenduso del origen epublicadimplanta
ISO 270técnicasimplanta
ISO 27gestión apoyo aISO 133
ISO 270acreditade segu
C 27002: Gy controlesdominios,
C 27003: drá una gumodelo P
en el anexdos por BSación.
004: Publics de medidación de u
005: Publdel riesgo
a la ISO 27335.
006: Publiación de enuridad de la
Guía de bs recomen39 objetivo
En fase uía de imp
PDCA y de xo B de la SI a lo larg
cada en dda aplicabn SGSI y d
icada en o de la seg7001 y a la
icada en fntidades dea informac
buenas prándables enos de cont
de desarrplementaci
los requisnorma BS
go de los a
iciembre dles para dde los cont
junio de 2guridad dea implanta
febrero dee auditoría
ción.
ácticas qu cuanto a rol y 133 c
rollo; probón de SG
sitos de suS 7799-2 yaños con re
de 2009. Eeterminar troles relac
2008. Cone la información de un
e 2007. Esa y certifica
e describeseguridad
controles.
bable publSI e inform
us diferentey en la serecomenda
Especifica la eficienc
cionados.
nsiste en mación y sin SGSI. In
specifica loación de sis
Página
e los objet de la info
licación enmación acees fases. Trie de docuaciones y g
las métriccia y eficac
una guía irve, por tacluye part
os requisitstemas de
a 15 de 98
tivos de rmación
n 2009. erca del Tiene su umentos guías de
as y las cia de la
para la anto, de es de la
tos para e gestión
1
LsaEtaacn Linla
1Ec
1. Contex
La Universsistema eacadémicoEstudia y eal lo asesautonomía cinco sedenecesidade
La Universnformacióna disponibi
1.1. OrgaEl organigrcontrol, dem
Cap
xtualizac
sidad Vanceducativo s, forma enriquece sora en los
académices en el tees de la ec
sidad de Vn en el áreilidad, integ
anigrama rama de lamarcada c
pítulo I. S
ción
cur, como colombianprofesionael patrimos órdenes
ca e inveserritorio co
conomía re
Vancur dea de Admigridad y co
a Universidcon rojo, se
SITUAC
universidano, proveales compnio cultura
s científicotigativa. Lolombiano,egional.
esea mejosión, regisonfidencial
dad de Vane muestra a
CIÓN AC
ad fomentae la maetentes y
al, natural o, tecnológa Universi, ofreciend
orar sus nstro y contlidad de la
ncur y el áa continua
CTUAL
a el accesyor ofertasocialmen
y ambientgico, culturidad de Vdo program
niveles detrol; de estinformació
área de Adción:
Página
so con equa de pronte respontal del paísral y artíst
Vancur cuemas acord
seguridate modo gaón.
dmisión, re
a 16 de 98
uidad al ogramas nsables. s. Como tico con
enta con de a las
d de la arantizar
egistro y
1Adpeindr .
1.2. ÁreaAdmisionesde dirigir, programasen lo referenformaciónde sistemaequiera.
Figu
a de Admis como un
coordinar, políticas ente a losn académicas informá
ra 1. Orga
isión, Regn grupo der, supervisy reglame servicios ca y controáticos que
anigrama U
gistro y Coe apoyo desar y conentación, fo
de inscripol de estude ofrezcan
Universidad
ontrol Acae la Univerntrolar la ormulada ypción, admdiantes a tr informac
d Vancur
adémico rsidad de V
ejecucióny adoptad
misión, matravés del uión actual
Página
Vancur enn de los a en la instrícula, reguso y/o displizada a q
a 17 de 98
cargada planes,
stitución gistro de posición quien lo
1Ls
Figur
1.3. FunLas funcionson:
• Visacons
• Llevestu
• Apoy• Rea
dos • Elab• Con• Raci
corre• Llev
ra 2. Organ
ciones nes que s
ar los Cestancias dear los regidios. yar la evallizar la maSemestres
borar y prosolidar losionalizar espondienar el regist
nigrama de
e desarrol
ertificados e Orden destros de m
uación de atrícula des Académiponer el C horarios el uso tes su adetro y contro
e la oficinaAcadém
llan en el
de estue mérito. matrícula,
las accione estudiantcos.
Calendario Ade clases de aulas
ecuado maol de egres
a de Admismico
área de A
udios, co
actas de c
nes de doctes de pre
Académicoen coordins y coo
antenimientsados.
sión, Regis
Admisión,
onstancia
calificación
encia de laegrado y p
o. nación con ordinar coto y limpie
Página
stro y Cont
Registro y
de estu
n y certifica
a Universidpost Grado
las Faculton las eza.
a 18 de 98
rol
y control
dios y
ados de
dad. o en los
tades. Oficinas
M(setiinmEp Ehaa ERmem Acne
1Ssrms
• Selesemsu R
• Verifposi
• Many síla
• Pres
Muchos deSistema In
servidores es adminisiene diversncorporacimantenimieEn el segupara luego
El equipo horarios acaulas. Sonadministrat
El área de Registro amomento destudio, demodulo que
Archivo y cumplen cnecesarias entre otros
1.4. SoftSIARC es sistemas, equerimien
mismo persistema de
eccionar deestre acad
Reglamentaficar los Rbles egres
ntener el reabos de casentar el in
e estos pronformáticode las ofic
strado por sas funcionón de ento del sendo servidser puesto
técnico escadémicos n los que tivos de la
registro Acacadémico de ingresa
e llevar el ce se integr
estadísticacon la co
las estad.
tware un softwaentregand
ntos expuersonal se informació
e estudiandémico conación. Registros sados paraegistro permada una denforme anu
ocesos se o de Admicinas de Ad
el grupo nes: realiznuevas
ervidor dondor se realo en march
stá encargde cada pgestionan
universida
cadémico ycolabora
ar notas; control de ra al SIARC
a, controlaondición ddísticas co
are desarrodo diversaesto por lencargó
ón que se
ntes que oncluido en
de Notasa su postermanente de las Faculual de las a
llevan a tisión, Regdmisión, rede soport
zar el manty mejorande está aizan las prha en el se
gado de mprograma dn los usu
ad.
y archivo. con los además egresados
C.
a las actade grado; oncerniente
ollado por as versioa universidel montadesarrolló
ocuparon estricto O
con los arior certificade notas, pltades y esactividades
través del gistro y Coegistro y cote informáttenimiento adas funalojado el ruebas a laervidor prin
manejar edurante el uarios y c
docentes se encargs. Estas ac
as de egrademás
es al ingr
el personones ajustdad a lo aje del ha.
los PrimerOrden Méri
asentados ación. planes de escuela de Ps realizada
sistema inontrol) quontrol. El stico y sistedel softwaciones, asistema in
as mejorasncipal.
el SIARC, semestre
contraseña
si tienengan de loctividades
resados y de realiz
reso de es
nal de soptadas de largo de cardware n
Página
ros Puestoito y de ac
en Actas
estudios, cPost Gradoas.
nformáticoue reside istema infoemas; estare en cuaadministranformático s hechas a
para geny la asignas de doc
n dificultados certifica
se realiza
de aquelzar cuandstudiantes
porte informacuerdo
cuatro añonecesario
a 19 de 98
os en el cuerdo a
s de los
currículo o.
o SIARC en dos
ormático e grupo
anto a la ación y
SIARC. a SIARC
erar los ación de centes y
d en el ados de an en un
los que do sean , notas,
mático y a los
os. Este para el
Sas E
1El eCont
SIARC es uadministradservidores
El Sistema • Gen
asig• Digit• Mod
modUniv
• Gest• Rep
1.5. Instantorno dontrol Acadé
Subgrupo
Esp
Pers
una aplicador de bases Window
de Informaeración denación de tación de n
dulo de indulo es tamversidad Vatión de conortes
alación físnde se desmico es el
o
pacio
sonal
ción web dse de datosws server 2
ación SIAe horariosaulas.
notas nscripción,mbién acceancur. ntraseñas
sica sarrollan la siguiente:
TablaUbicació
ofi
des
Of
Des
desarrollads. El sistem2008.
ARC, integrs para est
, matriculaesible desd
y roles, pa
as activida:
1. Instalacón
icinas
sarrollo
ficinas
sarrollo
da en ASPma operativ
ra los siguitudiantes
a, generade la web
ara docente
ades del Á
ción FísicaDescripDespachAdmisióncontrol DespachsecretariDirecciónDespachAdmisiónDespachDesarrolDespachRegistro Registro Archivo yÁrea informátiDirecciónOperacioDirecciónDesarrolhardwareVigilanteárea dRegistro
P.NET y SQvo que est
entes módy docente
ación de a través d
es y admin
rea de Ad
pción ho Directn, registro
ho do dn ho Directn académicaho Director dlo tecnológic
ho Directacadémicoacadémico
y estadísticade soporco y sisteman ones n lo Software e de acceso
de admisióy control
Página
QLSERVEtá instalad
dulos: es, ademá
certificadode la págin
nistrativos.
misión, Re
Detalletor
y
de de
tor
de co
tor
rte as
5 6 1
y 4
al ón, 1
a 20 de 98
ER como o en los
ás de la
os, este na de la
egistro y
e
1•
•
•
•
•
•
1FpdV
2
•
•
•
1.6. Esta El grup
mantenmedida)respaldoSIARC descartacopias d
Plan dees repa
Los emcontrasemás con
Seguriddel Áreade puecontrol d
No exisoperacio
Los eqininterum
1.7. AlcaFuncionamprocesos ddel hardwaVancur en
2. Objetiv
Definir concieninformadesaten
ImplemeSIARC, autorizaafectar
Reducirante el energía
ado inicialpo de sopimiento de) no dispoo antes deen un discada la copde segurid
e mantenimrado y se cpleados deeña para inntroles de
dad en la ina de Admirtas de lade entradaste un Pones del nuipos tienmpible de
ance miento de
e Admisióare que ssu sede pr
vos del P
la políticnciación deción que
nción de esentar meda modo d
ados, elevala integridar la posibil
riesgo de, robo de e
l de la segporte inforel Sistemaone de u
e incorporaco duro expia de segad cuando
miento del hcambia poel Área dengresar al acceso. nstalación sión, Regi
as oficinasa. Plan de cnegocio en en regulaenergía.
un SGSIn, Registro
soporta esrincipal ubi
Plan Dire
a de sege la direccipermita re
scritorios, udidas que mde evitar yación de pad de la inflidad de ine presentaequipos, sa
guridad: rmático y a de informn plan de
ar una nuevxterno. Su
guridad. Eno se comiehardware nr una nuev
e AdmisiónSIARC, en
física, exisistro y Con
s y sub-áre
continuidadun tiempo
adores de
I para laso y Controste Sistemicada en S
ector
guridad deión y los eeducir inciuso de clavmejoren la
y contrarresprivilegiosformación.nterrupciónarse continabotaje, en
sistemasmación SIe backupsva versión
uperado el n el servidnza a trabno existe, va pieza si, Registro n los comp
ste un conntrol llevadeas son p
d parao razonable
tensión,
s actividal, del Siste
ma de infoSanta Marta
e informaempleadosidentes deves, entre
a seguridadstar el frauy otros tip. n del Sistengencias cntre otros.
, que estIARC (softs adecuadn del Sistem
evento deor de desaajar en unacuando un es el casoy Control
putadores
ntrol para ldo por unapuertas no
mantener e. pero no e
ades relacema de Infoormación da.
ación con en materie seguridaotros. d en el Siude a travpos de ata
ema de Incomo: ince
Página
tá encargaftware hecdo. Se reama de infoe actualizaarrollo se a nueva ven equipo seo. usan su uusados no
a entrada persona.
ormales y
o restau
existe un
cionadas cormación Sde la Univ
el fin dia seguridaad tales c
stema Infoés de acc
aques que
nformaciónendios, ca
a 21 de 98
ado del cho a la aliza un
ormación ación es realizan
ersión. e avería
suario y o existen
y salida El resto no hay
urar las
sistema
con los SIARC y versidad
e crear ad de la
como: la
ormático esos no lleguen
SIARC aídas de
Sección
4.-A
nális
is d
e R
iesg
os
5.-P
olíti
ca d
e se
gurid
ad
3
Anál No hAcad
Req
C
C
ResAud
Rev
Mejo
A
A
.
Objetivo
4.1- Análisis deRiesgo
4.2- Tratamientdel Riesgo
5.1.-Política deseguridad
3. Anális
lisis diferen
hay un SGdémico de
TabRe
uerimient
Control de
Control de
ponsabilidditorías int
isión por
oramiento
Acción Co
Acción Pre
Tabo
e
to
e 5.1.1.-Do
Segurid
5.1.2.-ReSegurid
sis Difere
ncial con re
GSI implemla Univers
bla 2. Análequerimientos de doc
e document
e registros
dad de la ternas
Dirección
o del SGSI
rrectiva
eventiva
bla 3. AnálControl
ocumento de Podad de la Inform
evisión de la Podad de la Inform
encial
especto a
mentado esidad de V
isis diferenntos cumentaci
tos
Dirección
del SGSI
isis diferen
olítica de mación
¿Ese
lítica de mación
¿S
la ISO/IEC
en la depeancur.
ncial con re
ión Exiopede reqrevNo regSG
n No conNo No estSegdeles eseNo la dlos No elimNo no-pre
ncial con reC
Existe un documeguridad dispon
usuaSe hacen revisio
política de
C 27001.
ndencia A
especto a
isten documeeracionales dlos activos a
queridos por visan ni se ge
se proporciogistros del funGSI.
se proporcion la seguridase realizanse realizan.
tadística genguridad de la jefe de desanecesario soe aspecto. existen acci
dependenciaque están eexiste un pr
minar las cauexiste un do
- conformidaevenirlas
especto a Cuestión
mento de políticanible para todosarios? ones regulares de seguridad?
Admisión, R
la ISO/IECComenta
entos de rolede la dependa su cargo. Lel SGSI no Eestionan. onan evidencncionamiento
onan evidencad de la infor
La direcciónerada por la
a informaciónarrollo tecnoolicita recurs
iones de meja no conoce lexpuestos losrocedimientousa de no-coocumento dodes potencia
la ISO/IECSi
a de s los
de la
Página
Registro y
C 27001 ario
es y funcionedencia, y la rLos documenExisten, no s
cias de manto requeridos
cias del commación.
n revisa la dependencin ha estado alógico y esteos para inve
joramiento dlos riesgos res activos. o establecidoonformidadesonde se regisales y cómo
C 27002 No
X
X
X El personlos criterioadecuado
X
a 22 de 98
Control
es elación
ntos se
tenerse s por el
mpromiso
ia. La a cargo
e cuando ertir en
de SGSI, eales a
para s stre las
Comentar
nal de soporte inos de segurida
os.
rio
nformático aplicd que consider
cara
Sección
6.-S
egur
idad
en
la c
ompa
ñía
6
7.-G
estió
n de
act
ivos
7d
8.-S
egur
idad
rela
tiva
al p
erso
nal
Objetivo
6.1.-Organizacióinterna
7.1.-Responsabilida
de los activos
7.2.-Clasificacióde la informació
8.1.-Previo a la
contratación
8.2.-Durante lacontratación
o
ón
6.1.1.-CoSegurid
6.1.2-Segurid
6.1respo
Segurid
6.1.4-Procrecursos p
6.1c
6.1.6.-Con
6.1.7.-Co
6.1.8.-Revla Segur
ad s
7.1.1.-
7.1.2-P
7.1.3.-Usd
ón ón
7.2.1.-G
7.2.2.-Mar
a
8.1.1.-Pe
8.1.2.-R
8.1.3.-Térla
a
8.res
8.2.2.-Eden segur
8.2.3.-P
Control mité de Gestióndad de la Inform
-Coordinación ddad de la Inform
.3-Asignación donsabilidades sodad de la Inform
ceso de autorizapara el tratamie
información
1.5.-Acuerdos dconfidencialidad
ntactos con auto
ontactos con gruinterés
visión Independridad de la Infor
Inventario de ac
Propiedad de ac
so aceptable dede información
Guías de clasific
rcado y tratamieinformación
erfiles y respons
Revisión y verific
rminos y condicrelación labora
.2.1.-Gestión desponsabilidades
ducación y caparidad de la infor
Procesos discipl
n para la mación
¿Etr
de la mación
de obre
mación
¿Espara
ación de nto de la
¿E
e ¿Fi
oridades ¿Su
upos de ¿Sude
diente de mación
¿Sede
ctivos ¿E
inve
ctivos ¿Se
activos ¿Ereg
cación ¿E
infors
ento de la ¿Ex
sabilidad ¿Se
de
cación
¿Sa
per
iones de al seg
e s
¿Se
acitación rmación
¿Retercrel
inarios
¿Etrat
CExiste un comitérate las cuestion
¿Se coordinanseguridad en
departastán definidas laa proteger y con
y los s
xiste un procesla dirección par
equipos o a
irman los empleconfiden
uele su emprescon autoridades
seguuele su empresae interés, foros,
seguridad
e realizan revisie la implantació
Existen y se manentarios de los a
informe han designadtodos los activo
informEstán definidos yglas del uso ace
sistemas deExiste un esquemrmación y los si
su confidencialidxisten procedimiy usar la inform
esquema dee incluyen en la e trabajo las res
seguridad dSe verifica que saportados en elrsonal, cuando s
trab¿Están est
responsabilidauridad en los té
del contratoe asegura que la
de seguridad daplic
eciben los emplceras partes la flativa a políticas
Existe un procestar las violacione
empleados, dprocedimiento
Cuestión é de seguridad nes de seguridan las medidas dtre los distintos
amentos? as responsabilidntrolar la informistemas?
o de autorizacióra instalar nuevoaplicaciones?
eados un acuerdncialidad?
a mantener cons especialistas duridad? a pertenecer a g, o asociacionesd externos?
ones independión de la segurid
ntienen actualizactivos del sistemación? o los propietarioos del sistema dmación? y documentado
eptable de activoe información?ma para clasificstemas en func
dad o importancientos para iden
mación, en base e clasificación?
definición del psponsabilidadesde cada cual? son ciertos los d CV que aportasolicita un puesbajo? tablecidas las des relativas a
érminos y condico de trabajo? as responsabilidde cada cual socadas?
eados y usuariformación aprops y procedimien
so disciplinario es realizadas p
de las políticas yos de seguridad?
Si que
ad?
e
dades mación
ón de os
do de
ntacto de
grupos s de
ientes ad?
ados ma de
os de de
os las os de
car la ción de cia?
ntificar al
puesto s de
datos a el sto de
la ciones
dades on
ios de piada, ntos?
para or los y ?
X
Página
No
X
X
X
X
X
X
X
X Hasta aho
X Existe actualizacconsidera
X
X
X
X
X
X
X
X
X
El procesoque está ecargo
a 23 de 98
Comentar
ora no se ha hec
un inventarción lo realizn oportuno.
o disciplinario queen el manual de fu
rio
cho ninguna.
rio pero szan cuando
e se aplica es el unciones de cad
sulo
a
Sección
9.-S
egur
idad
físi
ca y
del
ent
orno
9
9
10.-
Ges
tión
de
com
unic
acio
nes
y op
erac
ión
Objetivo
8.3.-A la
finalización de lcontratación
9.1.-Áreas segur
9.2.-Seguridad d
los equipos
10.1.-
Procedimientosoperacionales responsabilidad
o
la
8.3.1.-Re
8.3.2.-D
8.3.3.-Re
ras
9.1.1.-P
9.1.2.-
9.1.3.-Sdesp
9.1.4.-Proexte
9.1.5.-El
de
9.2.1.-Lode
9.2
9.2.3.-Se
9.2.4.-Ma
9.2.5.-Segde los loc
9.2.6reutiliza
9.2.7.-S
s y d
10.1.1proced
10.1.2.
10.1.3.-S
Control
esponsabilidadefinalización
Devolución de a
etirada de los dede acceso
erímetro de segfísica
-Controles físicoaccesos
Seguridad de ofipachos y recurs
otección ante amernas y de entor
trabajo en las áseguridad
ocalización y proel Equipamiento
2.2.-Suministros
eguridad del ca
antenimiento de
guridad de equipcales de la Orga
6.-Seguridad enación o eliminac
equipos
Salida de propie
.-Documentaciódimientos opera
-Gestión de cam
Segregación de
es en la clalos
activos
¿Seact
de lo
erechos ¿Sede ade t
guridad ¿Exp
os de propar
icinas, sos req
menazas rno inun
dis
áreas de ¿Epara
otección o prot
s
¿Efallo
ableado
¿es
equipos ¿Slas
pos fuera anización
¿Exque cua
n la ción de ¿Se
edades ¿
ón de ativos
¿Es
mbios ¿Es
Tareas ¿
red
C¿Están definid
aramente las res empleados y u
partes a la fincontra
e asegura la devivos de la organos empleados y
partes a la fincontratación
e asegura la retiacceso de los eterceras partes
contratació
xiste un perímetproteger las área
siste¿Están las áre
otegidas por coa permitir el acc
autor¿Están protegid
despachos ququerimiento de s¿Están protegi
seguridad condaciones, terre
sturbios y otras fnaturales u o
Existen controlea trabajar en las
¿Están los eqtegidos para red
acceso noEstán protegidosos de suministroalcantarillado,
acondic¿Están protegidscuchas los cab
datos o soporinform
Se mantienen losrecomendacionprocedimientos
xisten procedimicubran la segu
ando se usan fude la e
e borra la informantes de r
Se necesita unasacar de las o
información
stán documentaprocedimientos
stán controladosistemas y
Están segregaducir la oportunid
de los s
Cuestión das y asignadas
esponsabilidadeusuarios de tercnalización de la atación? volución de todonización en posy usuarios de tenalización de l an, o acuerdo?
rada de los derempleados y usua la finalización
ón o acuerdo?
tro de seguridadas donde están emas? eas de seguridaontroles de entrceso sólo al perrizado? dos las oficinasue tienen algúnseguridad espeidos las áreas d
ontra incendios, emotos, explosiformas de desa
origen humano?
es físicos especis áreas de segu
uipos situados oducir las opcion
o autorizado? s los equipos coo (electricidad, acalefacción, air
cionado) ? os contra daños
bles que transmrten servicios demación? s equipos en banes del fabricans documentadosientos de segurridad de los sis
uera de las premempresa?
mación de los eqreutilizarlos?
a autorización poficinas equiposn o software?
dos y mantenids operacionales
os los cambios daplicaciones?
das las tareas, pdad de o malossistemas?
Si s s de
ceras
os los esión rceras
a
rechos uarios n de la
d para los
d rada, rsonal
s y
ecial?
de ones,
astres
iales ridad?
o nes de X
ontra agua, re
s o mitan e
ase a te y/o s?
ridad y temas
misas
quipos X
para s,
dos los s?
de los
para usos
Página
No
X
X
X
Se trata dlos cambiosistema terminadopasar 2 dí
X El perímequien entr
X
Las puertason de sede las oficno hay nin
X
X
X
X
Existe unproteger tensión, pfalle el sum
X
X El mantenprocedime
X No existeequipos, s
X El controportátiles ocasiones
X
X
X
a 24 de 98
Comentar
de reflejar lo máos de los derecde informació
o su contrataciías.
etro existe, perra o sale de él.
as de acceso aeguridad. El restcinas son normngún control de
n regulador dlos equipos c
pero no hay un Sministro de ene
nimiento de los entado,
e ninguna medsolo portátiles.
ol de softwareno son con
s se sacan sin a
rio
ás rápido posibhos de acceso
ón una vez ión. Llegando
o no se contro
a la dependencto de las puerta
males de chapa entrada.
e tensión parcontra picos dSIE para cuandrgía
equipos no est
ida, y se saca
e y de equipotrolados. Y e
autorización.
leaaa
la
ciaas
y
radedo
ta
an
osen
Sección
1
s
1
1
1
Objetivo
0.2.-Gestión ensuministro de
servicios (tercerpartes)
0.3..-Planificaciy aceptación de
sistemas
10.4.-Protecciócontra software
malicioso
10.5.-Copias d
seguridad
10.6.-Gestión dseguridad de re
10.7.-Seguridad
gestión de lossoportes
10.8.-Intercamb
de información
o 10.1.4.-S
de de
n el
ras
10.2.1.-P
10.2.2.-Mde servic
10.2.3.
ión e
10.3.
10.3.2.-A
ón e
10.4.1.-
10.4.2.-
e 10.5.1.-C
de ed
10.6.1
10.6.2.-Se
d y s
10.7.1.
10.7.2.-E
10.7.3utilizac
10.7.docume
bio n
10.8.1.-Popara inter
10.8
10.8.3.-Se
10.8.mens
10.8.5.-S
Control Separación de eesarrollo, prueba
operación
Prestación de se
Monitorización y cios de terceras
-Gestión de cam
.1.-Planificacióncapacidades
Aceptación de S
-Control contra cmalicioso
-Control contra cmóvil
Copia de la infor
.-Controles de r
eguridad en servred
-Gestión de sopremovibles
Eliminación de s
3.-Procedimientoción de la inform
.4.-Seguridad dentación de sist
olíticas y procedrcambio de info
8.2.-Acuerdos paintercambio
eguridad de soptránsito
.4.-Seguridad dsajería electrón
istemas de infode negocio
entornos as y d
ervicios
revisión s partes
mbios
n de ¿Sela p
istemas ¿E
nnue
código ¿Ep
código ¿Ep
rmación ¿
redes ¿Separ
vicios de ¿Ese
portes ¿Hso
soportes ¿Haase
os de mación
¿Ex
e la temas
¿Esde
dimientos rmación
¿
inte
ara ¿Seemp
portes en ¿Slos s
e la nica
¿
rmación direseg
C¿Están separa
desarrollo y pruesistemas e
e controla la necpotencia eléctric
proceso y alm
Existen criterios nuevos sistemaevas versiones a
Existen procedimpara proteger a
software Existen procedimpara proteger a
código
Se hacen regulsegu
e ha implantadora mantener la sstán documentaeguridad de tod
reHay procedimieoportes removib
como discos,impre
an desarrollado egurar el archivo
los soportes
xisten procedimialmacenar la in
protejan destá la informaciól sistema proteg
autoriEstán documenprocedimientos
ercambio de infotodos los tip
comune han establecidpresas para inte
o aplicae toma alguna msoportes en trán
senExiste una polít
correo el¿Se han estab
ectrices para coguridad asociad
dentro de
Cuestión adas las áreas debas de las de n operación?
cesidad de aumca, y la capacidamacenamiento?
de aceptación as, ampliacionesantes de acepta
mientos implantala empresa conmalicioso?
mientos implantala empresa cono móvil?
armente copiasuridad?
o algún tipo de cseguridad en la ados los atributodos los serviciosed? ntos para gestio
bles con informa, CDs, informesesos,...?
procedimientoso y la destrucció
s informáticos?
entos para manformación, que
e malos usos? ón y los documegidos de accesoizados?
ntadas las polítics y medidas parormación a travpos formas de nicación? do acuerdos conercambiar informaciones? medida especiansito con informsible? tica para el uso lectrónico?
blecido políticas ntrolar los riesg
dos con los sistelas oficinas?
Si de los X
mentar ad de
para s o arlos?
ados ntra
ados ntra
s de X
control red?
os de s de
onar ación
s para ón de
nejar y la
entos os no
cas, ra és de
n otras mación X
al con mación
del
y gos de emas
Página
No
Existe un
X
X
X
X
X
No están aplicaciónversiones debe tenedepartame
X Hay liceninstaladasdependen
x
Se hace unconsidere departame
X Existe un
X
X
X
X
X
X
Con el min
X
X
X
a 25 de 98
Comentar
servidor y equip
bien definidos n SIARC se le lle
y antes de poner la aceptaciónento. ncias de antivs en los ordencia y en el serv
na copia de segunecesario de la i
ento de soporte in
firewall instalad
nisterio de educa
rio
pos de pruebas
los criterios. Leva un control dnerse en marchn del director d
virus, que estáenadores de vidor.
uridad cuando senformación del nformático.
do
ción nacional
Ladehae
ánla
e
Sección
11
.-Con
trol d
e ac
ceso
R
Objetivo
10.10.-
Monitorización
11.1.-Requerimiento
11.2.-Gestión dacceso de los
usuarios
11.3.-Responsabilidad
de los usuarios
11.4.-Control dacceso de red
o
n
10.10.
10.10.2
10.10.3
10.10.4.-L
10.10.5.-L
10.10.6.-S
s 11.1.1.-
de s
11.2.1.-
11.2.2.-
11.2.3.-G
11.2.4.-Rede acc
des s
11.3.1.
11.3.2.-Eqde us
11.3.3.-
e d
11.4.1.-s
11.4.2con
11.4.3.-Id
11.4.4.-Pdiag
11.4.5.-Se
11.4.6.-Co
Control
.1.-Auditoría de
2.-Revisión de usistemas
3.-Protección de
Logs de adminisy operadores
Logs de fallo del
Sincronización d
-Política de conaccesos
-Registro de us
Gestión de priv
Gestión de contrde usuario
evisión de los dceso de los usu
-Uso de contras
quipamiento infosuario desatend
Política de pantmesas limpias
-Política de uso servicios de red
2.-Autenticación nexiones externa
dentificación de en la red
Protección a puegnóstico remotoconfiguración
egregación en la
ontrol de conexredes
logs
¿Stie
sist
uso de m
e logs ¿
a
stradores ¿Seac
l sistema ¿Sa
de relojes ¿E
trol de ¿Ede
uarios ¿Quus
vilegios
raseñas ¿E
derechos arios de
señas ¿S
bue
ormático dido
¿me
tallas y
¿m
trab
de los ¿Espue
para as
¿Es
equipos ¿S
con
ertos de o y
¿Epue
as redes ¿E
ión a las ¿c
CSe mantienen duempo determinatema para su m
del control
¿Existen procmonitorizar el us
proceso de
¿Está protegidaccesos no auto
sistemas de
e registran y revctividades de los
opera
Se registran, ancciones apropia
siste
stán sincronizadde los ord
Están documentarechos de acce
los g
uedan registradosuarios a los se
¿Está controlaprivil
Existe un procespassw
¿Se revisan peerechos de acceSe indica a los enas prácticas e
de pas¿Se solicita a losdidas de protec
desate¿Existe una polímesas limpias pabajo (p.e. no dej
las mesas, o esalvapant
stá garantizado eden acceder a
que tienen
stán autenticadalos usuario
Se identifican auterminales, pa
exiones a localiy a equipo
Están controladoertos de diagnó
del si
Esta la red segmusuarios y
¿Está controladconexión de los
compa
Cuestión urante un periodado los registros
monitorización ful de acceso?
cedimientos paraso de servicios información?
a contra sabotajerizados los logse información
isan regularmens administradoradores?
nalizan y aplicanadas a los fallosemas?
dos todos los redenadores?
ados las reglas eso de los usuar
rupos?
os los accesos ervicios y sistem
ada la gestión dlegios? so para la gestiówords?
eriódicamente loeso de los usuarusuarios que sien la selección ysswords? s usuarios adop
cción con los eqendidos? ítica de pantallaara los entornosar documentos el ordenador sintallas, etc.)? que los usuariolos servicios paautorización?
as las conexionos remotos?
utomáticamenteara autenticar laizaciones espec
os portátiles? os los accesos aóstico de los equstema?
mentada por gruy servicios?
da la capacidad usuarios en redartidas?
Si do de s del uturas
a de
e y s de
nte las res y
n las s de
elojes
y los rios y
de los mas? X
e X
ón de
os rios?
gan y uso
ptar uipos
as y s de sobre
n
os solo ara los X
es de
e los s cíficas
a los uipos
upos
de des
Página
No
X
X
X
X Se realinecesario informátic
X
X
X
X
X
X
X
X
X
X La única ay passwor
X
X
X
a 26 de 98
Comentar
iza cuando el departame
o
autenticación erd.
rio
lo consideraento de Soport
s mediante log
ante
in
Sección
a
12.-
Com
pras
, des
arro
llo y
m
ante
nim
ient
o de
sis
tem
as
1
Objetivo
11.5.-Control dacceso al sistem
operativo
11.6.-Control dacceso a
información yaplicaciones
11.7.-Portátiles teletrabajo
12.1.-Requisitode seguridad d
los sistemas
12.2.-Procesoscorrectos en aplicaciones
12.3.-Controlescriptográficos
2.4.-Seguridad los archivos de
sistema
o
11.4.7.-C
e ma
11.5.1.-Pr
11.5autentic
11.5.3.-S
11.5.4.-U
11.5.5.-
11.5.6.-L
e
y
11.6.1.-Re
11.6.2.-A
y
11.7.1c
11
os e 12.1.1..An
los reque
s
12.2.1.-Va
12.2.2.
12.2.3.-In
12.2.4.-Va
s 12.3.1.-contr
12.3.2
de e
12.4.1.-C
12.4.2.-Propru
12.4.3.-Clibrería
Control
Control de enrutaen la red
rocedimientos dseguros
5.2.-Identificaciócación de los us
Sistema de gescontraseñas
Utilización de utidel sistema
-Timeout de ses
imitación del tieconexión
estricción de accinformación
Aislamiento de ssensibles
.-Informática mcomunicaciones
.7.2.-Teletrabaj
nálisis y espeificerimientos de se
alidación de los entrada
.-Control del prointerno
ntegridad de me
alidación de los salida
-Política de uso roles criptográfi
2.-Gestión de cla
Control del softwexplotación
otección de los ueba del sistemControl de accede programas f
amiento ¿Tdircon
de log-on ¿E
ón y suarios
¿T
tión de ¿Tpas
ilidades ¿Epro
siones
¿Exparterm
empo de ¿Ex
quaplic
ceso a la info
istemas ded
óvil y ¿Exla pr
o ¿Exaut
cación de eguridad s
sis
datos de ¿Se
oceso ¿
d
ensajes ¿S
datos de ¿
de los cos
¿Exd
aves ¿Seclav
ware en im
datos de ma ¿Es
eso a la fuente li
CTienen controlesecciones de orinexiones en las
El acceso a los mediante un
Tiene cada usuaún
Tienen algún sissword que dé p
rom
Están restringidoogramas de util
xisten procedimra asegurar queminales inactivo
de rixisten restriccionue se pueden recaciones de alto
su du¿Está restringi
ormación y funcaplic
¿Están en un edicado los sistem
senxiste una políticarotección contra
con poxisten políticas ytorizar y controla
tele tr¿Se especifican
seguridad necesstemas o mejor
e validan los dataplica
¿Existen chequincorporados e
detectar corrupcproce
Se ha implantadautenticación
¿Se valida la saaplicación
xiste una políticade cifrado para l
informe utiliza algún sves para soport
criptog¿Se aplica algú
mplantar softwaroper
stán protegidos
¿Está controladibrerías de los p
Cuestión s que verifiquengen y destino dredes comparti
sistemas se realogon seguro?
ario un identificanico?
stema de gestiópasswords difícimper?
os y controladosidades del siste
ientos y mecane se desconecteos en localizaciiesgo? nes en las horasealizar conexiono riesgo, así com
uración? do el acceso a
ciones del sistemcación?
entorno aislado mas con informsible? a y los controlesa el riesgo de traortátiles? y procedimientoar las actividaderabajo? n los controles dsarios para nuevras de los actua
tos introducidosaciones?
ueos de validacin el sistema pa
ciones de los daesados?
do algún sisteman de mensajes?
lida de datos dedel sistema?
a de uso de conla protección de
mación? istema de gestitar el uso de técgráficas? ún control para re en el sistemaración?
los datos de pru
do el acceso a lprogramas fuen
Si n las e las idas?
aliza
ador
ón de les de
s los ema?
ismos en los iones
s a las nes a mo en
la ma de x
y ación x
s para abajar
s para es de
de vos les?
s a las X
ón ra
atos
a de
e la
ntroles e la
ón de cnicas X
la a en
ueba?
as te?
Página
No
X
X
X Los equipusuarios a
X
Existe ucontraseñel nivel dgenerados
X
X
X
X los desarportátil cohaciendo
X
X
X
X Los registrdatos inclucalcula en
X
X
X
X
x
a 27 de 98
Comentar
pos de las ofia nivel del sistemun modulo as pero nunca
de dificultad des
rrolladores se on los desarropara continuar t
ros se almacenanuyendo un códigoel momento de s
rio
cinas no tienema operativo
generador da a sido probade los password
suelen llevar sollos que estétrabajando.
n en la base de o hash que se su inclusión.
en
dedods
suén
Sección
1
13.-G
estió
n de
inci
dent
es d
e se
gurid
ad d
e la
in
form
ació
n
1
14.-P
lan
de c
ontin
uida
d de
neg
ocio
1
15.-C
onfo
rmid
ad le
gal
C
Objetivo
2.5.-Seguridad los procesos de
desarrollo y soporte
12.6.-Gestión dvulnerabilidade
técnicas
13.1.-Notificacióde incidentes y
amenazas
13.2.-Gestión dincidentes y
mejora
4.1.-Gestión decontinuidad de
negocio
15.1.-Cumplimiento co
los requisitos legales
o
en e
12.5.1camb
12.5.2.aplicacio
sis
12.5.3.-Rea los p
12.5.4.-
12.5.5.-D
de es 12
vulner
ón y
13.1.1.-No
13.1.2.-No
de
13.2.1p
13.2.2.
13.2.3.-Re
e la e
14.1.1.-Incel proc
conti
14.1.2.-Coan
14.1.3.-Rede planes
la segur
14.1.4.-Mala con
14.1.5.-Prreevalua
on
15.1.1leg
15.1.2.-D
Control
.-Procedimientobios operaciona.-Revisión técniones tras cambstema operativo
estricciones de paquetes de soft
Fugas de inform
Desarrollo extern
2.6.1.-Control derabilidades técn
otificación de evseguridad
otificación de de
.-Responsabilidprocedimientos
.-Aprendiendo dincidentes
ecolección de ev
clusión de seguceso de gestión nuidad del nego
ontinuidad del nnálisis de riesgo
edacción e impls de continuidadridad de la inform
arco de planifictinuidad del neg
rueba, mantenimación de los pla
continuidad
.-Identificación islación aplicab
Derechos de prointelectual
os de ales
¿Ex
ca de ios del o
¿Se
cambios tware
¿S
mación
¿Sey
po
nalizado
¿Sq
so
e nicas
sist
vuln
ventos de ¿Erep
ebilidades cseg
dad y ¿Sres
de los ¿para
videncias
Pperslas
uridad en de la
ocio
¿E
ma
negocio y s
¿Exla
deta
antación d incluida mación
¿con
la
ación de gocio
¿Exa
miento y nes de
¿S
de la ble
¿Escadreq
opiedad ¿H
clegalos
C
xisten procedimde ca
e revisan y apruaplicación cua
cam
Se desaconsejande los paquet
e controla y cheqy cambios de swosibles puertas
troySe aplican contrque el desarrollooftware cumple
seguridad ¿Se obtiene invulnerabilidadetemas de inform
de la organierabilidades y sapropiadas par
asoc
Existe un canal porten los incide
¿Se solicita a comuniquen cuaguridad o amenae han establecisponsabilidades
incidExisten mecania realizar análiscoste de los inc
Para apoyar unasona u organiza
s evidencias, conormas p
Existe un procesorganización, p
antener la continxiste un plan esa valoración de allen las accione
del neEstán desarrollntinuidad para mas operaciones
tiempo rxiste un plan genasegurar que tod
consisSe prueban regu
de continuidadasegurar que
stán definidos y da sistema de inquisitos contract
estatu
ay procedimiencumplimiento coales en el uso de
derechos de pr
Cuestión
ientos para el cambios? eban los sistemndo se produce
mbios?
n las modificacies de software?quea adquisiciów con referenciatraseras y códianos? roles para asego subcontratadocon las medidanecesarias?
nformación sobres técnicas de lomación, la exposzación a tales
se toman las mera tratar el riesgciado?
a través del queentes de segurid
los usuarios qualquier debilidadaza para el sistedo procedimiens, para la gestióentes? smos funcionan
sis del tipo, volucidentes y fallos
a acción contra uación ¿Se mantnforme a las ley
publicadas? so establecido epara desarrollarnuidad del nego
stratégico, basadriesgos, donde
es para la continegocio? ados los planes
mantener o restdel negocio en
razonable? neral de trabajodos los planes sstentes? ularmente los pl de negocio par
e son eficaces?documentados
nformación, todotuales, reguladoutarios?
ntos para aseguon las restriccione material refereropiedad intelec
Si
control
mas de en x
ones ?
ón, uso a a gos
gurar o de s de
re os sición
edidas go
e se dad?
e d de ema?
X
ntos y ón de
ndo, men y s?
una tienen yes y
en la r y ocio?
do en e se nuidad
s de aurar un
o para son
anes ra
s, para os los ores y
rar el nes ente a ctual?
Página
No
X
Cuando aplicacion
x Se realizalabores a
X
X
X
Se reportainformáticel software
X
X
X
X
X
X
X
X
X
X
a 28 de 98
Comentar
se hacen canes se suelen pr
an instalacionedesarrollar en la
a al departameo los fallos quee desarrollado.
rio
ambios en larobar.
es ajenas a laa dependencia.
ento de soporte se detectan e
as
as
teen
Sección
C
Objetivo
15.2.-Cumplimiento co
las políticas ynormativas
15.3.-Consideracionede auditoria de
sistemas de información
3EArddIS
LpS
o
15.1.3registro
15.1.4.-Pcarácter pe
d
15.1.5.-Erecurso
15.1.6.-Rcon
on y
15.2.1.-polít
15.2.2.con
es e
15.3.1.-Cosistem
15.3.2herrami
sistem
3.1. ResEl análisis Académicoequerimien
de la SegudependencSO 27002
Figura
La dependprocesos ySeguro de
Control
.-Salvaguarda dos de la organiz
Protección de daersonal y de la
de las personas
Evitar el mal usoos de tratamien
información
Reglamentaciónntroles de cifrad
Cumplimiento cticas y normativ
-Comprobaciónnformidad técnic
ontroles de Audmas de informac
2.-Protección deientas de auditomas de Informa
ultados diferencia
o carece dentos del euridad de lcia. El esta
es bajo, u
a 3. Estado
dencia recy de la Ula informac
de los zación
¿des
atos de intimidad
¿pr
o de los nto de
¿Ex
r
n de los do
¿
n
con las vas
¿Aco
n de la ca
sistecu
ditoría de ción
¿Es
e las oría de ción her
al muestrae SGSI, evstándar ISa informacado de cu
un 13% de
o inicial de
conociendoniversidadción inicia
C¿Están protegidstrucción y falsif
impor¿Existen controroteger la inform
base a la legisiste autorizació
usar el sistemrelacionados co
persoExisten controlecumplimiento c
acionales para cifr
Asegura la direcorrectamente los
seguridad, denrespons
¿Se chequean emas de informaumplimiento con
implantaciónEstán planificadsistemas para reinterrupciones
neg
¿Esta protegidrramientas de a
a que el Ávidencia d
SO 27001ción comoumplimientolos contro
e implemen
o la infor de Vancla impleme
13%
87%
Cuestión os contra pérdidficación los regirtantes? oles eficaces, pamación personaslación vigente?n de la direcció
ma para fines non el negocio (us
onales)? es para aseguracon los acuerdocontrolar el uso
rado? cción que se sigs procedimientotro de su área dsabilidad? regularmente loación para verifn los estándares de seguridad?as las auditoriaeducir el riesgo en el proceso d
gocio?
o el acceso a lauditoria del siste
Área de Ade esto es y la ausen se muesto de los rles esta im
ntación de
rmación ccur, a modentación d
Si da, istros
ara al en ?
n para o sos
ar el os o de
guen os de de
os ficar el s de
as de de
de
as ema?
dmisión, Rel bajo cu
ncia de petra en el Orequerimie
mplementad
controles
critica quedo de asedel SGSI.
Página
No
X
X
X
Los emplfines pertodo el coWeb.
X
X
X
X
X
Registro y umplimientoersonal enOrganigramntos del edo.
de segurid
maneja egurar un
Si
No
a 29 de 98
Comentar
eados utilizan rsonales habiturreo electrónico
Control o de los cargado
ma de la estándar
dad
en sus entorno
rio
el sistema parualmente, sobro y la navegació
rareón
L••
•
La depende Definir l Impleme
SIARC, Reducir
ante el r
encia estaa política dentar meda modo de
r la posibilriesgo de p
bleció comde segurid
didas que me evitar y clidad de inpresentars
mo objetivoad de infomejoren lacontrarrestnterrupciónse continge
os del Plan rmación
a seguridadtar el fraudn del Sisteencias
Director:
d en el Side ema de In
Página
stema Info
nformación
a 30 de 98
ormático
SIARC
1. E
La IcertiSeguprocmeto 1.1 S Con consrevisAcad 1.1.1 Cadde lo
a co
CAPITU
Esquem
ISO/IEC 2ficar el siuridad, p
cedimiento odología d
Sistemátic
la dispossideracionesarse un ddémico.
1 Código d
a documenos demás d
tipo de e
ntinuacionTipo de
PPNMGM
Numerodel tipo Versióncreado
ULO II. S
a Docum
27001 defiistema, perocedimien
revisión e análisis d
ca docume
sición de les a teneocumento
del docum
nto creadodocumento
estándar. n
n se describe estandarP. Politica Pro. ProcedN. Norma Met. MetodGuia. DeclaMan. Manu
o de estánde estánd
n. Permite parte del n
SISTEM
mental
ine cualesero se cento de a
por direcde riesgos
ental
llevar unaer en cuepropio de
mento
o dentro deos producid
numero de
be cada unr. Indica la
dimiento o
dologia aracion o Gual o Instru
ndar. Numar.
evidencianúmero un
MA DE G
s son los entrará enauditorías cción, gess y declarac
apropiadaenta al ml SGSI del
el SGSI dedos. El cód
estándar -
no de los enaturaleza
Gestion
Guia cciones
mero Conse
r la evoluco (1). Cua
GESTION
documensiete de internas,
stión de ción de ap
a gestiónmomento d
Área de A
berá tenerdigo seguir
- versión, a
elementos a del docu
ecutivo qu
ción del dondo se rea
N DOCU
tos necesellos a sgestión
roles y rplicabilidad
documentde crearseAdmisión,
r un códigorá la siguie
actualizació
del codigomento, est
e permite
ocumento.alizan cam
Página
UMENTA
sarios parasaber: Pol
de indicresponsabi.
tal, se defe, actualizRegistro y
o que lo ideente estruc
ón, revisió
o documente puede s
diferencia
Todo docbios drásti
a 31 de 98
AL
a poder ítica de
cadores, ilidades,
finió las zarse o
y Control
entifique ctura:
n
ntal. ser:
ar dentro
cumento icos que
EstaborraSus A coAdm
1.
1.
1.
1.
1.
1.
trasformen uno e Actualizinicial dmedida Revisiódentro drevisión
ado del doador o predos estad
ontinuaciómisión, Reg
.2. PolítaccescompCódig
.3. ProcplanifvigenCódig
.4. GestcontrCódig
.5. Procreviside la Códig
.6. NormcomitCódig
.7. Metoel riesCódig
ma gran pael valor de
zación. Pee la actuaque se rea
ón. Análisidel SGSI. S se deberá
ocumento: liminar (poos posible
n se listagistro y Con
ica de segso de laportamientogo del doc
edimientoficación dencia de la cgo del doc
ión de inroles de sego del doc
edimientoión de las dirección.
go del doc
ma de Gesté de segugo del doc
odología dsgo. go del doc
arte del coe la versión
equeños calización ealicen nuev
is del docSu valor iná incremen
Esta varor aprobar)s son: Por
an los docntrol Acadé
guridad. Na informaco en caso umento: P
o de aude las auditocertificacióumento: P
ndicadoreeguridad imumento: P
o revisióncuestiones umento: P
stión de uridad de laumento: N
de análisis
umento: M
ontenido den.
cambios ens cero (0) vas actual
cumento qnicial es dentar en uno
iable indic), o por el cr aprobar o
cumentos émico:
Normativa ición, uso de inciden
P.1-1.0.1
ditorías inorías internn.
Pro.1-1.0.1
es. IndicadmplantadosPro.3-1.0.1
n por Dirs más imp
Pro.2-1.0.1
roles y reas funcione
N.1-1.0.1
s de riesg
Met.1-1.0.1
el docume
n el conteny se irá i
izaciones
que verifice uno (1). Co (1) su val
ca si el docontrario ho Aprobado
definidos
nterna quede recu
ntes de seg
nternas. Dnas que se
dores ques.
rección. Dortantes e
esponsabes y respon
os. Indica
ento, se de
nido del doncrementa
ca su validCada vez qlor.
ocumento a sido ace
o.
en el SG
e cubre asursos de guridad, en
Documentoe llevaran
e miden la
Define el n relación
ilidades.nsabilidade
la sistemá
Página
eberá incre
ocumento. ando en un
des y perque se rea
está en eptado (apr
GSI del Á
spectos relala organ
ntre otros.
o que inca cabo du
a eficacia
procedimieal SGSI p
Conformaces que cum
ática para
a 32 de 98
ementar
El valor no (1) a
rtinencia alice una
fase de robado).
Área de
ativos al nización,
cluye la urante la
de los
ento de por parte
ción del mplen.
calcular
1.
2. R
.8. DeclacontrContrCódig
Resultado
La definAdmisióplanificade la se
Se defin
Se estade la de
Se reaagentesde Segprocesocuanto a
Se creaRepreseJurídicade Sistela inform
aración droles de serol Académgo del doc
os
nición de ón, Registación. Estoeguridad de
nió la políti
ableció los ependencia
lizó cambs que interguridad deos de la a la seguri
a el comitéentante dea, Jefe de Aemas, Jefemación y e
Fig
de aplicaeguridad emico, ademumento: G
los documtro y Conos documee la inform
ca de segu
mecanisma.
bio en la rvienen en e la informdependendad de la
de segurie DireccióAdmisión, e de Desarl Asesor ce
gura 4. Nue
abilidad. establecidomás de la aGuia.1-1.0.
mentos nentrol Acadéentos se cación en e
uridad de l
mos para la
estructurala segurid
mación. Acia se le informació
dad de la ón (VicerreRegistro yrrollo Tecnoertificado e
eva estruc
Documentos en el Áraplicabilida1
ecesarios émico que
convierten esta depen
la informac
a el Anális
a organizadad de la inA cada ag
estableción (ver Figu
informacióector admi Control Aológico, Reen segurida
ctura organ
to que inrea de Adm
ad y estado
para el Se perteneen la direc
ndencia.
ción para e
sis de riesg
ativa. Se nformación
gente que ieron respura 4).
ón que estáinistrativo)cadémico,esponsablad de la in
nizativa
Página
ncluye todmisión, Reo.
SGSI del Áece a la fctriz en la
el área.
gos de los
vinculan n: El Resp
participa ponsabilida
á conforma, Jefe de Jefe de lae de segu
nformación
a 33 de 98
dos los egistro y
Área de fase de gestión
s activos
nuevos ponsable
de los ades en
ado por: Oficina
a Oficina ridad de .
TodotododefinidenEn eRegpued El belos equielos p El pcon los aa escual De dimese oactivcuan En eAme
o proceso o hasta llegnen el análtificar los reste apartistro y Coden estar s
eneficio quelementos n se debe
peligros a l
roceso delos que cu
activos, coto se definse midió
este modoensiones, sobtuvo todavos en donntitativa.
el análisisenaza, vuln
Amenazla depefuncionela depen
Vulneraaprovec
Riesgoya sean(virus, n
Impactouna am
CAPITU
de análisigar a conoclisis de riesriesgos a ltado se exntrol Acadsometidos
ue le aporto activos
e proteger os que se
análisis duenta la dn el fin de
nió la valorala criticidao con la se logra tea la anterinde se ind
s de riesgnerabilidadza. Son tondencia y en o que nndencia. abilidad. Schados por. Inseguridn físicos (fnegación do. Es la cenaza apro
ULO III.
is conllevacer sus prisgo como:os que se xplicará eldémico, colos activos
ta este proque esta y cuáles sexponen s
de riesgosependencidentificar ación de c
ad de cadavaloraciónerminar el or informadica a dem
go es necd, riesgo e odas aquel
que podríno puedan
Son las der las amendad a la qufuego, inune servicio,
consecuencovecha un
ANALIS
a la distincncipios o e Un procesencuentra
l análisis qon el objets de esa de
oceso a ladependen
serán las msus activos
, se inicióia, luego sy valorar l
cada una da activo enn de la cr
árbol de dación se lomás de la
cesario haimpacto. llas situaciían dañar emplears
ebilidades azas para ue están endaciones, etc.) cia que se
na vulnerab
SIS DE
ción y sepaelementos.so o secuea sometidaque se retivo de estependenci
Universidcia debe t
medidas ads.
al establese diseñóas depende las dime
n las cincoiticidad dedependencogró diseña estimació
acer la dis
iones que los activose de modo
que preseprovocar u
expuestos , catástrofe
e produce bilidad para
RIESGO
aración de. Es así quencia de paa la empresealizó al Átudiar losia.
ad de Vanratar de asdecuadas
ecer el invel árbol de
dencias enensiones deo dimensioe cada accias de losar la tablaón cualitat
stinción en
pueden lles, provocao correcto
entan los aun daño. los sistemes naturale
en la depa dañar un
Página
OS
e las parteue muchasasos que psa que se
Área de Adriesgos a
ncur son: Csegurar, dpara contr
entario dee dependetre ellos. Pe seguridanes de se
ctivo en las activos. Ua de valoraiva se mu
ntre los té
egar a sucando que e
en la activ
activos y q
as de infoes, etc.) o
pendencia n activo.
a 34 de 98
es de un fuentes
permiten estudia. dmisión, los que
Conocer de que o rarrestar
e activos encia de Posterior ad con la guridad.
as cinco Una vez ación de uestra la
érminos:
ceder en estos no vidad de
que son
rmación o lógicos
cuando
1. IN La pÁreaentredepecon Met.docu Los RedcadaMet.pasogrup Paraárbolas dlas n La eseguDisptambAnáde loel árlos a
En laqueAdmregis
NVENTARI
primera etaa de Admevistas y dendencia. la metodo
.1-1.0.1 Mumental de
grupos qu, Serviciosa uno de e.1-1.0.1 Meo se obtuvopo o ámbito
a brindar uol de jerarqdependencnecesidade
escala (veruridad de ponibilidad bién se enlisis de Ros activos rbol de depactivos que
la Figura ellos que p
misión, Regstro de no
IO DE ACT
apa en el aisión, Reg
de la obseLuego par
ología MAetodologí
el SGSI de
ue se estabs, Equipamestos grupoetodologíao la lista do en las co
una valoraquías o depcias entre aes de segu
r Tabla 4) los activoy Audito
ncuentra eRiesgos. L
(ver Tablapendenciase se apoya
Tabla Valor 10 Muy7 -9 Alto4 -6 Med1 -3 Bajo0 Des
5 se mueparticipan egistro y Cotas e insc
TIVOS
análisis de gistro y Cervación sera un mejoGERIT y día de Anál Área de A
blecieron smiento auxos de activa de Anále activos q
olumnas de
ación de lopendenciaactivos; ya
uridad que
con la quos, que sooria o Trastablecidauego de in
a columna s de activo
an en ellos
4. Valorac
y alto
dio o spreciable
estran las en tres de
ontrol Acadcripción en
riesgo es Control Acae establecior análisis de acuerdlisis de RAdmisión,
son: Instalailiar y Persvos se encisis de Rieque se mue mismo no
os activos s entre act
a sean estose transm
e se valoron: Autentazabilidad a en el docndicar el vAspectos
os y mostra(Ver Figur
ción dimenCriterio Daño muy Daño gravDaño impoDaño menDaño muy
dependen los servic
démico quelínea a p
conocer loadémico, eó los activse agrupa
do a lo esRiesgos quRegistro y
aciones, Hsonal. Lascuentran eesgos. Luestran en ombre.
de modotivos. Estoos activos iten unos a
rará cada ticación, C(también
cumento Mvalor en ca
críticos Aar la valorara 5).
siones de
grave a la e a la depe
ortante a la or a la depemenor a la
ncias de lcios o proce son: Regrogramas.
os activos en este cvos con losaron los atablecido ue hace p
y Control A
Hardware, A caracterís
expresadasuego de apla Tabla 6
o más preco permite id
superioresa otros.
una de lasConfidencia
conocidaMet.1-1.0.1ada una deCIDA), se ación propi
seguridad
dependencendencia dependencendencia dependenc
os activoscesos que gistro acad Es de no
Página
con que ccaso, a tras que cuectivos de por el doc
parte del ecadémico.
Aplicaciónsticas que s en el docplicado este
con su res
ciso, se ddentificar ys o inferior
s Dimensioalidad, Int
as como A1 Metodole las dimepasó a co
ia y acumu
cia
cia
cia
s, en esperealiza el
démico estotar la imp
a 35 de 98
uenta el avés de nta esta acuerdo cumento squema
n, Datos, definen
cumento e primer spectivo
iseñó el y valorar res y de
ones de egridad, ACIDA), ogía de
ensiones ompletar ulada de
ecial de Área de tudiantil, ortancia
que “Edif
tienen losficio del Ár
s activos: rea de Adm
Fi
Desde elmisión” en
igura 5. De
l superior el desarro
ependenci
“contrasello de los p
as entre a
eña” hasta procesos d
ctivos
Página
el activo de negocio
a 36 de 98
inferior .
Conocincose pRegactivconcque
La setap
Id
1
In
2
3 4 5
6 7 8 9
10
11 12
H
13 14 15 16
17 18
ociendo loo dimensio
procedió a istro y Covos (Tablacluye ademse analiza
VaMuy Alta MedBajoMuy
siguiente tapa del análi
Ámbito
nstalaciones
Hardware
os activos, ones de se
valorar caontrol Acada 5), indicmás con laan será de
Tabaloración Alta
ia o
Bajo
abla muesisis de ries
DespachoControl AcDespachoDespachoacadémicoDespachoÁrea sopoCPD del Control AcÁrea de aÁrea de reÁrea técniÁrea de ceEdificio: Bregistro y PCs desaPortátiles PC entornServidor dServidor wPC del Ágestión dePCs de Re
los aspeceguridad y ada uno ddémico. Pcándose ua siguiente200.000€.
bla 5. Esca
>100.0050.000 10.000 5.000 2.000
stra de formsgo del Áre
Tabla 6.
Activ
o Director Adcadémico o jefe de admo jefe del o y archivo
o jefe desarroorte informátiÁrea de Ad
cadémico rchivo egistro y conica de admisertificación aBloque del control acadrrollo de desarrollo
no de pruebadesarrollo y pweb Área de Are esta Área egistro y con
ctos críticolas depen
de los actiPara esto una escal tabla que
ala de valoRang
00 < valor <=< valor <=< valor <=< valor <=
ma resumiea de Adm
Valoració
vo
dmisión, Re
misión acadéárea de
ollo tecnológico y sistemadmisión, Re
trol académisión académica Área de ad
démico
o as prueba
rchivo ayud
ntrol académ
s que los ndencias qvos que pse definióa cualitati
e el valor m
oración de o
= 100.000= 50.000= 10.000= 5.000
ida lo elabisión, Reg
ón de activo
egistro y M
mica Mregistro M
ico as gistro y
ico
dmisión, M
da a la
ico
afectan enue existen
posee el Áó la tabla iva y unamáximo de
activos V
200.0 75. 30. 7. 3.
borado duristro y Con
os
Valor
UY BAJO
UY BAJO
UY BAJO
BAJO MEDIO
ALTO
ALTO BAJO BAJO BAJO
UY ALTO
MEDIO MEDIO MEDIO ALTO ALTO
MEDIO
BAJO
Página
n cada unan entre los Área de Ad
de valoraa cuantitate todos los
Valor 000€ 000€ 000€ 000€ 500€
rante esta ntrol Acadé
Aspectos C
A C I
1 1
1 1
1 1
3 3 2 8
8 10
7 9 4 5 4 5 4 5
4 5
9 8 9 8 9 8 10 9 9 10 10
8 8
3 2
a 37 de 98
a de las activos,
dmisión, ación de tiva. Se s activos
primera émico.
Críticos
D A
3
3
3
5 8
10
9 5 5 5
9
8 8 7 8 10 9
6
2
19 20 21
22 23
24 25 26 56 27 28
SA
29 30 31 32 33 34 35 36
37
D
MSin
Software- Aplicación
Datos
Media- Soporte de nformación
PCs de CePCs de árPC de jefePC de académicoPC de jefePC de DControl AcPC de secImpresoraRouters EscáneresSO WindoGestor deMicrosoft VMicrosoft Software gWindows 2IIS 7.0 Antivirus Servidor dDesarrolloSIARC Hojas de várea de adCódigo fueB.D. de paContraseñmatriculadResultadodesarrolloB.D. RegisB.D. DecaAsignaturaB.D. Estperiodo B.D. Ganaprograma InventarioDVDs. SoMaterial ide estudmodalidaddistancia) Material graduacióSeguimieninstalacionConfiguraBackups,
ertificación Area técnica de desarrollo t
jefe del o y archivo e de admisióDirector Admcadémico cretaria de das y servidor
s ows 7 con lic B.D. SQLSeVisual StudioSourceSafegestor de co2008 server
de correo eleo propio: S
vida docentedmisión (físicente aplicaciagos, inscripñas de Esdos y docentos de prueb stro Académanaturas, Pras. tudiantes i
adores examacadémico de activos dporte de Sofimpreso. Dodiantes mad (presencia
impreso y n de años annto y nes ción de equisoporte en
Académica de admisióntecnológicoárea de
ón académicamisión, Reg
irección de impresió
encias erver o 2010 Asp.N
ntraseña
ectrónico Sistema info
es y del persco y digital)ión SIARC ciones y matudiantes ines
bas al softw
mico de estudrogramas, P
inscriptos
men de admis
del Área ftware licencocumentacióatriculados al, Post g
digital. Acnteriores configuració
pos y sistemDVDs del s
registro
a gistro y
Mn
M
NET
Mormático
onal del
tricula nscritos,
ware de
diantes Pensum,
próximo
sión por
iado n física en las
grado y
ctas de
n de
mas servidor
BAJO BAJO
MEDIO
BAJO
BAJO
BAJO
UY BAJO BAJO ALTO
UY BAJO BAJO
MEDIO BAJO BAJO
MEDIO MEDIO MEDIO BAJO
UY BAJO
ALTO
MEDIO
ALTO ALTO
ALTO
MEDIO
ALTO
BAJO
BAJO
BAJO
BAJO MEDIO
MEDIO
MEDIO
MEDIO
MEDIO ALTO
Página
3 4 3 2 7 7
3 2
3 2
3 2
2 1 3 3 7 10 4 1 3 8 9 9 10 4 8 3 9 9 9 10 9 9 10 9 9 10 8 8 4 3 3
9 9 10
8 9 9
9 9 10 8 8 10
9 10 10
8 8
9 10 10
7 7 10
3 5 8
4 6 9
6 8 6 9
8 9
6 10
8 8
8 8 9 10
a 38 de 98
3 2 6
2
2
2
1 3 10 1 8 10 8 8 8 4 10 8 10 8 10 8 8 3 4
10 9
8
10 9 10 9
10 9
9
10 9
10 7
8 3
8 3
7 9
9
9 6
9
9 10
55
R57 58 59
S60 61
62 63
Ea
64 65 66
67
P
68 69
70 71 72 73 74
75
76 77 78
79
80
Red
Servicios
Equipamientoauxiliar
Personal
web y de DMaterial imADSL Red local Wifi red inRegistro aRegistro NCertificadoInscripciónacadémico
o Aire acondEstabilizadCableado MobiliarioVigilante dRegistro yDirector AAcadémicJefe de adJefe del archivo Jefe desaDesarrollaTécnicos ResponsaResponsaacadémicoResponsaAcadémicResponsaDocentes Estudiantedistancia Personas matricula
Desarrollo mpreso: Algu
nalámbrica académico ENotas por Doos n en líneos dicionado dores de teneléctrico
: armarios, ede acceso ay control Admisión, R
co dmisión acadárea de reg
rrollo tecnolóadores de SoInformáticos
able de archivables de ro
ables técnicca able de certifi
es pregrado
en proceso
unos certifica
studiantil ocentes
ea a pro
nsión
estantes. al área de ad
Registro y
démica gistro acadé
ógico oftware SIAR
y de Red vo registro y
cos de a
icación acad
o, postgrado
o de inscri
ados M
ogramas
dmisión,
Control
émico y
RC
control
admisión
démica
os y a
pción y
UY BAJO ALTO ALTO BAJO
MEDIO ALTO
MEDIO
MEDIO
MEDIO MEDIO MEDIO MEDIO
MEDIO
BAJO
BAJO
BAJO
MEDIO ALTO ALTO BAJO
MEDIO
MEDIO
BAJO MEDIO
MEDIO
BAJO
Página
2 2 8 10 7 10 7 6 7 5 7 10 8 9 7 5 5
8 3 4
1 4 1 4 1 4 1 4
a 39 de 98
4 10 10 6 9 9 9 9 8 9
9 7
9 10 10 9
7
5
6
6
7 8 8 5
7
7
6 9
9
6
2. A Duraestáseguposiactivameameinten ParaContHardPersvulnela sede destaLa T
[L] INDespÁrea CPD AcadÁrea Edificy con[N.7] [I.1] F[I.2] D[E.19[A.7] [A.11[A.15INFO[A.18[A.19[A.26[A.27[HW]PCs dPortá
NALISIS D
ante esta en expuest
uridad. Seblemente svo a la maenazas quenazas enncionados,
a el análistrol Acadédware, Sosonal. Paraerables y seguridad ddicha ameblecida en
Tabla 7 mu
NSTALACIOpacho jefe de
soporte infodel Área de émico de archivo
cio: Bloque dntrol académFENOMENO
FUEGO DAÑOS POR9] FUGAS DEUSO NO PR] ACCESO N
5] MODIFICAORMACION 8] DESTRUC9] DIVULGAC6] ATAQUE D7] OCUPACIO] HARDWARdesarrollo
átiles de desa
DE AMENA
etapa del tos los ac
e habrá qse puede
aterializacióue presen: desastre, y ataques
sis de ameémico se oftware, Da cada gruse analizo el activo. Aenaza, den el documestra el re
Tabla ACTIVO
NES esarrollo tecnrmático y sisAdmisión, R
del Área de aico O SISMICO
R AGUA E INFORMACREVISTO NO AUTORIZACION DELI
CCION DE INCION DE INFDESTRUCCTON ENEMIG
RE
arrollo
AZAS
análisis dectivos y q
que indicaestar presón de dichnta la mees naturals intencion
enazas deagruparo
Datos, Mepo de actiel impacto
Además ae acuerdo mento Met.sultado de
7. Activos
nológico stemas Registro y Co
admisión, reg
CION
ZADO BERADA DE
NFORMACIOFORMACIONTIVO
GA
e riesgo, sque pueder, además
sentando cha amenazetodología les, de oados.
e los activoon nuevamdia, Red, vos se ideo que pued esto se ea la tab
.1-1.0.1 Mel análisis d
y dimensioFRE
ontrol
gistro
E LA
ON N
se identificen afectar s cual es cada amenza. Para e
MAGERrigen indu
os del Áremente los
Serviciosentificaron den sufrir e
estimo la frbla de freetodologíde esta eta
ones de la ECUENCIA Anual
1 1 1 12 1 2 2 2 2 1 1
can las amdiferentesla frecue
aza y cuasto se utilIT. MAGEustrial, err
ea de Admactivos e
s, Equipalas amenaen los cincrecuencia dcuencia qía de Anáapa.
seguridadA C
60%
60%
60%
60%
60%
10%
30%
30%
30%
60%
A C 60%
60%
Página
menazas a s aspectoencia con n vulnerabizo el cataERIT agrurores y fa
misión, Reen: Instalamiento au
azas a las co dimenside materia
que se enlisis de R
d I D
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
60
10
30
%
% 30% 60
% 10%
30%
60
%
60
% 10
I D% 30% 10
% 30% 10
a 40 de 98
las que s de la la que
ble es el alogo de upa las allos no
egistro y aciones, uxiliar y que son ones de
alización ncuentra Riesgos.
D T
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
D T 0%
0%
PC eServiServiPC desta ÁPCs dPCs dPCs dPC dImpreRoute[N.7] [I.1] F[I.2] D[I.3] C[I.5] A[I.6] C[I.7] TEMP[E.2] [E.23ACTUHARD[E.24AGO[E.25[A.6] [A.7] [A.11[A.23[A.24[A.25[A.26[SW]INFOSO WGestoMicroMicroSoftwWindIIS 7.AntivServiDesa[I.5] A[E.1] [E.2]
ntorno de prdor desarroldor web el Área de AÁrea de Registro yde Certificacde área técne jefe desarresoras y servers FENOMENO
FUEGO DAÑOS PORCONTAMINAAVERIA DE OCORTE DEL
CONDICIOPERATURA ERRORES
3] ERROREUALIZACIONDWARE
4] CAIDA TAMIENTO
5] PERDIDA ABUSO DE USO NO PR] ACCESO N
3] MANIPULA4] DENEGAC5] ROBO 6] ATAQUE D SOTFWA
ORMATICASWindows 7 coor de B.D. SQosoft Visual Sosoft SourceSware gestor dows 2008 se0 irus dor de corre
arrollo propioAVERIA DE OERRORES ERRORES
ruebas lo y prueba
Archivo ayud
y control acación Académnica de admisrollo tecnológvidor de impr
O SISMICO
R AGUA ACION MECAORIGEN FIS
L SUMINISTRONES INAD
O HUMEDADEL ADMIN
ES DE MAN DE
DEL SDE RECURSDE EQUIPOPRIVILEGIO
REVISTO NO AUTORIZACION DE LCION DE SER
DESTRUCCTARE - A
on licencias QLServer Studio 2010 ASafe de contraseñerver
eo electrónico: Sistema infORIGEN FISDE LOS USUDEL ADMIN
a a la gestió
adémico ica sión gico resión
ANICA SICO O LOGRO ELECTRDECUADAS AD ISTRADOR
ANTENIMIENEQUI
ISTEMA SOS
OS OS DE ACCE
ZADO OS EQUIPORVICIO
TIVO APLICACIO
Asp.NET
ña
o formático SIASICO O LOGUARIOS ISTRADOR
ón de
GICO RICO
DE
NTO/ POS
POR
ESO
OS
ONES
ARC GICO
1 1 1 4 12 4 2 4
4
2 1 4 1 12 2 2 1 1
12 12 12
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
30%
60%
60%
30%
60%
60%
60%
A C
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
30%
30%
Página
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
% 30% 10
60
10
60
30
60
10
60
% 10% 60
60
10
% 10
% 30% 10
% 10% 60
% 30%
% 60
10
% 10
10
I D
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
10
% 60% 10
% 30% 60
a 41 de 98
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
D T
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
[E.8] [E.9] [E.19[E.20PROG[E.21ACTUSOFT[A.5] DEL [A.6] [A.7] [A.8] [A.9] [A.11[A.15INFO[A.18[A.19[A.22[D] DHojasárea CódigB.D. ContrmatriResudesarB.D. B.D. AsignB.D. B.D. progrInven[E.1] [E.2] [E.3] [E.4] [E.15INFO[E.18INFO[E.19[A.3] DE A[A.4] CON[A.5] DEL
DIFUSION DERRORES
9] FUGAS DE0] VULNERGRAMAS SO] ERRORE
UALIZACIONTWARE
SUPLANTAUSUARIO ABUSO DE USO NO PRDIFUSION DREENCAMI] ACCESO N
5] MODIFICAORMACION 8] DESTRUC9] DIVULGAC2] MANIPULADATOS/ INFOs de vida dde admisióngo fuente apde pagos, inraseñas dculados y do
ultados de rrollo Registro Aca
Decanaturnaturas. Estudiantes Ganadores
rama académntario de actiERRORES ERRORES ERRORES ERRORES
5] ALTERACORMACION 8] DESTORMACION 9] FUGAS DE
MANIPULAACTIVIDAD
MANIPFIGURACIOSUPLANTA
USUARIO
DE SOFTWADE REENCAE INFORMACRABILIDADEOFTWARE ES DE MAN DE
ACION DE
PRIVILEGIOREVISTO DE SOFTWANAMIENTO NO AUTORIZACION DELI
CCION DE INCION DE INFACION DE PORMACION docentes y d (físico y diglicación SIARscripciones y
de Estudiaocentes
pruebas a
adémico de eras, Progra
inscriptos prexamen d
mico vos del ÁreaDE LOS USUDEL ADMINDE MONITODE CONFIG
CION ACCID
TRUCCION
E INFORMACACION DE L
PULACION ON ACION DE
ARE DAÑINOAMINAMIENCION ES DE
ANTENIMIENPROGRA
LA IDENTI
OS DE ACCE
ARE DAÑINODE MENSAZADO BERADA DE
NFORMACIOFORMACIONPROGRAMAS
del personaital) RC y matricula
antes insc
al software
estudiantesamas, Pens
róximo periodde admisión
a UARIOS ISTRADOR
ORIZACIONGURACION DENTAL DE
DE
CION LOS REGIS
DE
LA IDENTI
O TO
LOS
NTO/ MAS
DAD
ESO
O AJES
E LA
ON N S
l del
ritos,
de
sum,
do por
E LA
LA
TRO
LA
DAD
12 2 12 48
12
12 4 4 4 2 12 4 4 12 4
4 12 12 12 4
2 12 4
4
4
10%
10%
30%
10%
60% 60%
60%
60%
30%
30%
60%
60%
60%
A C
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60% 60%
60%
30%
30%
30%
60% 60%
Página
% 30% 10
%
%
% 60% 30
60% 30
% 60%
% 30% 30
% 30% 10
% 30% 10
%
% 60%
60%
60
%
% 30% 30
I D
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 30% 10
% 30% 60
60%
60%
30%
10
%
60%
% 60% 60
% 60%
a 42 de 98
0%
0%
0%
0%
0%
0%
0%
0%
D T
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0% 100%
0%
0%
100%
0%
100%
0%
[A.6] [A.11[A.13[A.15INFO[A.18[A.19[MEDDVDsMateestud(presMategraduSeguConfiBackde DeMate[N.7] [I.1] F[I.2] D[I.3] C[I.6] C[I.7] TEMP[I.10] DE INFO[E.1] [E.2] [E.15INFO[E.18INFO[E.19[E.23ACTUHARD[E.25[A.7] [A.11[A.15INFO[A.18[A.19[A.23[A.25[A.26[COM
ABUSO DE ] ACCESO N
3] REPUDIO 5] MODIFICAORMACION 8] DESTRUC9] DIVULGACDIA] SOPORs. Soporte derial impreso
diantes matrencial, Post rial impresuación de añuimiento y coiguración de ups, soporteesarrollo rial impreso:FENOMENO
FUEGO DAÑOS PORCONTAMINACORTE DEL
CONDICIOPERATURA
DEGRADAALMACE
ORMACION ERRORES ERRORES
5] ALTERACORMACION 8] DESTORMACION 9] FUGAS DE3] ERROREUALIZACIONDWARE
5] PERDIDA USO NO PR] ACCESO N
5] MODIFICAORMACION 8] DESTRUC9] DIVULGAC3] MANIPULA5] ROBO 6] ATAQUE DM] REDES D
PRIVILEGIONO AUTORIZ
ACION DELI
CCION DE INCION DE INFRTE DE INFOe Software lio. Documenriculados engrado y dista
so y digiños anterioreonfiguración d
equipos y sie en DVDs de
Algunos cerO SISMICO
R AGUA ACION MECAL SUMINISTRONES INAD
O HUMEDAACION DE LENAMIENTO
DE LOS USUDEL ADMIN
CION ACCID
TRUCCION
E INFORMACES DE MAN DE
DE EQUIPOREVISTO NO AUTORIZACION DELI
CCION DE INCION DE INFACION DE L
DESTRUCCTDE COMUNIC
OS DE ACCEZADO
BERADA DE
NFORMACIOFORMACIONORMACIONcenciado tación física
n las modaancia) tal. Actas s de instalacioistemas el servidor w
rtificados
ANICA RO ELECTRDECUADAS AD OS SOPOR
O DE
UARIOS ISTRADOR
DENTAL DE
DE
CION ANTENIMIEN
EQUI
OS
ZADO BERADA DE
NFORMACIOFORMACIONOS EQUIPO
TIVO CACION
ESO
E LA
ON N
a de lidad
de
nes
web y
RICO DE
RTES LA
E LA
LA
NTO/ POS
E LA
ON N OS
4 4 12 4 2 12
1 1 1 4 4 4
12
12 12 4
4 12
12
2 2 2 4 4 12 4 2 1
60%
60%
60%
A C 100%
100%
100%
100%
100%
100%
100%
60%
30%
30%
100%
60%
60%
100%
60%
100%
A C
Página
% 30% 30
% 60%
30%
60%
60
%
I D% 100% 10
% 100% 10
% 100% 10
% 100% 10
% 100% 10
% 100% 10
% 100% 10
60
10
60
30
60
10
60
% 30% 10
% 30% 60
30%
10
%
60
% 10
% 30% 60
% 60%
100%
100%
%
% 60
% 10
60
I D
a 43 de 98
0%
60%
0%
D T 0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
D T
ADSLRed lWifi r[I.8] COM[E.2] [E.9] [E.15INFO[E.18INFO[E.19[E.24AGO[A.5] DEL [A.6] [A.7] [A.9] [A.11[A.12[A.14INFO[A.15INFO[A.18[A.24[S] SRegisRegisCertifInscri[E.1] [E.2] [E.9] [E.15INFO[E.18INFO[E.19[E.24AGO[A.5] DEL [A.6] [A.7] [A.9] [A.11[A.13[A.15
L local red inalámbri
FALLO MUNICACION
ERRORES ERRORES
5] ALTERACORMACION 8] DESTORMACION 9] FUGAS DE4] CAIDA TAMIENTO SUPLANTA
USUARIO ABUSO DE USO NO PRREENCAMI] ACCESO N
2] ANALISIS 4] INTORMACION 5] MODIFICAORMACION 8] DESTRUC4] DENEGACERVICIOS stro académstro Notas poficados ipción en líneERRORES ERRORES ERRORES
5] ALTERACORMACION 8] DESTORMACION 9] FUGAS DE4] CAIDA TAMIENTO SUPLANTA
USUARIO ABUSO DE USO NO PRREENCAMI] ACCESO N
3] REPUDIO 5] MODIFICA
ica DE S
NES DEL ADMINDE REENCA
CION ACCID
TRUCCION
E INFORMACDEL S
DE RECURSACION DE
PRIVILEGIOREVISTO NAMIENTO NO AUTORIZDE TRAFICOTERCEPTAC
ACION DELI
CCION DE INCION DE SER
ico Estudianor Docentes
ea a programDE LOS USUDEL ADMINDE REENCA
CION ACCID
TRUCCION
E INFORMACDEL S
DE RECURSACION DE
PRIVILEGIOREVISTO NAMIENTO NO AUTORIZ
ACION DELI
ERVICIO
ISTRADORAMINAMIENDENTAL DE
DE
CION ISTEMA SOS LA IDENTI
OS DE ACCE
DE MENSAZADO O CION
BERADA DE
NFORMACIORVICIO
til
mas académUARIOS ISTRADORAMINAMIENDENTAL DE
DE
CION ISTEMA SOS LA IDENTI
OS DE ACCE
DE MENSAZADO
BERADA DE
DE
TO E LA
LA
POR
DAD
ESO
AJES
DE
E LA
ON
icos
TO E LA
LA
POR
DAD
ESO
AJES
E LA
2 12 2 2
4 12 4
12 4 4 2 12 48 12
4 2 4
48 48 2 4
4 12 12
48 12 4 2 12 48 12
60% 60%
60% 60%
60% 60%
60%
30%
60%
60% 60%
60%
60%
30%
60%
60%
60%
A C60% 60%
60% 60%
60% 60%
60% 60%
10%
30%
30%
30%
60% 60%
60%
60%
30%
60%
Página
% 100% 10
% 100% 10
% 100% 10
10
% 30% 10
%
30%
10
%
10
% 60%
% 30% 30
% 60% 10
%
% 60%
%
%
100%
10
10
I D% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 30% 10
% 60% 10
%
60%
10
%
10
% 60%
% 60% 60
% 60% 60
%
% 60%
30%
60%
a 44 de 98
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
D T 0% 100%
0% 100%
0% 100%
0% 100%
0%
0%
0%
0%
0%
0%
100%
INFO[A.18[A.19[A.24[AUXAire aEstabCableMobil[N.7] [I.1] F[I.2] D[I.3] C[I.5] A[I.6] C[I.7] TEMP[E.23ACTUHARD[E.25[A.7] [A.11[A.23[A.25[A.26[P] PVigilaRegisDirecAcadJefe dJefe dJefe dDesaTécnRespRespacadéRespAcadRespDoceEstuddistanPersomatri[E.7] ORG[E.19
ORMACION 8] DESTRUC9] DIVULGAC4] DENEGACX] EQUIPAMacondicionadbilizadores deado eléctricliario: armariFENOMENO
FUEGO DAÑOS PORCONTAMINAAVERIA DE OCORTE DEL
CONDICIOPERATURA
3] ERROREUALIZACIONDWARE
5] PERDIDA USO NO PR] ACCESO N
3] MANIPULA5] ROBO 6] ATAQUE DERSONAL
ante de accstro y controctor Admisémico de admisión del área de rdesarrollo te
arrolladores dicos Informá
ponsable de aponsables émico
ponsables émica
ponsable de centes diantes prencia onas en pcula
DEFICANIZACION
9] FUGAS DE
CCION DE INCION DE INFCION DE SERMIENTO AUXdo e tensión
co os, estantes
O SISMICO
R AGUA ACION MECAORIGEN FIS
L SUMINISTRONES INAD
O HUMEDAES DE MAN DE
DE EQUIPOREVISTO NO AUTORIZACION DE L
DESTRUCCT
ceso al árel ión, Regis
académica registro acad
ecnológico de Software Sáticos y de Rearchivo de regist
técnicos
certificación
egrado, po
proceso de
CIENCIAS N E INFORMAC
NFORMACIOFORMACIONRVICIO
XILIAR
s.
ANICA SICO O LOGRO ELECTRDECUADAS AD ANTENIMIEN
EQUI
OS
ZADO OS EQUIPO
TIVO
ea de admi
tro y Co
démico y arc
SIARC ed
ro y co
de adm
académica
ostgrados y
e inscripció
EN
CION
ON N
GICO RICO
DE
NTO/ POS
OS
sión,
ontrol
hivo
ontrol
isión
y a
n y
LA
4 48 12 1 1 1 12 48 4 4
12
2 2 2 4 2 1
4 12
60%
A C 30%
30%
30%
30%
10%
10%
30%
30%
30%
A C
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
60%
30%
Página
10
%
10
I D% 60% 10
% 60% 10
% 60% 10
% 60% 10
60
10
60
60
60
10
60
60
% 10
% 30% 60
% 60%
% 60
% 10
10
I D
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
% 60% 10
10
%
a 45 de 98
0%
0%
D T 0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
D T
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
[E.28[A.28[A.29[A.30 3. N En eobteAdmcontque de R
La dacep
•
•
DefinEfecvaloo la de AAdm
8] INDISPON8] INDISPON9] EXTORSIO0] INGENIER
IVEL DE R
el análisis enidos en emisión, Regtar con el nsegún lo e
Riesgos lo
dirección taptación: Durante
nivel ""Alto" y
Durantecuando
nido el nivctivo y Reración, amFrecuenc
Análisis demisión, Reg
NIBILIDAD DENIBILIDAD DEON RIA SOCIAL
RIESGO A
de Riesgel análisis dgistro y Cnivel de Riestablecid
os niveles d
ambién def
e la etapa Muy bajo""Crítico" lo
e la etapa el benefic
vel de Riesesidual, u
menazas e ia que este Riesgos
gistro y Con
TNº1 Extin2 Contr
EL PERSONEL PERSON
ACEPTABL
go Intrínsede amenaz
Control Acaiesgo acepo en el dode riesgo s
Tabla 8
fine el nive
de evalua, "Bajo" yos cuales dde tratamiio –costo s
sgo Acepttilizando limpacto),
tá establecs y conocientrol Acadé
Tabla 9. C
tores ratos de con
N
MA
A
M
B
N
NAL NAL
LE
eco, Efectivzas y de laadémico. ptado por locumento Mson lo mos
8. Niveles d
el de Riesg
ación de rie"Medio",
deben ser ento de riesea negativ
table, se pla informautilizando
cida en el endo los coémico (ver
Controles imDescrip
fidencialidad
IVEL DE RIE
Muy alto
Alto
Medio
Bajo
Muy Bajo
2 2 1 2
vo y Resida ValoracióPara realia DireccióMet.1-1.0.trados en
de Riesgos
go Aceptab
esgos se ay no se atratados. esgos se avo y no afe
puede obteación recola escala document
ontroles imr Tabla 9).
mplementapción
d de plantilla
ESGO
>10.000
7.000,0
3.000,0
1.000,0
200,00
60%
60%
dual, se tón de los azar estos
ón de la de1 Metodola Tabla8.
s
ble así com
aceptan aqaceptan los
aceptará eecte la polí
ener los Ropilada dede Disminto Met.1-1
mplementa
ados
,00 €
00 €
00 €
00 €
0 €
Página
10
60
% 60% 60
% 60% 60
omarán loactivos del
análisis sependencialogía de A
mo los crite
quellos ries riesgos
el riesgo sieítica de seg
Riesgos Inte los activnución del .0.1 Metodos en el
a 46 de 98
0%
0%
0%
0%
os datos Área de
se debe a; es así Análisis
erios de
sgos de de nivel
empre y guridad.
trínseco, vos (su Impacto
odología Área de
4. R El R
El R
Ries
5. CA Paradocu Se pde a
IESGO INT
Riesgo Intr
Riesgo EfeRiesgo =
sgo Resid
ALCULO
a el cálculumento Me
paso a calcacuerdo al
3 Docusegu
4 Mant5 Mant6 Llave7 llaves8 Porte9 Llave
10 Firew11 Firew12 politic13 Revisió14 gestio15 softw16 Copia17 proce18 Antiv19 Softw20 Contr21 mant
TRÍNSECO
rínseco. PRiesgo
ectivo. ParvalorActiv
dual. Su cáR
DEL RIES
lo del rieset.1-1.0.1 M
cular primetipo de ac
umento discipridad tenimiento detenimiento dees de la puers de acceso ero De la depes del armariwall 1 wall 2 ca de uso deón técnica de a
on de clavesware de regisas de seguridedimiento deirus
ware copias srol de accesotenimiento de
O, EFECT
ara este ao = valorAc
ra este anávo * vulnera
álculo se efRiesgoIntri
SGO
sgo se emMetodolog
ero el riesgctivo al que
plinario contr
el servidor dee la climatizartas principal al CPD
pendencia o del Resp.
e los servicioplicaciones tras
s tro de actividdad de datos
e borrado de
seguridad o e servidores
IVO Y RES
nálisis se ectivo * vuln
álisis se emabilidad * (
fectuó del sinseco – R
mpleo la tagía de Aná
go intrínsece pertenec
ra violacione
e impresiónación
y de emerge
Soft
os de red s cambios del si
dad de usuars equipos
de aplicació
SIDUAL
empleo la nerabilidad
mpleo la fo1 – impact
siguiente mRiesgoEfec
abla que sálisis de R
co al que ece. Es así,
es de
encia
istema operativo
rios
ón
formula: * Impacto
rmula: toReduccio
modo: ctivo.
se encuenRiesgos An
están expuque por g
Página
o
o
on) * Impa
tra definidnexo E.
uestos cadrupos se u
a 47 de 98
cto
da en el
da activo ubicaron
todolistarcuename Exisriesgde asea resu A moque agrulos a6 y aRega la valoactiv AhorestotablaERRdecide 4intrínpartientreFrec El imacuese oactivdimeconfporcmodTabl Teniriesgde R
os los activron de monta en estenazas y de
ten Tipos go en algoacuerdo a
un activo ultados mos
odo de ilusse muestr
upó a cuatractivos y laa la escalaistro acadéescala de
ración cuavos (recuad
ra por ames valores y
a 7 se pueRORES DEr es proba
48 se ubicónseco diaricipan de ee 360 pacuencia /36
mpacto o eerdo a lo oobserva la vos Servicensiones dfidencialidacentajes sedo se obtuvla 10.
iendo cadago intrínsecRiesgos su
vos de moodo verticae análisis e la tabla 7
de activoso muy extela valoracicritico pa
strados de
stración seran en la Tro de ellos as amenaza de valoraémico Estue valoracióantitativa ddros de co
enaza se ya se habíede verificaE LOS USable que seó en la cario, todas este cálcura obtene60 de la Ta
el porcentaobtenido de
amenazacios, se ode seguridad, integre promedivo un 16.6
a uno de lco y de acu fórmula e
odo horizoal. Se debe
surgen de7 que resu
s que agruenso; para ón que se
ara la misel análisis d
e agrego laTabla 10. C
y no se exzas, se indación de acudiantil en
ón los activde 30.000;olor azul en
colocó la ían obtenidar para el
SUARIOSe presenteasilla de fr
las unidalo se expr
er su valoabla 10.
aje del dañel análisis : [E.1] ERobserva qdad fue dridad y aron para66% o 0.1
os valorescuerdo al des:
ontal en la e recordarel estudio me sus res
upan muchevitar esto
e hizo de eión de la de activos
a hoja de aComo es dxcluyo ningico el valoctivos definla tabla 6
vos con va; de ese mn Tabla 10)
frecuenciado en el angrupo de obtuvo un
e esta ameecuencia. ades en qresan por
or diario, e
ño que pude amenaRORES Dque la vade: 10%,
disponibil obtener e666 que s
s de las vaocumento
hoja de ar que las aprevio qu
sultados.
hos activoso, se tomaellos result
dependende la tabla
análisis dee apreciarguno del a
or de cada nido en la se valoró
aloración cmodo se i).
a en que snálisis de activos de
na valoracienaza 48 vComo se
que se prdía. Luegoesto qued
ede causaazas que sDE LOS USaloración 30% y 1idad resel impacto
se muestra
ariables quMet.1-1.0
análisis y amenazas e se realiz
s, convirtiearon en cuaron ser A
ncia. Aquí a 6.
l Tipo de arse, este tianálisis. Un
activo de tabla 5. Escomo ME
cualitativa ndicó el v
se presentalas amenae Servicio ión de 48 veces en uobtendrá
resentan lo la frecueda expresa
ar la amene resumenSUARIOSdel impac0% para pectivameo de esa a en la cas
ue particip.1 Metodo
Página
sus amenque se to
zo del aná
endo el cálenta aque
Alta y que se apoyo
activos de po de activ
na vez se uacuerdo as así que e
EDIO y de MEDIO tie
valor de to
a dicha amazas tabla
la amenaveces al
un año. Esel valor delas variabencia 48 sado en la
naza se obn en la tab
para el gcto en lalas dimennte. Estoamenaza; silla impac
an del cálología de A
a 48 de 98
azas se oman en álisis de
culo del ellos que además
o en los
Servicio vos solo ubicaron la tabla el activo acuerdo ene una odos los
menaza, 7. En la
aza [E.1] año, es
ste valor e riesgo les que e divide
a casilla
btuvo de bla 7. Si rupo de s cinco nsiones: os tres
de ese cto de la
culo del Análisis
Se ti
Comparaacad
Lueglas afinal intríndiariconoactiv
Form
RiesRiesg
TotaRiesg
De egrup
R. Intrín
iene para e
R. IntrínR. Intrín
mo se muea cada amdémico Est
go, para caamenazas,
de la Tanseco diaro para caocer el Totvo Servicio
mulas:
sgo intrínsgoIntrínsecoD
al riesgogoIntrínsecoD
ese mismopo.
nseco = va
el activo R
nseco = 30nseco =666
estra en el menaza etudiantil y
ada activo, resultandabla 10.Prio por acada activotal riesgo inos el Total
seco diariDelActivoPar
o intrínDiarioParaAc
o modo s
lorActivo *
Registro aca
000*0,1336,6666667
recuadro l cálculolos demás
se sumo o el riesgoara el activo fue d
o, en el Tntrínseco driesgo intrí
rio para araAmenaza2
nseco dctivo2 + … +
e calculo
vulnerabil
adémico E
3333333*0
de color cdel riesgo activos de
cada riesgo intrínsecoctivo Regise15.866,6ipo de acdiario paraínseco dia
activo = 2 + … + Ries
diario = +RiesgoIntrín
el riesgo
lidad * Imp
Estudiantil u
,16666666
coral de lao intrínsecel Tipo de
go intrínseco diario postro acadé7 €. Cono
ctivo de Sa ese gruporio fue de:
RiesgoIntrínsgoIntrínseco
RiesgoInsecoDiarioP
intrínseco
pacto
un riesgo i
67
a Tabla 10co para eactivo Serv
co obtenidr activo, coémico Estociendo el
Servicio, seo de activo87.266,67
nsecoDelActoDelActivoPa
IntrínsecoDiaParaActivoN
para cad
Página
ntrínseco d
0. Así se cel activo Rvicios.
do en cadaomo se mutudiantil e riesgo ine totalizaroos. Para el 7 €.
tivoParaAmearaAmenaza
arioParaActi
da activo e
a 49 de 98
de:
completo Registro
a una de uestra al l riesgo trínseco on para Tipo de
enaza1 + aN
vo1 +
en cada
[E.1] ERRORES LOS USUARIOS
[E.2] ERRORES DADMINISTRADOR
[E.9] ERRORES REENCAMINAMIENT
[E.15] ALTERACIOACCIDENTAL DE INFORMACION
DE 48
DEL 48
DE TO 2
ON LA
4
0,133333333
0,133333333
0,005555556
0,011111111
Ta
Regi
0,166666667
0,633333333
0,3
0,6
abla 10. Calcul
istro académico Estud30000
666,66666670,133333333 0,01
66,66666667 600
2533,3333330,133333333 0,06
253,3333333 2280
500,005555556
20 30
2000,011111111
20 180
lo del riesgo d
diantil Registro
90% 1666,666666667 0,13333
90% 6333,333333333 0,13333
60% 0,12 0,00555
90% 0,06 0,01111
e los activos d
Notas por Docentes75000
66667 9033333 0,01666666166,6666667
1500
33333 9033333 0,06333333633,3333333
5700
125 9055556 0,0
12,5 112,5
500 9011111 0,0
50 450
de servicios
Certifi300
0% 666,666666767 0,133333333
66,66660
0% 2533,33333333 0,133333333
253,3322
0% 5003 0,005555556
23
0% 20006 0,011111111
218
cados In
000
90%0,016666667
666667 00
90%0,063333333
333333 80
60%0,12
0 0
90%0,06
0 80
nscripción en línea a pacadémicos
30000
666,6666667 0,133333333 0,
266,6666667 400
2533,333333 0,133333333 0,
253,3333333 2280
50 0,005555556
20 30
200 0,011111111
80 120
Págin
programas
60% ,066666667
90% ,063333333
60% 0,12
60% 0,24
na 50 de 98
[E.18] DESTRUCCIODE LA INFORMACIO
[E.19] FUGAS INFORMACION
[E.24] CAIDA DSISTEMA POAGOTAMIENTO RECURSOS
[A.5] SUPLANTACIODE LA IDENTIDADEL USUARIO
[A.6] ABUSO PRIVILEGIOS ACCESO
ON ON 4
DE 12
DEL OR DE
12
ON AD
48
DE DE
12
0,011111111
0,033333333
0,033333333
0,133333333
0,033333333
1
0,3
1
0,6
0,6
333,33333330,011111111
33,33333333 300
3000,033333333
30 270
10000,033333333
700 300
24000,133333333
240 2160
6000,033333333
60 540
90% 833,3330,1 0,01111
90% 0,03 0,03333
30% 0,7 0,03333
90% 0,06 0,13333
90% 0,06 0,03333
33333 9011111 083,33333333
750
750 9033333 0,0
75 675
2500 3033333 0
1750 750
6000 9033333 0,0
600 5400
1500 9033333 0,0
150 1350
0% 333,33333330,1 0,011111111
33,33330
0% 30003 0,033333333
327
0% 10000,7 0,033333333
7030
0% 240006 0,133333333
2421
0% 60006 0,033333333
654
90%0,1
333333 00
90%0,03
0 70
30%0,7
00 00
90%0,06
40 60
90%0,06
0 40
333,3333333 0,011111111
133,3333333 200
300 0,033333333
30 270
1000 0,033333333
700 300
2400 0,133333333
240 2160
600 0,033333333
60 540
Págin
60% 0,4
90% 0,03
30% 0,7
90% 0,06
90% 0,06
na 51 de 98
[A.7] USO NPREVISTO
[A.9] REENCAMINAMIENTDE MENSAJES
[A.11] ACCESO NAUTORIZADO
[A.13] REPUDIO
[A.15] MODIFICACIODELIBERADA DE INFORMACION
[A.18] DESTRUCCIODE INFORMACION
NO 4
TO 2
NO 12
48
ON LA
12
ON 4
0,011111111
0,005555556
0,033333333
0,133333333
0,033333333
0,011111111
0,6
0,3
0,6
0,65
0,6
1
2000,011111111
20 180
500,005555556
20 30
6000,033333333
60 540
26000,133333333
260 2340
6000,033333333
60 540
333,33333330,011111111
33,33333333
90% 0,06 0,01111
60% 0,12 0,00555
90% 0,06 0,03333
90% 0,065 0,13333
90% 0,06 0,03333
90% 833,3330,1 0,01111
500 9011111 0,0
50 450
125 9055556 0,0
12,5 112,5
1500 9033333 0,0
150 1350
6500 9033333 0,06
650 5850
1500 9033333 0,0
150 1350
33333 9011111 083,33333333
0% 20006 0,011111111
218
0% 5003 0,005555556
23
0% 60006 0,033333333
654
0% 260065 0,133333333
1015
0% 60006 0,033333333
654
0% 333,33333330,1 0,011111111
33,333
90%0,06
0 80
60%0,12
0 0
90%0,06
0 40
60%0,26
40 60
90%0,06
0 40
90%0,1
333333
200 0,011111111
20 180
50 0,005555556
20 30
600 0,033333333
60 540
2600 0,133333333
260 2340
600 0,033333333
240 360
333,3333333 0,011111111
33,33333333
Págin
90% 0,06
60% 0,12
90% 0,06
90% 0,065
60% 0,24
90% 0,1
na 52 de 98
[A.19] DIVULGACIODE INFORMACION
[A.24] DENEGACIODE SERVICIO
ON 48
ON 12
riesgo
riesgo
riesgo Total rTotal RTotal R
0,133333333
0,033333333
intrinseco diario por ac
efectivo
residual riesgo intrinsico diarioRiesgo Efectivo Riesgo Resdiual
0,6
1
ctivo
87 17 69
300
24000,133333333
240 2160
10000,033333333
700 300
1€
2.816,67 € 1
€ 7.266,67 € 7.456,67 € 9.810,00 €
90% 0,06 0,13333
30% 0,7 0,03333
5.866,67
3.050,00
750
6000 9033333 0,0
600 5400
2500 3033333 0
1750 750
39.666,6€
6.966,67 € 32.700,0
€
30
0% 240006 0,133333333
2421
0% 10000,7 0,033333333
7030
67 €
3.596
00 €
00
90%0,06
40 60
30%0,7
00 00 15.866,67 €
6,67 € 12.270,00 €
300
2400 0,133333333
960 1440
1000 0,033333333
700 300
€
4.076,67 €
€
Págin
60% 0,24
30% 0,7
15.866,67
11.790,00
na 53 de 98
Por 6. Se(7.00intrín
Las Contadmdel umodmue
1
2
3
4
5
6
7
8
9
10
grupo de ae aprecia q00) son: lonseco muy
amenazastrol Acadé
ministrador, usuario, A.
do completoestra el ries
[A.19] DIVULGA
[E.2] ERRORES
[I.5] AVERIA D
[A.5] SUPLANT
[A.13] REPUDI
[A.11] ACCESO
[E.19] FUGAS
[A.12] ANALISI
[A.15] MODIFIC
‐ €
10.000,00 €
20.000,00 €
30.000,00 €
40.000,00 €
50.000,00 €
60.000,00 €
70.000,00 €
80.000,00 €
90.000,00 €
00.000,00 €
activos se que los grocación y y por encim
Figura 6
s a las quémico, se d
I.5 Avería.13 Repudo todas lassgo intrínse
Tab
ACION DE INFO
S DEL ADMINIS
E ORIGEN FIS
TACION DE LA
O
O NO AUTORIZ
DE INFORMAC
S DE TRAFICO
CACION DELIB
totalizo suupos de acpersonal.
ma del acep
6. Riesgo
ue más esdestacan:Aa de origendio y A.11 As amenazaeco para to
bla 11. RiesAMEN
ORMACION
STRADOR
ICO O LOGICO
IDENTIDAD DE
ZADO
CION
O
ERADA DE LA
Grup
u riesgo intctivos queLos más
ptado, son
intrínseco
stá expueA.19 Divulgn físico o lóAcceso no
as que supodas las am
sgo IntrínsNAZA
O
EL USUARIO
INFORMACION
po de Activos
trínseco y están pordestacado
n: servicios
por grupos
sto el Áregación de ógico, A.5 So autorizadperaron el rmenazas d
seco por Am
N
s
es el mosr debajo deos por ten
s, datos y s
s de activo
ea de AdminformacióSuplantacido. La Tabriesgo acede la depen
menaza
Página
strado en lael riesgo aner un altosoftware.
os
misión, Reón, E.2 Errión de la id
bla 11 mueptable. La ndencia.
R. INTRINSE 32.383,33 28.888,89 23.600,00 22.500,00 19.700,00 19.663,89 16.916,67 12.000,00 11.750,00
Riesgo In
a 54 de 98
a Figura ceptado o riesgo
egistro y ores del dentidad estra de Figura7
ECO € € € € € € € € €
ntrinseco
Analdel apropnive
5101520253035
[E.1] ERRORES
[E.3] ERRORES
[E.23] ERRORE
[A.24] DENEGA
[E.24] CAIDA D
[A.18] DESTRU
[E.20] VULNER
[E.18] DESTRU
[A.6] ABUSO D
[E.4] ERRORES
[I.6] CORTE DE
lizando ahaceptado,
pio: Sisteml de riesgo
Tabla GRUP
SERVIC
‐ €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €
[N7]
FENOMEN
O
S DE LOS USU
S DE MONITOR
ES DE MANTEN
ACION DE SER
DEL SISTEMA P
UCCION DE INF
RABILIDADES D
UCCION DE LA
DE PRIVILEGIO
S DE CONFIGU
EL SUMINISTR
Figu
ora los actson: Reg
ma informáo aceptado
12. ActivoO
IOS Reg
Reg
[N.7] FEN
OMEN
O …
[I.2] DAÑ
OS PO
R …[I.5] AVE
RIA DE
…[I.7] CONDICIONES …
UARIOS
RIZACION
NIMIENTO/ AC
RVICIO
POR AGOTAMI
FORMACION
DE LOS PROGR
INFORMACIO
OS DE ACCESO
URACION
RO ELECTRICO
ura 7. Ries
tivos, los qistro Nota
ático SIAR. La lista c
os con Ries
gistro Notas por
gistro académic
[I.10
] …[E.2] ERR
ORE
S DE
L …[E.4] ERR
ORE
S DE
…[E
8]DIFU
SIONDE
TUALIZACION
ENTO DE REC
RAMAS SOFTW
N
O
O
sgo Intrínse
que presens por Doc
RC. Se encompleta se
sgo intrínsACTIVO
r Docentes
co Estudiantil
[E.8] D
IFUSION DE …
[E.15] ALTER
ACION …
[E.19] FUGAS
DE …
[E.21] ERR
ORE
S DE
…
Riesgo por Am
DE EQUIPOS
CURSOS
WARE
eco por Am
ntan un nivcentes, Recontraron e muestra
eco superi
[E.24] CAIDA
DEL …
[E.28] …
[A.4] …
[A.6] A
BUSO
DE …
menazas
HARDWARE
menazas
el de riesged local, A
15 activoen la Tabl
ior al nivel R. INTRINSEC
39.666,67 €
15.866,67 €
[]
[A.8] D
IFUSION DE …
[A.11] ACC
ESO NO …
[A.13] REPUDIO
[A15
]
Página
9.666,67 € 9.600,00 € 9.400,00 € 9.250,00 € 9.250,00 € 8.833,33 € 8.666,67 € 8.000,00 € 7.822,22 € 7.200,00 € 7.000,00 €
go muy porADSL y Des que supa 12.
aceptado CO TOTA
GRUP
[A.15] …
[A.19] …
[A.23] …
[A.25] ROBO
a 55 de 98
€ € € € € € € € € € €
r encima esarrollo peran el
AL PO
[A.27] OCU
PACION …
[A.29] EXTORSION
La sactiv
51015202530354045
DATO
SOFTWA
MEDIA
RED
HARDWA
siguiente gvos del Áre
‐ €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €
Cer
Ins
S
B.DConmaB.D
Cód
ARE Des
A Bacde
Red
AD
ARE
Ser
Ser
Rou
grafica muea de Adm
Figu
Edificio: Bloqu
e de
l Área …
Servidor desarrollo
y …
Servidor web
Routers
rtificados
cripción en líne
D. de pagos, insntraseñas de Estriculados y doc
D. Registro Acad
digo fuente apli
sarrollo propio: ckups, soporte eDesarrollo d local
SL
rvidor desarrollo
rvidor web
uters
uestra un isión, Reg
ura 8. Ries
Desarrollo propio: …
Código
fuen
te aplicación …
B.D. de …
Contraseñas d
e …
a a programas
scripciones y mastudiantes inscrcentes démico de estud
cación SIARC
Sistema informen DVDs del se
o y prueba
esquema istro y Con
sgo Intrínse
B.D. Registro Acadé
mico …
Backup
s, so
porte en
…AD
SLR e
d local
académicos
atricula ritos,
diantes
ático SIARC ervidor web y
general dntrol Acadé
eco de los
edoca
Registro acadé
mico …
Registro Notas por …
Certificado
sInscrip
ción
enlínea
a
15.866,67 €
15.866,67 €
11.986,11 €
11.986,11 €
11.986,11 €
11.986,11 €
18.013,89 €
14.125,00 €
19.070,44 €
19.069,44 €
7.166,67 €
7.166,67 €
7.166,67 €
del riesgo émico.
Activos
Inscrip
ción
en línea
a …
Aire acond
icionado
Estabilizadores de tensión
Cableado
eléctrico
Mob
iliario:
Página
87.266,
57.533,
46.836,
42.125,
38.138,
35.833,
intrínseco
Mob
iliario: …
Desarrollado
res d
e …Técnicos Inform
áticos y …
a 56 de 98
,67 €
,33 €
,11 €
,00 €
,89 €
,33 €
o de los
Activos
5.1 E Los posiactiv
Elección d
controles bilidad devos. La Tab
de salvagu
se selecc que los bla 13 resu
No.
1 Extin2 Cont
3 Docusegu
4 Mant5 Mant6 Llave7 llave8 Porte9 Llave10 Firew11 Firew12 políti13 Revisi
14 gesti15 softw16 Copi17 proce18 Antiv19 Softw20 Cont21 mant22 IDS Y23 Regi24 Docu25 perím26 contr27 Siste28 Proc29 Defin30 Regi31 Regi32 Sincr33 políti
uardas
ionarán e riesgos deume los co
Tabla
ntores tratos de conumento disciuridad tenimiento detenimiento dees de la puers de acceso ero De la depes del armarwall 1 wall 2 ca de uso deión técnica de a
ón de clavesware de regisas de seguriedimiento devirus ware copias strol de accestenimiento deY IPS stros de acti
umento de prmetro de segroles de entrema de detecedimiento de
nición de árestros de actistros de fallaronización deca de contro
implemenetectados
ontroles qu
a 13. SalvaContro
nfidencialidadplinario cont
el servidor de la climatizartas principalal CPD
pendencia io del Resp.
e los servicioaplicaciones tras
s stro de activididad de datose borrado de
seguridad so e servidores
vidades de arocedimiento
guridad físicarada físicos cción de fuege trabajo en eas de accesvidades del as e reloj ol de acceso
ntarán paraen el anáe fueron s
aguardasoles
d de plantillara violacione
e impresiónación l y de emerg
Soft
os de red s cambios del s
dad de usuas equipos
de aplicació
auditoria o de monitorea
go áreas segurao público y dadministrado
a minimizaálisis de releccionad
a es de
encia
sistema operativ
arios
ón
eo de medio
as de entregasos del sistem
Página
ar en lo poriesgos dados.
vo
s
ma
a 57 de 98
osible la añen los
Se ecomsoftworgasiste La csegu Una procser iselePuedprocpermform 5.2 R Paradocu Una teniese dexist Se pactivanálse eMet. Si seReg
eligieron coo: copias d
ware, antivanizativas temas de in
combinacióuridad razo
vez secedimientosimplantadoccionados de ser p
cedimientomita a cuamación o ex
Riesgo Efe
a el cálculumento Me
vez decidendo en cudecidieron tía, ya que
paso a calcvos luego isis indican
empleo co.1-1.0.1 Me
e observaistro acad
34 gesti35 defin36 políti37 gesti38 clasif39 capa
ontroles dede seguridvirus o cortales comoformación
ón de las onable para
eleccionads para su os mediant
y establposible qu. El objetivalquiera experiencia
ectivo
lo del rieset.1-1.0.1 M
didas las auenta la nimplantar
e ese es su
cular el riesde aplicarsndo el porcmo refereetodología
la amenaémico est
ón de accesnición de respca de segurión de activoficación de la
acitaciones e
e los dos gdad, sistemrta fuegoso: la Políticpara los u
medidas a el escen
dos los implantac
te procedimlecer qué ue varios vo del pro
ejecutarla previa.
sgo se emMetodolog
acciones a ueva situavan a red
u objetivo.
sgo efectivse los concentaje dencia la esa de Análi
aza: [E.1] udiantil, y
so de usuarioponsabilidadidad de la inf
os a informaciónn seguridad
grupos exismas de det, y por otrca de Seg
usuarios o
técnicas yario de rie
controles ción. Los cmientos, s
procedimcontroles
ocedimientocon un m
mpleo la tagía de Aná
tomar, seación consducir en m
vo, que es ntroles. Pae disminuciscala de pisis de Rie
ERRORESlos contro
os des de usuarformación
n de la inform
stentes. Poección de ro los orgaguridad, prlos planes
y organizasgo que se
pertinencontroles dse deberá amientos nes puedano es conta
mínimo de
abla que sálisis de R
e realizó uniderando l
mayor o m
el riesgo aara este anión del imp
porcentajesesgos.
S DE LOSoles selec
ios
ación
or un lado intrusos, a
anizativosrocedimien de capaci
ativas conse trataba d
ntes, debde tipo organalizar laecesitan s agrupars
ar con unae rigor au
se encuenRiesgos An
n nuevo anos controle
menor med
al que quenálisis se epacto o fres definida
S USUARIOcionados
Página
los técnicoactualizacique son m
ntos de usoitaciones.
sigue un nde mitigar.
be definirganizativo a lista de cser desarrse en una herramien sin con
tra definidnexo E.
nálisis de es y medid
dida el ries
dan expueemplea la
ecuencia een el doc
OS para epara contr
a 58 de 98
os, tales ones de medidas o de los
nivel de
rse los pueden
controles rollados. n único enta que ntar con
da en el
riesgos, das que sgo que
estos los hoja de n la que cumento
el activo rarrestar
estaesteacad(varide e Teniriesgde R
Se ti
Comparaacad
Luegamede ladiariactivefecriesg
Form
RiesRiesg
TotaRiesg
De e
amenaza valor se c
démico estiable impac
ese activo.
iendo cadago efectivoRiesgos su
PorcentaRiesgo = v
iene para e
PorcentPorcent
Riesgo Riesgo
mo se muea cada amdémico Est
go, para caenazas, resa Tabla 10io por activvo, en el Tctivo diario go efectivo
mulas:
sgo efectgoEfectivoDe
al riesggoEfectivoDi
ese mismo
deberán tcoloca al ltudiantil. CctoReducc
a uno de lo y de acuu fórmula e
ajeReduccvalorActivo
el activo R
tajeReductajeReduc
= 30000*0= 66,66
stra en el menaza etudiantil y
ada activo sultando el0. Para elvo fue de2ipo de actpara ese
o diario fue
tivo diarioelActivoParaA
go efeciarioParaActi
o modo se c
tener una lado derec
Conociendocion) se pu
os valoreserdo al do
es:
cionDelImo * vulnera
Registro aca
ccionDelImccionDelIm
0,13333333
recuadro del cálculo los demás
se sumo cl riesgo efel activo Re
2.816,67 €.ivo de Sergrupo de a de:17.456
o para aAmenaza2 +
ctivo divo2 + … +R
calculo el r
reducción cho del rieo el índice uede calcu
s de las vaocumento M
mpacto = (1abilidad * P
adémico E
mpacto = (mpacto = 0
33 * 0,0166
de color rodel riesg
activos de
cada riesgoectivo diariegistro aca. Conocienrvicio, se toactivos. Pa6,67 €.
activo = + … + Riesg
diario =RiesgoEfectiv
riesgo efec
del impacsgo intrínsde reducclar el Riesg
ariables quMet.1-1.0.
1 – impactoPorcentaje
Estudiantil u
(1- 0,9) * 00,0166666
666667
osado de lago efectivoel Tipo de
o efectivo orio por activadémico Endo el riesotalizaron ara el Tipo
RiesgoEfeoEfectivoDe
= RiesgovoDiarioParaA
ctivo para
cto o frecuseco para ción del impgo efectivo
ue particip1 Metodo
oReduccioeReduccio
un riesgo e
0,16666666667
a Tabla 10o para eactivo Serv
obtenido evo, como sEstudiantilgo efectivopara cono
o de activo
ectivoDelActilActivoParaA
oEfectivoDiaActivoN
cada activ
Página
uencia en uel activo R
pacto o freo para la a
an del cállogía de A
on) * ImpaconDelImpa
efectivo de
67
0. Así se cel activo Rvicios.
en cada unse muestrael riesgo
o diario pacer el Tota Servicios
voParaAmenAmenazaN
arioParaActiv
o en cada
a 59 de 98
un 90%; Registro ecuencia menaza
culo del Análisis
cto acto
e:
completo Registro
na de las a al final efectivo
ara cada al riesgo el Total
naza1 +
vo1 +
grupo.
5.3 R Estelos ccalcumuefue:
Siguse tresid R. RR. R Luegamede ladiariactivresidriesg
A coEfec En ldest€. NobseLocamue
Riesgo res
e riesgo cocálculos deulo el ries
estra en el
uiendo coniene que dual es:
Residual = 6Residual = 6
go, para caenazas, resa Tabla 10io por activvo, en el Tdual diario go residual
ontinuaciónctivo y Res
los activotaca el edif
Ningún actierva en laación contrestran de R
sidual
ontrolado pe riesgos ago residuarecuadro d
R. Resi
el ejemplpara la am
666,66 – 6600
ada activo sultando el0. Para elvo fue de ipo de actpara ese
l diario fue
n se realizsidual del Á
os de Locficio del Bvo sobrep
a Figura9 rolan un gr
Riesgo Efec
por los salanteriores. al por cadade color ve
idual = Rie
o de la Tamenaza [E
66,66
se sumo cl riesgo resl activo Re13.050 €. ivo de Sergrupo de a
e de:69.810
a un análiÁrea de Ad
cación el loque de A
pasó el nivque los
ran porcenctivo y Res
lvaguardasPara el aca amenazerde de la
esgoIntrins
abla y del E.1] ERRO
cada riesgosidual diaregistro acaConocien
rvicio, se toactivos. Pa0 €.
sis por tipodmisión, Re
Riesgo InAdmisión, vel de riescontroles
ntaje del riesidual.
s, empleo ctivo Regisa a la que Tabla 10.
eco – Ries
activo RegORES DE
o residual rio por actiadémico Edo el riesgotalizaron ara el Tipo
o de activoegistro y C
trínseco dcon un Riego aceptaimplemen
esgo, de a
el mismo stro académe estaba e. La fórmu
sgoEfectivo
gistro acadLOS USU
obtenido evo, como s
Estudiantilgo residuapara cono
o de activo
o de los RControl Aca
diario es desgo Intrín
able (que entados paracuerdo a
Página
procedimimico estudexpuesto cula que se
o
demico estUARIOS, e
en cada unse muestrael riesgo
al diario pacer el Tota
o Servicios
Riesgos Intadémico.
de 7.486,1nseco de 4es de 7.00ra los actlos niveles
a 60 de 98
iento de diantil se como se
empleo
tudiantil, el riesgo
na de las a al final residual
ara cada al riesgo el Total
trínseco,
1 €; se 4.277,78 00 €) se tivos de s que se
En ldestServIntrín Tamactivmue
los activotacan los avidor de Dnseco de7
mbién se ovos de Harestran de R
‐ €500,00 €
1.000,00 €1.500,00 €2.000,00 €2.500,00 €3.000,00 €3.500,00 €4.000,00 €4.500,00 €
s de Hardactivos: Desarrollo y
.166,67 € c
observa enrdware red
Riesgo Efec
€€€€€€€€€€
Figura 9. A
dware el
y prueba, cada uno,
n la Figuraducen el riectivo y Res
Activos de
Riesgo In
El Servidsobrepasa
a 10que loesgo intrínsidual
el tipo locac
trínseco d
or web y ando el niv
os controleseco, de a
ción
diario es d
los Routevel de riesg
es implemacuerdo a
Página
de35.833,3
rs con ungo aceptab
mentados plos niveles
Riesgo Intr
Riesgo Efec
Riesgo Res
a 61 de 98
33 €; se
Riesgo ble.
para los s que se
rinseco
ctivo
sidual
En ldestGeste IISSIAR Tamactivmue
1.2.3.4.5.6.7.8.
2468
101214161820
os activotacan los ator de BD S 7 con uRC con 18
mbién se ovos de Sofestran de R
‐ €000,00 €000,00 €000,00 €000,00 €000,00 €000,00 €000,00 €000,00 €
PCsd
esarrollo
‐ €2.000,00 €4.000,00 €6.000,00 €8.000,00 €0.000,00 €2.000,00 €4.000,00 €6.000,00 €8.000,00 €0.000,00 €
F
s de Softactivos:
SQLServeun Riesgo .013,89 €,
observa enftware han Riesgo Res
F
PCs d
esarrollo
Portátiles d
e de
sarrollo
Figura10. A
tware el R
er, SoftwarIntrínsecosobrepasa
n la Figuraevitado m
sidual que
Figura11. A
PC entorno
de prue
bas
Servidor desarrollo
y …
Activos del
Riesgo Intr
re Gestor do diario deando el niv
a11 que lomuchos Rie
sobre pasa
Activos de
y
Servidor web
l tipo Hard
rínseco di
de contrase 7.205,56vel de riesg
os controleesgos, de aa al Riesgo
el tipo Softw
PC del Área de
Archivo …
PC de jefe desarrollo
…ware
ario es de
señas, Win6 €, el Sisgo aceptab
es implemacuerdo a o Efectivo.
ware
Routers
Página
e 46.836,1
ndows 2008stema Infoble.
mentados plos niveles.
Riesgo In
Riesgo Ef
Riesgo Re
Riesgo In
Riesgo Ef
Riesgo Re
a 62 de 98
11 €; se
8 server ormático
para los s que se
ntrinseco
fectivo
esidual
ntrinseco
fectivo
esidual
En destCódestudiari Tamparaque
En ldest14.1obsecontRies
2468
101214
2468
10121416
los activotacan los aigo fuente diantes y Bo para cad
mbién se oa los activose muestr
los activotaca el act25,00 €,
erva que trarrestan sgo Efectiv
‐ €2.000,00 €4.000,00 €6.000,00 €8.000,00 €0.000,00 €2.000,00 €4.000,00 €
‐ €2.000,00 €4.000,00 €6.000,00 €8.000,00 €0.000,00 €2.000,00 €4.000,00 €6.000,00 €
os de Datactivos:
de aplicacB.D. de reda activo d
observa enos de Datoran de Ries
os de Soptivo: Backusobrepaslos con
el riesgo ivo y Riesgo
F
tos el Rie
ción SIARCgistro acad
de 11.986,1
n la Figuraos han evitsgo Residu
Figura12
porte el Rups sopor
sando el nntroles imintrínseco, o Residual
Figura 13.
esgo Intrín
C, B.D de pdémico de11 €, sobre
a12 que vatado muchual que sob
2. Activos d
Riesgo Intrrte en DVDnivel de rie
mplementadde acuer
.
Activos de
nseco dia
pagos e ine estudiantepasando e
arios de lohos Riesgobre pasa a
del tipo Dat
rínseco diaD con un esgo acepdos para do a los n
el tipo Sop
rio es de
nscripcionees con un el nivel de
os controleos, de acual Riesgo E
tos
ario es deRiesgo In
ptable. En los acti
niveles que
porte
Página
57.533,3
es, contrasRiesgo Inriesgo ace
es implemerdo a los
Efectivo.
e 42.375,0trínseco dla Figura
vos de e se mues
Riesgo In
Riesgo Ef
Riesgo Re
Riesgo In
Riesgo Ef
Riesgo Re
a 63 de 98
3 €; se
eñas de trínseco eptable.
entados s niveles
00 €; se diario de
13 se Soporte stran de
ntrinseco
fectivo
esidual
ntrinseco
fectivo
esidual
En lolos aresp En laactiv
En lolos acad15.8 En lactivsin epost
5
10
15
20
25
51015202530354045
os activosactivos: A
pectivamen
a Figura 1vos de red
os activosactivos d
démico, ce866,67 €, m
a Figura15vo Registroembargo steriores qu
‐ €
5.000,00 €
0.000,00 €
5.000,00 €
0.000,00 €
5.000,00 €
‐ €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €0.000,00 €5.000,00 €
s de Red eDSL y Re
nte, sobrep
4 se obsey la relació
s de Servie servicio
ertificados emientras qu
5 se obseo de Notassu riesgo ee permitan
F
ADSL
el Riesgo Ied local copasando e
erva la inflón con los
Figura 1
icios el Rios sobrepe inscripcióue para Re
rva en esps por docenefectivo llegn vigilar el
Figura 15.
Intrínseco on un Riel nivel de r
uencia de Riesgos E
4. Activos
iesgo Intrínasan el nón en línea
egistro de N
pecial quentes reducga a 6.966aumento o
Activos de
Red loc
diario es dsgo Intrínsriesgo acep
los controEfectivo y R
del tipo Re
nseco diarnivel de a tienen unNotas por d
e los controcen altame6,67 €, se o reducción
el tipo Serv
cal
de 38.138,seco diarioptable.
oles implemResidual.
ed
rio es de 8riesgo acn Riesgo Indocentes e
oles impleente el riesg
deberán an del riesgo
vicios
Página
89 €; se do de 19.0
mentados
87.266,67 €ceptable: Rntrínseco des de 39.6
ementados go Intrínseaprobar revo efectivo.
Riesgo Intrins
Riesgo Efectiv
Riesgo Residu
Riesgo In
Riesgo Ef
Riesgo Re
a 64 de 98
destacan 69,44 €
para los
€; todos Registro diario de 66,67 €.
para el eco pero visiones
seco
vo
ual
ntrinseco
fectivo
esidual
En lactiv
En loactiv
1.2.3.4.5.6.
1.1.1.1.1.2.
os activosvo de este
os activosvo de este
‐ €000,00 €000,00 €000,00 €000,00 €000,00 €000,00 €
‐ €200,00 €400,00 €600,00 €800,00 €000,00 €200,00 €400,00 €600,00 €800,00 €000,00 €
Vigilantede
acceso
al
s Auxiliargrupo sob
Figura
s de Persogrupo sob
F
Vigilante de
acceso al …
Jefe desarrollo
…
res el Riesbrepasa el
16. Activo
onal el Ribrepasa el
Figura 17.
Desarrollado
res d
e …
Técnicos …
sgo Intrínsnivel de rie
s del tipo E
esgo Intrínnivel de rie
Activos de
Respon
sables de …
seco diarioesgo acept
Equipamie
nseco diaresgo acept
el tipo Pers
Respon
sables …
Docentes
o es de 19table (verF
nto Auxilia
rio es de 8table (ver F
sonal
Estudiantes …
Página
9.522,22 €;Figura16).
ar
8.250,00 €Figura 17)
Riesgo In
Riesgo Ef
Riesgo Re
Riesgo In
Riesgo Ef
Riesgo Re
a 65 de 98
; ningún
; ningún
ntrinseco
fectivo
esidual
ntrinseco
fectivo
esidual
6 R FinaniveAcadcuandepe
Ta
Se Rde Apres Se eameplan Se oRegacad
RESULTA
alizada estl de segurdémico (vntitativa, aendencia d
abla 14. Ac
Realizó el eAdmisión, sentar y el
evaluó el rienazas ide de acción
obtuvieron istro de démico, Ce
ADOS
a etapa seridad de laver Tabla demás de
desde las d
ctivos críticGrupo
Locacione
Hardwar
Software
Datos
Media o sop
Red
Servicio
Persona
estudio deRegistro yimpacto qu
iesgo al quentificadas n para cont
varios actnotas, ADertificados
e obtuvo ua informac
14), comel nivel dedimensione
cos del Áreo
es
CAÁ
y
re SS
e C
C
porte d
A
s
al T
las amenay Control ue puede c
ue se estarpara cada
trarrestar e
tivos con rDSL, Red e Inscripci
un listado ión en el Á
mpletándole criticidades ACIDA.
ea de Adm
CPD del ÁreAcadémicoÁrea de archEdificio: Bloqy control acaServidor desServidor webDesarrollo pCódigo fuentB.D. de pagoContraseñasmatriculadosB.D. RegistroBackups, sode Desarrollo
ADSL Red local Registro NotDesarrolladoTécnicos Info
azas a queAcadémic
causar des
ría exponiea uno de el Riesgo q
riesgo porlocal, Si
ión en líne
detallado Área de Ao con un que repr
misión, RegActivo C
ea de Admisi
hivo que del Áreaadémico sarrollo y prub ropio: Sistemte aplicaciónos, inscripcios de Ess y docenteso Académicoporte en DVo
tas por Doceores de Softwormáticos y d
e están exco, la frecusde las dim
endo cadaellos. Este
que sobrep
r encima distema Inf
ea (ver Figu
de los acAdmisión, Rna valoracresenta ca
gistro y ConCritico ón, Registro
a de admisión
ueba
ma informáticn SIARC ones y matricstudiantes
o de estudianVDs del servi
entes ware SIARC de Red
xpuestos louencia co
mensiones
a activo de e dato pe
paso el nive
del aceptadformático ura 18).
Página
tivos relevRegistro y ción cualitada activo
ntrol Acadé
o y Control
n, registro
co SIARC
cula inscritos,
ntes dor web y
os activos dn que se ACIDA.
materializrmitirá prioel aceptad
do, destacSIARC, R
a 66 de 98
vantes a Control
tativa y para la
émico
del Área pueden
zarse las orizar el o.
cándose: Registro
A coAdm
1
2
3
4
5
6
7
8
9
10
ontinuaciómisión, Reg
‐ €
10.000,00 €
20.000,00 €
30.000,00 €
40.000,00 €
50.000,00 €
60.000,00 €
70.000,00 €
80.000,00 €
90.000,00 €
00.000,00 €
n se muegistro y Con
estra una ntrol Acadé
Figura
Grup
grafica qémico en c
a 18. Riesg
po de Activos
ue resumcontrol del
gos Totales
s
en el estRiesgo
s
Página
tado del Á
Riesgo In
Riego Efe
Riesgo Re
a 67 de 98
Área de
ntrinseco
ectivo
esidual
En eAdmcómprác El Pseguconta courgeesta El Pestopermapro 1. P Se pAdm
•
•
•
En cse liLuegseleademen e
CA
esta etapamisión, Reg
o y cuandoctica los sa
lan de seguridad de trarrestar eorto, mediaentes dentrán las me
lan de Segs deben
mitirá juntoobados por
PROPUES
plantearon misión, Reg
Proyectque sonsegurida
Proyectde coninforma
Proyectreducido
cada proyeistan los cgo se realizccionadosmás que pel tiempo y
APITULO
a de la Ggistro y Co se imple
alvaguardas
guridad de la inform
el riesgo idno y largoro de las
enos urgen
guridad decontribuir
o con el pr la Direcci
STAS DE P
tres proyegistro y Conto 1. Idenn medidasad en variato 2. Llam
ntroles bución. to 3. Deo de contro
ecto se indcontroles sza una est, así como
personas pel costo de
O IV. PLINF
Gestión deontrol Acamentaran, s.
la informamación, aentificado plazo. El medidas
ntes.
e la informaa alcanza
presupuestón de la de
PROYECT
ectos que mntrol Acadé
ntificado cos de aplicaas dimensi
mado: Proyuscando c
nominado:oles y de m
dican los cseleccionatimación deo del nivel participarane impleme
LAN DE FORMA
e la seguradémico, s
y el presu
ción, tambagrupa lasen proyecproyecto aplaneadas
ación debear los objto y la plaependenci
TOS
mejoraran émico: omo Proyeación urgeiones.
yecto a meconseguir
: Proyectomayor cost
riterios utilados en doel impactode implemn del proyeentación
SEGURACIÓN
ridad de lse define upuesto a
bién conocs accione
ctos; tambiéa corto plazs; mientras
erá no solojetivos deaneación aa.
el estado
ecto de imente para a
ediano plazla segur
o a largo to.
lizados paos grupos que se es
mentación qecto, la dis
RIDAD D
a informaque salvaser utilizad
ido como Pes que sén, los priozo ubicarás que en
o definir pr seguridaadecuada
de la segu
mplementacalcanzar u
zo, integraidad en
plazo. R
ra seleccio: Organizaspera tenerque se alcstribución d
Página
DE LA
ción del Áaguardas edo para co
Plan Directse seguiráoriza con aá las accion
el de larg
royectos, sd definidode accion
uridad del
ción inmedun nivel bá
a el mayor los sistem
Recoge un
onar los coativos y Tér con los canzaría. Sde las act
a 68 de 98
Área de emplear, olocar en
tor de la án para acciones nes más go plazo
sino que os. Esto nes, ser
Área de
diata, ya ásico de
número mas de
n grupo
ontroles, écnicos.
controles Se indica ividades
La sde loaño;May
A co 1.1 P EsteCapdirecreduy otayudÁreabuen Paracrite
••••
Los seleplazo
siguiente taos proyect es así qu
yo del 2014
Proyecto 1. de implemeinmediata Proyecto 2. mediano pla Proyecto 3. largo Plazo
ontinuación
Proyecto 1
e proyectoitulo I Titcción y losucir incidentros. Para dar a genea de Adminas práctic
a selecciorios, que s Coste d Controle Aplicabi Que inc
criterios dcción de so (primer
abla resumtos. Se ese la conclu
4 hasta Ago
Tabla
Proyecto ntación
Inicia: Mayo Proyecto a
azo Inicia: Junio Proyecto a
Inicia: Agost
Desarrollo dPuntos de coPeriodo de v
n se muest
1. Proyect
o contribuyulo 2 Objes empleadntes de seg
ello se imerar conciesión, Regi
cas de seg
onar los cson: de la implemes que ya ilidad de a
cidan en el
e seleccióalvaguardaaño). Lueg
me la escastima que usión de toosto del 20
a 15. Esca2014
2014
2015
to 2016 C
e actividadeontrol del provacaciones
tra con má
to de impl
ye con eletivos del dos en maguridad complementa
encia y comistro y Conuridad.
controles a
mentaciónexisten y scuerdo conmayor num
ón junto coas tanto dego se defi
la de tiempara la cuodos ellos 017.
la de tiemp20
Termin
Termin
TerminConvencios de implemoyecto
s detalles
lementació
primer oplan direc
ateria segumo: la desan Políticampromiso cntrol Acad
adecuados
y el mantesólo hace fn los riesgmero de ac
on el objetiel tipo orgainieron 44
po de la imulminaciónllevara tre
po de los p15
na: Mayo 201
na: Junio 201
na: Agosto 20ones entación del
cada una d
ón inmedi
objetivo dector. Buscuridad de satención das y procecon la segémico; ad
s a este
enimiento falta modifos detectactivos posi
ivo del Plaanizativo cactividade
mplementa de cada
es años y t
proyectos2016
15
16
017
proyecto
de las prop
iata
e seguridaca crear cola informa
de escritoredimientosguridad de emás de c
proyecto
del controlicarlos
ados ibles
an Directorcomo del Tes distribu
Página
ación de caproyecto ttres meses
2017
puestas
ad definidooncienciaciación que rios, uso des necesarila informacapacitacio
se utilizo
l
r, condicionTécnico en uidas en e
a 69 de 98
ada uno tome un s, desde
o en la ón de la permita
e claves os para
ación del ones de
o cuatro
naron la el corto
l tiempo
paraselepermprim El imamecontameAcadameluegporcprommermame La tdocuprom La reduLogrdel 4El pres dproy Este 1.2 P EsteCapmejoincidotrosse imayudcapa Paraque
a la impleccionados
mitirán medmer proyect
mpacto espenazas quetroles elegenazas qudémico, co
enazas se o se comp
centaje demedia el pmar la am
enazas
tabla compumento Prmedio que
implementuciendo el rándose un48% y la ubromedio dedel 32%, yecto es Ge
e primer pro
Proyecto 2
e proyectoitulo I Tit
oren la sedentes de s tipos de amplementadar a reducacitaciones
a seleccionson:
mentación. Tambiéndir el niveto.
perado de e fueron ididos. De ae debe con un riesle definió
paró con lae implemeporcentajemenaza. E
pleta con royecto 1se logra es
tación de riesgo de an nivel de bicación dee mejora csolo la destión de c
oyecto nec
2. Proyect
contribuytulo 2 Objeeguridad eseguridadataques quan Políticacir la frecus de buena
nar los con
n de los cn se crearol de cump
las medidadentificada
acuerdo a contrarrestsgo intrínslos contro
as medidasntación qu
e de impleEste proce
las amen. Proyects del 58%.
las medacuerdo alProtecció
e 10 amencon respecimensión
continuidad
cesitará un
to a media
ye con el etivos del en el sist
d como: elue lleguenas, proceduencia y el as práctica
ntroles ade
controles on tres pu
plimiento d
as seleccioas en el alo mostradtar el Áreseco de 2oles necess a implemue se logementacióedimiento
azas e imto de imp.
didas propl nivel de im
ón de 136.nazas por dto al estadque no m
d.
na inversió
ano plazo
segundo plan dire
tema infol fraude a afectar la
dimientos yimpacto ds de segur
ecuados a
organizativuntos de cde las activ
onadas seanálisis dedo por el aea de Adm282.091,67sarios que
mentarse egraría paran de los se siguió
mpactos esplementac
puestas ampacto es340,51 €,debajo del do anterior mejoraría
n de 20.24
objetivo dctor. Buscrmático Stravés deintegridad
y controlee accesosridad.
este proy
vos y téccontrol (cavidades pr
basó en le riesgo coanálisis de misión, R7 €. A cae podrían en este proa cada co
controles con cada
sperados sción inme
afecta a perado pauna dismnivel acepde la normcon la im
48,00 € par
de seguridca implemeSIARC quee accesos d de la infos técnicos
s no autoriz
yecto se ut
Página
cnicos queada 4 mesropuestas
a evolucióon respectriesgo ex
egistro y ada una dmermar el
oyecto midontrol. Al
necesarioa una de
se muestrdiata. El
varias amara cada aminución de
ptado. ma ISO/IEC
mplementac
ra su desa
ad definidentar medie permita
no autorizrmación. P
s necesarizados; ade
tilizo tres c
a 70 de 98
e fueron ses) que
de este
n de las to a los isten 20 Control
de estas l riesgo; iendo el final se os para
las 20
ra en el impacto
menazas menaza. el riesgo
C 27002 ción del
arrollo.
do en la das que reducir
zados y Para ello os para
emás de
criterios,
•••
Los selemedel tiefueroque este El improc La tdoculogra La reduLogr20% El pres dcont Estedesa 1.3 P EsteCapintercontentretécninter Paraque
Coste d Controle Aplicabi
criterios dcción de
diano plazoempo paraon selecciopermitirán segundo p
mpacto espcedimiento
tabla compumento Pra es del 91
implementuciendo el rándose un
% y la ubica
romedio dedel 89%, latinuidad co
e segundoarrollo.
Proyecto 3
e proyectoitulo I T
rrupción dtingencias e otros. Picos nece
rrupciones
a seleccionson:
de la implemes que ya ilidad de a
e selecciósalvaguard
o (segundoa la impleonados. Tan medir el proyecto.
perado de explicado
pleta con royecto 2. 1%.
tación de riesgo de an nivel de ación de 9
e mejora ca dimensióon el 80%.
o proyecto
3. Proyect
o contribuyTitulo 2 Oel Sistemacomo: inc
Para ello esarios pade origen
nar los con
mentaciónexisten y scuerdo con
ón junto codas tanto o año). Luementaciónambién senivel de c
las mediden el proy
las amenProyecto
las medacuerdo alProtecciónamenazas
con respecón de men
o necesita
to a largo
ye con elObjetivos a de Inforcendios, cse imple
ara ayudaindustrial
ntroles ade
y el mantesólo hace fn los riesg
on el objetidel tipo o
ego se den de los coe crearon tcumplimie
das seleccyecto anter
azas e imo a median
didas propl nivel de imn de 57.44s por debaj
to al estadnor promed
ará una
Plazo
l tercer odel plan
rmación Scaídas de mentan P
ar a reduo natural.
ecuados a
enimiento falta modifos detecta
ivo del Plaorganizativfinieron 50ontroles otres puntosnto de las
cionadas serior.
mpactos esno plazo.
puestas ampacto es1,12 €, unjo del nivel
do anterior dio de imp
inversión
bjetivo dedirector.
SIARC anteenergía,
Políticas, pucir la fre
este proy
del controlicarlos
ados
an Directorvo como d0 actividadrganizativos de contros actividad
e basó de
sperados sEl impacto
afecta a perado paa disminucl aceptado
de la normplementaci
de 51.96
e segurida. Reducir e el riesgrobo de eprocedimieecuencia y
yecto se ut
Página
l
r, condiciondel Técnicdes distribuos y técnicol (cada 4 es propue
e igual mod
se muestro promedio
varias amara cada amción del rie
o.
ma ISO/IECión es Ges
60,00 € p
ad definidola posibilo de pres
equipos, sentos y cy el impa
tilizo tres c
a 71 de 98
naron la co en el uidas en cos que meses)
estas de
do en el
ra en el o que se
menazas menaza. esgo del
C 27002 stión de
para su
o en la idad de sentarse abotaje,
controles acto de
criterios,
• Los seleplazoparaselepermterce El improc La tdoculogra La i1.89ame El pres ddesa 2. R La aRegpartiredude19 A code sdifer
ANALRIE
PROYPROYPROY
Aplicabi
criterios dcción de so (tercer a
a la impleccionados
mitirán meder proyecto
mpacto espcedimiento
tabla compumento Pra es del 10
mplementa97,50 €, uenazas por
romedio dedel 98%. Earrollo.
RESULTA
aplicación istro y Conicipación d
ucir el ries95.679,13
ontinuaciónseguridad rentes dom
LISIS DE ESGO 28
YECTO 1 YECTO 2 YECTO 3
ilidad de a
e seleccióalvaguardaaño). Luegmentación. Tambiéndir el niveo.
perado de explicado
pleta con royecto 3.00%.
ación de luna dismin
debajo de
e mejora cste tercer
ADOS
del plan dntrol Acadde todos losgo, cuan€ al contro
n se resumde la infor
minios de la
Tabla 16.
82.091,67 €
cuerdo con
ón junto coas tanto dego se defin de los cn se crearol de cump
las mediden los pro
las amen. Proyecto
as medidanución delel nivel ace
con respecproyecto n
de seguridémico reqos miembrtificado en
olar las am
me las estrmación y a norma IS
EstadísticIMPACTO
ESPERADOPROMEDIO
58% 91% 100%
n los riesg
on el objetiel tipo organieron 25controles on tres pu
plimiento d
das seleccoyectos ant
azas e imo a largo
as propuel riesgo d
eptado.
to al estadnecesitará
dad de la querirá de: ros que lan 282.091
menazas ide
adísticas dse indica
SO/IEC 270
cas de los pO O
RIESGOO
PRO
1
os detecta
ivo del Plaanizativo cactividadeorganizativ
untos de cde las activ
cionadas seteriores.
mpactos esPlazo. E
stas logradel 1% y
do anterior una invers
informaciótres años
aboran en ,67 €, a entificadas
de proyectde forma
002 Figura
proyectos O RESIDUAL NIVEL TEGIDO
36.340,51 € 57.441,12 € 1.897,50 €
ados
an Directorcomo del Tes distribuvos y téccontrol (cavidades pr
e basó de
sperados sl impacto
a un nivel la ubicac
de la normsión de 36
ón en el Ás, invertir
la dependun 72%
s.
tos desarro grafica la
a 19.
desarrolladDISMINUICIDEL RIESG
48%20%1%
Página
r, condicionTécnico en idas en el
cnicos queada 4 mesropuestas
e igual mod
se muestrpromedio
de Protección de to
ma ISO/IEC6.040,00 €
Área de Ad108.248,0
dencia pary evitar p
ollados ena evolución
dos ON
GO INV
2 5 3
a 72 de 98
naron la el largo
l tiempo e fueron ses) que
de este
do en el
ra en el que se
cción de odas las
C 27002 para su
dmisión, 0 € y la
ra lograr pérdidas
n el plan n de los
VERSION
20.248,00 € 51.960,00 € 36.040,00 €
TO
F
G
OTAL
Figura 19.
Adquisicio y mant
Gestion de incen la SI
Gecon
Evolución
Control d
on, desarrolltenimiento …
cidentes I
estion de ntinuidad
Cumplimie
de los dife
0%
20%
40%
60%
80%
100%Politica d
de acceso
ento
1
erentes do
de seguridad
Gcomu
95.679,13 €
ominios de
OrganizaciónSeguridad de
Gesti
SegRec
Seguridaamb
Gestion de unicaciones y …
72%
la norma I
n de la e la Inf
ion de Activos
guridad de loscurso humano
ad Fisica y iental
…
Página
10
ISO/IEC 27
s
s os
a 73 de 98
08.248,00 €
7002
OptimoProyecto 1Proyecto 2Proyecto 3Actual
En eAdmcon ha anorm Una requISO/cumcummommod El Mmodiniciapor Esteque infer
A co
CAP
esta etapamisión, Reg
respecto aavanzado mas indicad
auditoria uisitos de /IEC 2700plimiento dplimiento s
mento de edelo de ma
Modelo de Mdelo de evalmente pala Univers
e modelo ctenga ins
riores, se c0 - Inexi1 - Inicia2 - Repe3 - Defin4 - Gest5 - Optim
ontinuación
Valor CMM
L0
L1
L2
L3
PITULO
a de la Ggistro y Coa las normala dependdas.
de cumplimla norma
1 y 27002de los objese empleaevaluar cadurez de c
Madurez dvaluación dara los prosidad Carnonsta de cstitucionalizconsidera qistente. al. etible. nido. tionado. mizado.
n se muest
Tabla 1M Efectivida
0%
10%
50%
90%
V. AUD
Gestión deontrol Acadas ISO/IEC
dencia en
miento es que se t
; también etivos de c
an modelosada aspeccapacidade
de Capacidde los procesos rela
negie-Mellocinco "nivezadas todque ha alca
tra una tab
7. Niveles ad Sig
Inexistent
Inicial / Ad
Reproduc
Proceso d
DITORIA
e la segurdémico, seC 27001 y cada uno
un procestiene comose puede cada aspes y escala
cto de la nes o CMM.
dades o Cocesos deativos al deon para el les de mad
das las pranzado es
bla donde s
de efectivgnificado
te
d-hoc
cible, pero intu
definido
A DE CU
ridad de lrealiza un27002 con
o de los a
so de reviso referencentender c
ecto de la as con el anorma, en .
MM (Capae una orgaesarrollo e
SEI (Softdurez", de rácticas inse nivel de
se explica
idad del m
Carenciaconocido
Procedimen áreasse debe
uitivoExiste unexperienformal. DindividuaLa organen el proimplantacomunic
UMPLIM
a informana auditorian el fin de spectos q
sión del cucia, en escomo el ninorma. En
animo de ueste trab
ability Matuanización. implement
tware Engmodo que
ncluidas enmadurez.
cada uno d
modelo CMMDescrip
a completa de co.
mientos inexistes concretas. El éa esfuerzos pe
n método de trancia, aunque sinDependencia deal nización en su coceso. Los procados, documentacados.
Página
MIENTO
ción del Áa de cumpconocer que conform
umplimientoste caso sivel de logn las auditounificar criajo se uti
urity ModelFue desa
tación de sineering In
e una organn un niveLos nivele
de los nive
M pción cualquier proces
entes o localizadéxito de las tarersonales.
abajo basado enn comunicación el conocimiento
conjunto participesos están ados y
a 74 de 98
Área de plimiento ue tanto man las
o de los serán la gro en el orias de terios al lizara el
l), es un arrollado software nstitute). nización
el y sus es son:
eles.
so
dos eas
n la
pa
1. E2
Se tque docuriesgotrosque valodel m2700
Controde ISO
/IEC27001
4
4.1
4.1
4.2
4.2.14.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
4.2.1 (
L4
L5
L6
Evaluació27001
tomaron coevidencia
umento dego, políticas. Cada real respectoración de modelo CM01 junto co
ol O 1
SGSI
RequerimieLa organizamantener y
Establecer
Establecera) Definir el al
b) Definir una
(c) Definir el en
d) Identificar lo
e) Analizar y e
(f) Identificar y
g) Selecciona
h) Obtener la propuestos
(i) Obtener la
95%
100%
N/A
ón de mad
omo entraan el funce aceptacióa de segurequerimieno había reacuerdo a
MM. A conon la valora
Requerim
entos Generaleación debe estay mejorar un SG
r y Gestionar e
r el SGSI cance y los lím
política de SGS
nfoque de la ev
os riesgos
evaluar los riesg
y evaluar opcion
r objetivos de caprobación por autorización de
Gestionad
Optimizad
No aplica
durez resp
ada los regcionamientón del riesridad de lanto de la ncopilado la
al nivel de ntinuación ación que o
Tabla 18
mientos obligat
es ablecer, implemeGSI documentad
l SGSI
ites del SGSI
SI
aluación de Rie
gos
nes para el trata
ontrol y controleparte de la dire
e la Dirección pa
do y medible
do
pecto a lo
gistros, doto del SGsgo residu informació
norma neca dependecumplimiese lista losobtuvo lue
8. Valoraci
torios para el S
entar, operar, mdo
esgos
amiento de riesg
es para el tratamección de los rie
ara implementar
Se puedprocesosy estadísmejorar
Los procEn base determiny se opti
s controle
ocumentosGSI como ual por Dirón, declara
cesito confncia, es as
ento evidens requerim
ego de su e
ón del SG
SGSI
monitorizar, revis
gos
mientos de riesgesgos residuales
r y operar el SG
e seguir la evols mediante indicsticos. Hay herrla calidad y la e
cesos están bajoa criterios cuan
nan las desviacimizan los proce
es definid
, procedimson: Aná
rección, Plación de afrontarse csí que al finnciado y si
mientos de evaluación
SI
Valora
sar, 100
100
100
100
100
100
100
gos 100s 100
GSI 100
Página
ución de los cadores numériramientas para eficiencia
o constante mejntitativos se ones más comu
esos
dos en la I
mientos y pálisis de lan de gesaplicabilidacon las evinal se obtiiguiendo lala norma de madur
ación Obser
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
a 75 de 98
cos
jora.
unes
ISO/IEC
políticas riesgos, stión de
ad, entre idencias ene una a escala ISO/IEC rez.
rvaciones
4.2.1 (
4.2.24.2.2 (
4.2.2 (
4.2.2 (
4.2.2 (
4.2.2 (
4.2.2 (
4.2.2 (
4.2.2 (
4.2.3
4.2.3 (
4.2.3 (
4.2.3 (
4.2.3 (
4.2.3 (
4.2.3 (
4.2.3 (
4.2.3 (
4.2.44.2.4 (
4.2.4 (
4.2.4 (
4.2.4 (
4.3
4.3.1
4.3.1 (
4.3.1 (
4.3.1 (
(j) Preparar un
2 Implementa) Elaborar un
b) Implementacontrol iden
(c) Implementade control
d)
Definir cómseleccionadevaluar la ereproducibl
e) Implementa
(f) Gestionar la
g) Gestionar lo
h) Implementadetección d4.2.3a)
3 Monitoriza
a) Ejecutar pro
b) Llevar a ca
(c) Medir la eferequerimien
d) Revisar lasriesgos res
e) Llevar a ca
(f) Llevar a ca7.1)
g) Actualizar loactividades
h) Registrar acrendimiento
4 Mantener ya) Implementa
b) Llevar a ca
(c) Comunicar
d) Asegurar q
Requerimie
Documenta
a) Documenta4.2.1b)
b) Alcance de
(c) Procedimie
na Declaración
tar el SGSI n plan de tratamar el plan de tratntificados ar los controles
mo medir la efectdos y especificaefectividad del ces (ver 4.2.3c)
ar programas de
a operación del
os recursos parar procedimientode eventos de s
ar y Revisar el S
ocedimientos de
bo revisiones pectividad de los ntos de segurida evaluaciones diduales y los niv
bo auditorías in
bo una revisión
os planes de ses de monitorizaccciones y evento del SGSI (ver
y mejorar el SGar las mejoras id
bo las acciones
las acciones y
ue las mejoras
entos de Docu
ación General ar los procedimie
l SGSI (ver 4.2.
entos y controles
de aplicabilidad
miento de riesgotamiento de ries
seleccionados
tividad de los coar cómo estas mcontrol para prod
e formación y co
SGSI
ra el SGSI (ver 5os y otros contreguridad y resp
SGSI
e monitorización
eriódicas de la controles para
ad de riesgos en inveles aceptable
nternas del SGS
por la dirección
eguridad para teción y revisión tos que podrían4.3.3)
GSI dentificadas en
s correctivas y p
mejoras a todas
consiguen sus
umentación
del SGSI entos y objetivo
.1A)
s de apoyo al S
d
s sgos para logra
en 4.2.1g para
ontroles o grupomediciones van ducir resultados
oncienciación (
5.2) roles capaces dpuesta a inciden
n y revisión y ot
efectividad del Sverificar que se
tervalos planifics de riesgos ide
SI de manera reg
n del SGSI de m
ener en cuenta l
n tener impacto
el SGSI
preventivas de a
s las partes inte
objetivos propu
os de la política
GSI
r los objetivos d
llegar a los obje
os de controles a ser utilizadas s comparables y
(ver 5.2.2)
e permitir una rntes de segurida
tros controles
SGSI e cumplen los
cados y revisar entificados.
gular (ver 6)
manera regular (
los hallazgos de
en la efectividad
acuerdo con 8.2
eresadas
estos
del SGSI (ver
100
100
de 100
etivos 100
para y 100
95%
100
100ápida
ad (ver 100
95%
100
100
los 100
100
(ver 100
e las 100
d o el 100
100
2 y 8.3 100
100
100
100
100
100
Página
0%
0%
0%
0%
0%
%
Se ha deproyectoprogramformacióconciencaún no htodas lasplantead
0%
0%
0%
%
muchos no han srevisadocumplenpolíticas
0%
0%
0%
0%
El plan dauditoríadefinido cumple
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
a 76 de 98
efinido un o para el
ma de ón y ciación que ha cubierto s temáticas das
controles sido os si n con las s definidas
de as está y se
4.3.1 (
4.3.1 (
4.3.1 (
4.3.1 (
4.3.1 (
4.3.1 (
4.3.2
4.3.2
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.2 (
4.3.3
4.3.3 (
4.3.3 (
4.3.3 (
4.3.3 (
4.3.3 (
d) Descripción
e) Informe de
(f) Plan de Tra
g) Procedimieefectiva, la información
h) Registros re
(i) Declaración
2 Control de
2 Los Documcontroladosdefinir las a
a) Aprobar do
b) Revisar y adocumento
(c) Asegurar qdocumento
d) Asegurar qdisponible y
e) Asegurar q
(f) Asegurar qnecesiten yde acuerdo
g) Asegurar q
h) Asegurar q
(i) Prevenir el
(j) Aplicar unapara cualqu
3 Control de
a) Los registrode conform
b) Los registro
(c) El SGSI deobligacione
d) Los registrorecuperable
e) Los controlerecuperaciódocumenta
n de la metodolo
evaluación de R
atamiento de Rieentos necesitado
operación y el cn y describir cómequeridos por e
n de Aplicabilida
e Documentos mentos requeridos. Un procedimieacciones de la dcumentos para
actualizar docums. ue los cambios s están identificue las versionesy a punto para s
ue los documen
ue los documeny son transferidoo a los procedimue los documen
ue la distribució
uso no intencio
a identificación auier propósito.
e los Registros os deben establ
midad a los reque
os serán protegbe tener en cue
es contractualesos deben permaes. es necesarios pón, tiempo de redos e implemen
ogía de evaluac
Riesgos (ver de
esgos (ver 4.2.2os por la organizcontrol de sus pmo medir la efeceste Estándar In
ad
os por el SGSI dento documenta
dirección necesisu adecuación
mentos cuando s
y que los estadcados s pertinentes deser usados
ntos permanece
ntos están dispoos, almacenado
mientos aplicablentos de procede
ón de los docum
onado de docum
adecuada a los
lecerse y manteerimientos y a la
idos y controladenta los requisits. anecer legibles,
para la identificaetención y desentados.
ción de Riesgos
esde el 4.2.1c al
2b) zación para ase
procesos de segctividad de los c
nternacional (ve
deberán ser proado deberá ser tadas para: antes de su em
sea necesario y
dos de revisión a
e documentos a
en legibles y fác
onibles para aquos y en última ines en base a suencia externa es
mentos está con
mentos obsoleto
documentos si
enerse para proa eficacia del S
dos os legales o reg
fácilmente iden
ación, almacenachado de los re
s (ver 4.2.1c)
l 4.2.1g)
egurar la planificguridad de la controles (ver 4r 4.3.3)
otegidos y establecido par
misión y re-aprobar
actual de los
aplicables están
cilmente identific
uellos que lo stancia, elimina
u clasificación stán identificado
trolada.
os.
éstos son reten
porcionar evideGSI
glamentarios y l
ntificables y
amiento, proteccegistros serán
100
100
100cación
.2.3c) 100
100
100
ra
100
100
100
n 100
cables 50%
ados 100
os. 100
100
50%
nidos 100
encias 100
100as 100
100
ción, 100
Página
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
%
el área dlleva un de etiqudemas ldescono
0%
0%
0%
%
Los docestán decarpetasservidorficherosversionecompartcon las vvigentespodría inconfusióEstá proimplemeun softwgestión que solueste tem
0%
0%
0%
0%
0%
0%
a 77 de 98
de archivo esquema etado. Los o
ocen
umentos entro de s del r de . Las
es obsoletas ten carpetas versiones s. Esto nducir a ón. oyectada la entación de ware de documental
ucionará ma.
4.3.3 (
Controde ISO
/IEC27001
5
5.1
5.1
5.1 (a
5.1 (b
5.1 (c
5.1 (d
5.1 (e
5.1 (f
5.1 (g
5.1 (h
5.2
5.2.15.2.1
5.2.1 (
5.2.1 (
5.2.1 (
5.2.1 (
5.2.1 (
5.2.1 (
5.2.2
5.2.2
5.2.2 (
(f) Se mantendapartado 4.significativo
ol O 1
Gestión de
CompromiLa direcciónestablecimimantenimie
a) Establecer
b) Asegurar de
c) Establecer
d)
Comunicar seguridad dinformaciónde la mejor
e) Proporcionamonitorizar
f) Decidir los aceptables
g) Asegurarse
h) La realizaci
Gestión de
Provisión d La organiza
a) Establecer,SGSI
b) Asegurar qcompatibles
(c) Identificar ycontractuale
d) Mantener lacontroles im
e) Llevar a caadecuada a
(f) Cuando sea
2 Formación
2 La organizaresponsabilas tareas r
a) Determinar efectivo en
drán registros d.2 y de todas lasos relacionados
Tab
Requerim
e la Responsab
so de la direccn debe proporciento, implemen
ento y mejora de
una política de
e que se establ
roles y responsa la organizació
de la información, sus responsara continua ar recursos sufir, revisar, mantecriterios de ace
e de que las aud
ión de revisione
e los recursos
de Recursos ación deberá de implementar, o
ue los procedims con los requey abordar los reqes de seguridada seguridad ademplementados bo revisiones cua los resultadosa necesario, me
n, sensibilizacióación debe aseglidades definida
requeridas por: r las competencel SGSI
de los resultadoss ocurrencias dcon el SGSI.
bla 19. Ges
mientos obligat
bilidad
ción ionar evidencia
ntación, operaciel SGSI por:
SGSI
ecen los objetiv
sabilidades paraón la importanc
ón y conforme a bilidades en virt
cientes para esener y mejorar eeptación de riesg
ditorías internas
es por la direcció
eterminar y provoperar, monitoriz
mientos de segurimientos del nequisitos legalesd ecuada mediant
uando sea nece de estas revisi
ejorar la eficacia
ón y competengurarse de que as en el SGSI se
cias necesarias
s del proceso, ce incidentes de
stión de la
torios para el S
de su compromón, monitoreo, r
vos y los planes
a la seguridad dcia de satisfacer
la política de setud de la ley as
stablecer, implemel SGSI (ver 5.2gos y los niveles
s del SGSI se lle
ón del SGSI (ve
veer los recursozar, revisar, ma
uridad de la inforegocio y reglamentario
te la aplicación
esario, y dar unaones a del SGSI
ncia todo el personaean competente
para el persona
como se indica eseguridad
Responsa
SGSI
miso con el revisión,
s del ISMS
e la informaciónr los objetivos deeguridad de la í como la neces
mentar, operar, .1) s de riesgo
evan a cabo (ve
er 7)
s necesarios paantener y mejora
rmación son
os y las obligac
correcta de todo
a respuesta
al al que se le aes para desemp
al que realiza tra
en el 100
abilidad
Valora
100
100
100
n 100e
sidad 100
100
100
er 6) 100
100
ara: ar un 100
100
ciones 100
os los 100
100
100
signa
peñar
abajo 100
Página
0%
ación Anot
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
a 78 de 98
taciones
5.2.2 (
5.2.2 (
5.2.2 (
5.2.2
Controde ISO
/IEC 27001
6
6
6 (a)
6 (b)
6 (c)
6 (d)
6 (e)
6 (f)
Controde ISO
/IEC 27001
7
7.1
7.1
7.2 (a
b) Proporcionapersonal co
(c) Evaluar la e
d) El mantenimexperiencia
2 La organizaconsciente la informac
ol O
1
Auditoría InLa organizaplanificadosprocedimien
Cumplir conreglamentos
Cumplir con
Que está ef
Desempeñe
Que sea plaLa direcciónde que se toconformidaddeben incluresultados d
ol O
1
Revisión po
General La direcciónmenos una eficacia
a) Informació
ar formación o tompetente) para
efectividad de lamiento de los rea y calificacione
ación también dde la relevanciaión y de cómo c
T
Requerim
nterna del SGSación debe llevas para determinantos de su SGSn los requisitos ds pertinentes
n los requisitos d
fectivamente im
e según lo espe
anificado un pron responsable doman acciones des detectadas ir la verificaciónde la verificació
Tabla
Requerim
or la dirección
n revisará SGSIvez al año) par
n para la Revis
tomar otras acca satisfacer esta
as acciones llevegistros de educs (véase 4.3.3)
ebe asegurar qa e importancia contribuyen al lo
Tabla 20. A
mientos obligat
SI ar a cabo auditoar si los objetivo
SI: de este Estánda
de seguridad de
mplementado y m
erado
ograma de auditdel área que est
sin demora injuy sus causas. L
n de las accionen (ver 8).
a 21. Revis
mientos obligat
n del SGSI
de la organizacra asegurar su c
sión
ciones (por ejemas necesidades
vadas a cabo cación, formació
que todo el persde sus activida
ogro de los obje
Auditoría In
torios para el S
rías internas deos del control, c
ar Norma y la le
e la información
mantenido
toría té siendo auditaustificada para eLas actividades es llevadas a ca
sión por la
torios para el S
ción a intervaloscontinua idoneid
mplo, el empleo
ón, habilidades,
onal pertinente ades de seguridetivos del SGSI.
nterna del S
SGSI
el SGSI a intervacontroles, proce
egislación o los
n identificados
ada debe asegueliminar las no
de seguimientobo y el informe
dirección
SGSI
s planificados (pdad, adecuación
de 95%
100 100
es ad de
95%
SGSI
Valora
alos sos y
100
100
100
100
100rarse
o de
100
del SGSI
Valora
por lo n y 95%
Página
%
Se ha deproyectoprogramformacióconciencaún no htodas lasplantead
0%
0%
%
Se ha deproyectoprogramformacióconciencaún no htodas lasplantead
ación Anot
0%
0% 0% 0%
0%
0%
ación Anot
% No todosaspectosrevisado
a 79 de 98
efinido un o para el
ma de ón y ciación que ha cubierto s temáticas das
efinido un o para el
ma de ón y ciación que ha cubierto s temáticas das
taciones
taciones
s los s han sido
os
7.2
7.2 (a
7.2 (b
7.2 (c
7.2 (d
7.2 (e
7.2 (f)
7.2 (g
7.2 (h
7.2 (i)
7.3
7,3
7.3 (a
7.3 (b
7.3 (c
7.3 (d
7.3 (e
Controde ISO
/IEC 27001
8
8.1
8.1
8.2 (a
8.2
8.2 (a
8.2 (b
8.2 (c
8.2 (d
8.2 (e
La informac
a) Resultados
b) Los coment
c) Técnicas, porganizació
d) Estado de la
e) Las vulneraevaluación d
) Los resultad
g) Las accione
h) Todos los c
) Recomenda
ResultadosEl resultadoacciones re
a) Mejora de la
b) Actualizació
c) Modificacióninformaciónexternos qu
d) Necesidade
e) Mejoras de
ol O
1
Mejora del
Mejora conLa organizauso de la pode la informmonitorizad(véase 7).
a) Acción CorLa organizaconformidadde éstas. Elrequisitos p
a) Identificar la
b) Determinar
c) Evaluar la nconformidad
d) Determinar
e) Registrar lo
ción para una re
de Auditorías y
tarios de las par
roductos o procn para mejorar
as acciones preabilidades o amede riesgos ante
dos de las medi
es de seguimien
ambios que pod
aciones de mejo
s de la Revisióo de la revisión placionadas con a eficacia del SG
ón del plan de tr
n de los proced, según sea nec
ue pueden influires de Recursos
cómo la efectiv
Requerim
SGSI
ntinua ación debe mejoolítica de seguri
mación, resultadoos, acciones co
rrectiva ación deberá tomdes con los requl procedimiento ara:
as no conformid
las causas de lnecesidad de addes no vuelvan y aplicar las me
s resultados de
evisión incluirá:
y revisiones del
rtes interesadas
cedimientos, queel rendimiento y
eventivas y correenazas no tratad
erior
ciones de la efi
nto de revisione
drían afectar al
ora
n por la dirección lo siguiente:
GSI
ratamiento de ri
imientos y contcesario, para rer en el SGSI
vidad de los con
Tabla
mientos obligat
orar continuamedad de la informos de las auditoorrectivas y prev
mar acciones pauisitos del SGSdocumentado d
dades
as no conformiddoptar medidas a ocurrir
edidas correctiv
e las acciones to
SGSI
s
e podrían ser uty la eficacia del
ectivas das adecuadam
cacia
s previas de la
SGSI
deben incluir to
esgos y evalua
roles que la segesponder a even
ntroles está sien
22. Mejora
torios para el S
ente la eficacia dmación, los objeorías, el análisisventivas y la rev
ara eliminar la cI con el fin de pde acciones cor
dades para asegurar q
vas necesarias
omadas (véase
tilizados en la SGSI
mente en la
dirección
odas las decisio
ción de riesgos
guridad efecto lantos internos o
ndo medida
a del SGSI
SGSI
del SGSI a travéetivos de segurids de los eventosvisión por la dire
causa de no prevenir la recurrrectivas debe d
que las no
4.3.3)
100
100
100
100
100
100
95%
100
100
ones y
100
100
a 100
100
95%
Valora
és del dad
s ección
100
rrencia definir
100
100
100
100
100
Página
0%
0%
0%
0%
0%
0%
% No todosaspectosrevisado
0%
0%
0%
0%
0%
0%
% No ha sirevisionerespecto
ación Anot
0%
0%
0%
0%
0%
0%
a 80 de 98
s los s han sido
os
do llevadas es al o
taciones
8.2 (f)
8.3 (a
8.3
8.3 (a
8.3 (b
8.3 (c
8.3 (d
8.3 (e
8,3
A code mReg
Ta
La smen
) Revisar las
a) Acción PreLa organizaconformidadsu ocurrencefectos de lacciones pr
a) Identificar n
b) Evaluar la nconformidad
c) Determinar
d) Registrar lo
e) Revisar las
La organizanecesidadehan cambia
ontinuaciónmadures distro y Con
abla 23. Niv
siguiente Tnores (las
acciones correc
eventiva ación determinades potencialescia. Las accioneos problemas p
reventivas debeo conformidade
necesidad de acdes e implementar
s resultados de
acciones preve
ación debe idents de acciones p
ado significativam
n se resumde la normntrol Acadé
veles de m
Valor CMM
L0
L1
L2
L3
L4
L5
L6
Tabla agrumenores s
ctivas tomadas
rá acciones pars con los requisies preventivas topotenciales. El pn definir requisi
es potenciales yctuar para preve
las acciones pre
e las acciones to
entivas tomadas
tificar cambios epreventivas centmente
men los dama ISO/IECémico.
madures co
M Efectivida
0%
10%
50%
90%
95%
100%
N/A
upa los vase pueden
ra eliminar las ctos del SGSI coomadas deben sprocedimiento ditos para: y sus causas enir la ocurrenci
eventivas neces
omadas (véase
s
en los riesgos ytrando la atenci
atos obteniC 27001 g
on el nume27001
ad Si
Inexisten
Inicial / A
Reproduc
Proceso
Gestiona
Optimiza
No aplica
alores CMn llamar op
causas de no on el fin de prevser apropiadas ocumentado pa
ia de no
sarias
4.3.3)
y determinar las ión en los riesgo
dos luego gestionada
ero de cont ignificado
te
Ad-hoc
cible, pero intu
definido
do y medible
do
a
MM en Noportunidad
95%
venir a los
ara las
100
100
100
100
95%
os que 100
de finalizaa por el Á
troles de la
Núme
uitivo
o conformiddes de me
Página
% No todosaspectosrevisado
0%
0%
0%
0%
% No todosaspectosrevisado
0%
arse la evaÁrea de Ad
a norma IS
ero
0
0
2
0
9
99 0
dades Maejora), y C
a 81 de 98
s los s han sido
os
s los s han sido
os
aluación dmisión,
SO/IEC
ayores y ontroles
Ok. men
TDom
4.- S5.- GResp6.- ADel S7.- RDirec8.- M
De domademopor
NuevCMMresp A colos aapre(100normpoco
Las no conores L2 y
Tabla 24. Pminio
GSI Gestión de la ponsabilidad
Auditoría InterSGSI
Revisión por lacción del SGS
Mejora del SG
acuerdo aminios de l
más, solortunidades
4.3.2 (fácilmeesquem 4.3.2 (i)documeversionepodría software
ve de los cM de L4 (9pecto a las
ontinuaciónaspectos qeciar el niv0%); de coma es claroos aspecto
nformidadeL3, y los c
Porcentaje d
rna
a SI SI
a lo obtena norma
o se encde mejora
e) Aseguente identma de etiqu
) Prevenir entos estáes obsoletinducir a e de gestió
componen95%) ya qpolíticas d
n se muesue conform
vel en cadompararse o el gran aos impleme
es mayorecontroles O
de efectivida
nido en la ISO/IEC 2cuentran a) del domi
urar que ificables. etado. El r
el uso noán dentro tas compa
confusiónón docume
ntes de la nque no le de segurida
stra el diagman la norda uno de
con el esavance al rentados y g
es son los Ok los nivel
ad obtenida% de
Efectividad99%
99%
100%
98% 99%
evaluació27001 el p
dos No inio del SG
los docSe encon
resto del Á
o intencionde carp
arten carpen. Está pental que s
norma ISOhan realiz
ad definida
grama de rma ISO/IE
los aspecstado iniciarespecto, ygestionado
niveles L0es L4 y L5
a en cada do
d# NC
Mayores0
0
0
0 0
ón de madpromedio d
ConformiGSI, que so
cumentos ntró que eÁrea lo des
nado de detas del etas con laroyectada olucionará
O 27001 fuezado revisas por la de
radar, donEC 27001 yctos de laal de impl
ya que en eos.
0 y L1, las 5.
ominio de la
s # NC
Menore2
0
0
0 0
durez en de efectividades (Non:
permaneel área deconocen.
ocumentoservidor
as versionla implem
á este tema
eron evaluiones del ependenci
nde se apry su nivel d norma celementacióel inicio se
Página
no conform
a ISO/IEC 2C es Contro
54
20
6
1513
cada unoidad es d
NC) meno
ecen legie archivo l
os obsoletde fichero
nes vigentementacióna.
uados con cumplimiea.
recia cadade madurezercanos alón de estae contaba c
a 82 de 98
midades
27001
ol OK4
0
5 3
o de los el 99%; ores (u
ibles y lleva un
tos. Los os. Las es. Esto de un
un nivel ento con
uno de z. Es de l optimo a misma con muy
F
El saspeconf
Figu
0
10
20
30
40
50
60
igura 20. G
siguiente gectos de laformidades
ura 21. Gr
4.- SGS
Grafico de
grafico resa norma Is menores
rafico de ba
5.- Gestión dResponsabi
6.- AuditoDel
SI 5.- GeRespo
e radar del
salta los nISO/IEC 2en el com
arras nivel
de la lidad
oría Interna SGSI
estión de la onsabilidad
nivel de m
niveles de27001. Se ponente S
es de cum
0%20%40%60%80%
100%4.- SGS
6.- AuditoríaInterna
Del SGSI
madures de
e cumplimaprecia la
SGSI.
mplimiento
I
7.- ReDirecc
a 7.- RevisióDirecció
SG
e la norma
iento en a existenc
de la norm
evisión por lación del SGS
8.- Mejora de
ón por la ón del SI
8.-
Página
ISO/IEC 2
cada uno cia de las
ma ISO/IEC
a SI
el SGSI
- Mejora del SGSI
a 83 de 98
27001
de los dos No
C 27001
Control O# NC Me# NC Ma
OKenoresayores
2. E2
Se tque impledocuriesgotrosque valodel contsu e
5.- Pol
5.1.-Po5.1.1.-Inform5.1.2.-Inform
6.- Org
6.1.-O6.1.1.-Inform
6.1.2-C6.1.3-Ade la In6.1.4-Ptratam
6.1.5.-
6.1.6.-
6.1.7.-6.1.8.-Inform
6.2.-En6.2.1.-extern6.2.2.-cliente6.2.3.-tercera
7.- Ges
7.1.-Re
7.1.1.-
7.1.2-P
Evaluació27002
tomaron coevidencia
ementacióumento dego, políticas. Cada real respectoración de modelo Ctroles de lavaluación
lítica de segurid
olítica de seguriDocumento de ación Revisión de la Pación
ganización de la
rganización inteCompromiso deación
Coordinación deAsignación de renformación Proceso de autoiento de la infor
Acuerdos de co
Contactos con
Contactos con Revisión Indepación
ntidades externIdentificacion das Tratamiento de
es Tratamiento de
as personas
stión de Activos
esponsabilidad
Inventario de ac
Propiedad de ac
ón de mad
omo entraan el funcón de tecne aceptacióa de segurequerimieno había reacuerdo aMM. A co
a norma ISde madure
Tabla 2Controles
dad
idad de la informPolítica de Seg
Política de Segu
a seguridad de l
erna e la gerencia co
e la Seguridad desponsabilidade
orización de recrmación
onfidencialidad
autoridades
grupos de interépendiente de la
as e riesgos relaci
la seguridad cu
la seguridad en
s
de los activos
ctivos
ctivos
durez resp
ada los regcionamientologías, Loón del riesridad de lanto de la ncopilado la
al nivel de ontinuaciónSO/IEC 270ez.
5. Valorac
mación guridad de la
uridad de la
la información
on la Seguridad
de la Informacióes sobre Seguri
cursos para el
és Seguridad de la
onados con ent
uando se trabaj
n contratos con
pecto a lo
gistros, doto del SGogs, Revissgo residu informació
norma neca dependecumplimien se lista 002 junto c
ción de la Nvalor
10
10
10
10
9
8de la 9
ón 10idad 10
1
10
9
9
a 10
9tidades 9
a con 9
9
8
9
9
9
s controle
ocumentosGSI como siones antual por Dirón, declara
cesito confncia, es as
ento evidenlos domin
con la valo
Norma ISOración
00%
00%
00% los pr
00% los pr0%
6%
5% Existepor la
00% los pr
00% los pr
0% No exsu im
00% los pr
0% No seestad
0% se mapero
00% los pr5%
5% se sigestad
5% se sigestad
5% No se3%
3%
5% se sigestadperiód
5% se sigestad
es definid
, procedimson: Insp
eriores, Anrección, Plación de afrontarse csí que al finnciado y sinios, objetoración qu
O/IEC 2700obse
rocesos están b
rocesos están b
en evidencias da gerencia.
rocesos están b
rocesos están bxiste el procedim
mportancia
rocesos están be sigue con indidísticos su evoluantienen contacno se registra la
rocesos están b
guen con indicadísticos guen con indicadísticos
e han realizado
guen con indicadísticos, no se hdicas de inclusiguen con indicadísticos
Página
dos en la I
mientos y ppección vinálisis de lan de gesaplicabilidacon las evinal se obtiiguiendo lativos de ce obtuvo lu
02 ervaciones
bajo constante m
bajo constante m
de los procesos
bajo constante m
bajo constante mmiento, pero se
bajo constante mcadores numér
ución ctos con gruposa incidencia de
bajo constante m
adores numérico
adores numérico
revisiones a los
adores numéricoha hecho revisioón de nuevos a
adores numérico
a 84 de 98
ISO/IEC
políticas sual de riesgos, stión de
ad, entre idencias ene una a escala control y uego de
mejora
mejora
liderados
mejora
mejora conoce de
mejora icos y
s de interés, sus aportes
mejora
os y
os y
s contratos
os y ones activos os y
7.1.3.-
7.2.-Cl
7.2.1.-
7.2.2.-
8.- Seg
8.1.-Pr
8.1.1.-
8.1.2.-
8.1.3.-
8.2.-Du
8.2.1.-8.2.2.-inform
8.2.3.-
8.3.-A
8.3.1.-
8.3.2.-
8.3.3.-
9.- Seg
9.1.-Ár
9.1.1.-
9.1.2.-
9.1.3.-
9.1.4.-
9.1.5.-
9.1.6.-
9.2.-Se
9.2.1.-
9.2.2.-
9.2.3.-
9.2.4.-9.2.5.-Organ9.2.6.-equipo
9.2.7.-
10.- G
10.1.-P
10.1.1
10.1.2
Uso aceptable
lasificación de l
Lineamientos d
Marcado y trata
guridad de los r
revio a la contra
Roles y respons
Selección
Términos y con
urante la contra
Gestión de respEducación y caación
Procesos discip
la finalización d
Responsabilida
Devolución de a
Retirada de los
guridad Física y
reas seguras
Perímetro de se
Controles físico
Seguridad de o
Protección ante
El trabajo en las
Areas de Acces
eguridad de los
Localización y p
Servicios públic
Seguridad del c
Mantenimiento Seguridad de eización Seguridad en la
os
Salida de propi
estión de las co
Procedimientos
.-Documentació
.-Gestión de ca
de activos de in
a información
de clasificación
amiento de la in
recursos human
atación
sabilidad
ndiciones de la r
atación
ponsabilidades apacitación en s
plinarios
de la contratació
ades en la finaliz
activos
derechos de ac
y Ambiental
eguridad física
os de accesos
oficinas, despac
e amenazas ext
s áreas de segu
so público, entre
equipos
protección del E
cos
cableado
de equipos equipos fuera de
a reutilización o
edades
omunicaciones y
operacionales
ón de procedimi
mbios
nformación
formación
nos
relación laboral
seguridad de la
ón
zación
cceso
hos y recursos
ternas y de ento
uridad
ega y carga
Equipamiento
e los locales de
eliminación de
y operaciones
y responsabilida
ientos operativo
9
7
9
5
9
9
9
10
9
9
10
10
9
9
9
9
9
9
9
9
9
9
orno 9
10
9
9
9
9
9
10la 9
10
10
9
ad 7
os 1
9
0% no seestad
3%
5% No se
0% el áreetique
6%
7%
5% No se00% los pr5% No se8%
00%
00%
5% No se2%
0% no se0% no se5% No se3%
2%
0% No seimple
0% No seimple
0% No seimple
0% No seimple
00%
0% No seimple
4%
0% No seimple
0% No seimple
0% No seimple
00%
0% No seimple
00%
00%
1%
0%
0% No exsu im
0% No seimple
e sigue con indicdísticos
e ha realizado reea de archivo lleetado
e ha realizado re
rocesos están b
e ha realizado re
e ha realizado re
e siguen con ind
e siguen con ind
e ha realizado re
e ha hecho seguementaciones e ha hecho seguementaciones e ha hecho seguementaciones e ha hecho seguementaciones
e ha hecho seguementaciones
e ha hecho seguementaciones e ha hecho seguementaciones e ha hecho seguementaciones
e ha hecho seguementaciones
xiste el procedimmportancia e ha hecho seguementaciones
Página
cadores numéri
evisiones eva un esquema
evisiones
bajo constante m
evisiones
evisiones
dicadores
dicadores
evisiones
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
uimiento luego d
miento pero se c
uimiento luego d
a 85 de 98
cos y
a de
mejora
de las
de las
de las
de las
de las
de las
de las
de las
de las
conoce de
de las
10.1.310.1.4operac10.2.-Gpartes
10.2.110.2.2partes
10.2.3
10.3..-
10.3.1
10.3.2
10.4.-P
10.4.1
10.4.2
10.5.-C
10.5.1
10.6.-G
10.6.1
10.6.2
10.7.-S
10.7.1
10.7.2
10.7.3
10.7.4
10.8.-I10.8.1softwa
10.8.2
10.8.3
10.8.4
10.8.5
10.9.-S
10.9.1
10.9.2
10.9.3
10.10.
10.10.
10.10.2
10.10.
.-Segregación d
.-Separación deción Gestión en el su)
.-Prestación de
.-Monitorización
.-Gestión de ca
Planificación y a
.-Planificación d
.-Aceptación de
Protección contr
.-Control contra
.-Control contra
Copias de segu
.-Copia de la inf
Gestión de segu
.-Controles de r
.-Seguridad en
Seguridad y ges
.-Gestión de so
.-Eliminación de
.-Procedimiento
.-Seguridad de
ntercambio de i.- Procedimiento
are
.-Acuerdos para
.-Seguridad de
.-Seguridad de
.-Sistemas de in
Servicios de com
.- Comercio ele
.-Transacciones
.-Informacion di
-Monitorización
1.-Auditoría de
2.-Revisión de u
3.-Protección d
de Tareas e entornos de d
uministro de ser
servicios n y revisión de s
mbios
aceptación de s
de capacidades
e Sistemas
ra software mal
a código malicio
a código móvil
ridad
formación
uridad de red
redes
servicios de red
stión de los sop
portes removibl
e soportes
os de utilización
la documentaci
información os y Políticas d
a intercambio
soportes en trá
la mensajería e
nformación de n
mercio electróni
ctrónico
s en línea
isponible públic
logs
uso de sistemas
e logs
esarrollo, prueb
rvicios (terceras
servicios de terc
sistemas
s
icioso
oso
d
ortes
les
n de la informaci
ión de sistemas
e información y
nsito
electrónica
negocio
ico
camente
s
9
bas y 9
s 8
9
ceras 9
5
10
10
10
10
10
10
9
9
9
10
9
9
9
9
ión 10
s 9
8y 9
9
9
5
9
-1
-1
-1
-1
9
10
9
9
0% No seestad
0% No seimple
8%
0% se hanivelemedic
0% el progestio
0% Existetenien
00%
00%
00%
00%
00% se reamejor
00% se reamejor
5%
5% No secon la
8%
00%
5% No secon la
6%
5% No secon la
5% No secon la
00% se reainterv
5% Se rehecho
4%
5% Se rehecho
5% No seacuer
5% No ex
0% No separa
0% No secomu
1%
1% no ap1% no ap1% no ap0%
00%
5% No se5% No se
e sigue con indidísticos e ha hecho seguementaciones
an definido las ces de entrega pciones oceso esta impleona e con muchas dndo en cuenta a
alizan capacitacra su procedimializan capacitacra su procedimi
e ha hecho una a política
e ha hecho una a política
e ha hecho una a política e ha hecho una a política alizan capacitac
valos el nivel deealizan capacitao una revisión d
ealizan capacitao una revisión de ha hecho una rdos
xiste un análisise han realizado su manejo adece ha realizado uunicación con lo
plica
plica
plica
e revisan regula
e ha llevado un
Página
cadores numér
uimiento luego d
condiciones de sero no se llevan
ementado pero
deficiencias. Se algunos proceso
ciones y está enento ciones y está enento
revisión de que
revisión de que
revisión de que
revisión de que
ciones y se verie cumplimiento ciones pero no
de su cumplimie
ciones pero no de su cumplimie
revisión de esto
s de los procesocapacitaciones
cuado un seguimiento aos bancos
armente
análisis de su e
a 86 de 98
icos o
de las
servicio y n
no se
hace os críticos
n constante
n constante
e se cumple
e se cumple
e se cumple
e se cumple
fica a
se ha ento
se ha ento os
os llevados s al respecto
a la
eficacia
10.10.4
10.10.
10.10.
11.- Co
11.1.-R
11.1.1
11.2.-G
11.2.1
11.2.2
11.2.311.2.4usuario
11.3.-R
11.3.1
11.3.2
11.3.3
11.4.-C
11.4.1
11.4.2
11.4.311.4.4configu
11.4.5
11.4.6
11.4.7
11.5.-C
11.5.1
11.5.2
11.5.3
11.5.4
11.5.5
11.5.6
11.6.-C
11.6.1
11.6.2
11.7.-P
11.7.1
11.7.212.-Adsistem
12.1.-R
4.-Logs de adm
5.-Logs de fallo
6.-Sincronizació
ontrol de acces
Requerimientos
.-Política de con
Gestión de acce
.-Inscripcion de
.-Gestión de pri
.-Gestión de co
.-Revisión de loos
Responsabilidad
.-Uso de contra
.-Equipamiento
.-Política de pan
Control de acce
.-Política de uso
.-Autenticación
.-Identificación
.-Protección a puración
.-Segregación e
.-Control de con
.-Control de enr
Control de acce
.-Procedimiento
.-Identificación y
.-Sistema de ge
.-Utilización de
.-Timeout de se
.-Limitación del
Control de acce
.-Restricción de
.-Aislamiento de
Portátiles y telet
.-Informática mó
.-Teletrabajo dquisición, desa
mas de informaci
Requisitos de se
ministradores y o
o del sistema
ón de relojes
o
comercial para
ntrol de accesos
eso de los usua
usuario
ivilegios
ntraseñas de usos derechos de
des de los usua
aseñas
informático de
ntallas y mesas
so de red
o de los servicio
para conexione
de equipos en lpuertos de diagn
en las redes
nexión a las red
rutamiento en la
so al sistema o
os de registros e
y autenticación
estión de contra
utilidades del s
esiones
tiempo de cone
so a informació
e acceso a la inf
e sistemas sens
trabajo
óvil y comunica
rrollo y manteniión
eguridad de los
operadores
a el control de a
s
rios
suario acceso de los
arios
usuario desate
s limpias
os de red
es externas
a red nóstico remoto
des
a red
perativo
en la terminal
de los usuarios
aseñas
istema
exión
ón y aplicacione
formación
sibles
aciones
imiento de los
sistemas
10
10
5
8
cceso 9
9
10
10
10
10
10
9
10
ndido 10
9
9
9
9
9
y 10
10
9
10
9
9
s 10
10
9
10
10
es 10
10
10
1
1
1
9
10
00%
00%
0% No to4%
0%
0% no se00%
00%
00%
00%
00%
8%
00%
00%
5% No se4%
0%
0% no seimple
0% no seimple
00%
00%
0% no seposte
00%
8%
5% No se00%
00%
0% No sede tod
00%
00%
00%
00%
00%
0%
0% No exsu im
0% No exsu im
9%
00%
odas las áreases
e ha realizado re
e ha realizado re
e han realizado ementación e han realizado ementación
e han realizado eriores a su imp
e ha definido un
e ha realizado udos los equipos
xiste el procedimmportancia xiste el procedim
mportancia
Página
stán sincronizad
evisiones
evisiones
pruebas poster
pruebas poster
pruebas de caplementación
n periodo de rev
un análisis de cus
miento pero se c
miento pero se c
a 87 de 98
das
iores a su
iores a su
pacidad
visión
umplimiento
conoce de
conoce de
12.1.1segurid
12.2.-P
12.2.1
12.2.2
12.2.3
12.2.4
12.3.-C
12.3.1
12.3.2
12.4.-S
12.4.1
12.4.212.4.3fuente
12.5.-S
12.5.112.5.2sistem12.5.3softwa
12.5.4
12.5.5
12.6.-G
12.6.113.- Ginform
13.1.-N
13.1.1
13.1.2
13.2.-G
13.2.1
13.2.2
13.2.3
14.- G
14.1.-G14.1.1la cont
14.1.214.1.3continu14.1.4negoci14.1.5planes
15.- Cu
..Análisis y espedad
Procesos correc
.-Validación de
.-Control del pro
.-Integridad de
.-Validación de
Controles cripto
.-Política de uso
.-Gestión de cla
Seguridad de lo
.-Control del so
.-Protección de
.-Control de acc
Seguridad en lo
.-Procedimiento
.-Revisión técnima operativo
.-Restricciones are
.-Fugas de infor
.-Desarrollo ext
Gestión de vuln
.-Control de vulestión de incideación
Notificación de i
.-Notificación de
.-Notificación de
Gestión de incid
.-Responsabilid
.-Aprendiendo d
.-Recolección d
estión de la con
Gestión de la co.-Inclusión de stinuidad del neg
.-Continuidad d
.-Redacción e imuidad incluida la.-Marco de planio .-Prueba, mante
s de continuidad
umplimiento
ecificación de lo
ctos en aplicacio
los datos de en
oceso interno
mensajes
los datos de sa
gráficos
o de los controle
aves
s archivos de s
ftware en explo
los datos de prceso a la librería
os procesos de
os de cambios oica de aplicacio
de cambios a lo
rmación
ternalizado
erabilidades téc
nerabilidades téentes en la segu
incidentes y am
e eventos de se
e debilidades
dentes y mejora
dad y procedimie
de los incidente
de evidencias
ntinuidad comer
ontinuidad de neeguridad en el p
gocio
el negocio y anmplantación de a seguridad de lnificación de la c
enimiento y reevd
os requerimiento
ones
ntrada
alida
es criptográfico
istema
otación
rueba del sistema de programas
desarrollo y sop
operacionales nes tras cambio
os paquetes de
cnicas
écnicas uridad de la
menazas
eguridad
entos
es
rcial
egocio proceso de ges
álisis de riesgosplanes de
la información continuidad del
valuación de los
os de 10
10
10
10
10
10
9
s 9
10
10
10
ma 10s 10
porte 9
10os del 10
10
9
-1
10
10
9
10
10
10
9
9
10
9
6
6tión de 9
s 10
1
9
s 1
9
00%
00%
00%
00%
00%
00%
8%
5% No secon la
00%
00%
00%
00%
00%
9%
00%
00%
00%
5% No secon la
1%
00%
00%
8%
00%
00%
00%
5%
5% No secon la
00%
0% No seproce
0%
0%
0% No seproce
00%
0% No secontin
0% Todorefere
0% No seimpor
7%
e ha hecho una a política
e ha hecho una a política
e ha hecho una a política
e llevan estadísedimientos realiz
e llevan estadísedimientos realiz
e han implemennuidad s los participantencia e ha realizado artancia
Página
revisión de que
revisión de que
revisión de que
ticas ni medidaszados
ticas ni medidaszados
ntado los planes
tes conocen de
aunque se cono
a 88 de 98
e se cumple
e se cumple
e se cumple
s de los
s de los
s de
l marco de
ce de su
15.1.-C
15.1.1
15.1.2
15.1.315.1.4intimid15.1.5inform
15.1.6
15.2.-C
15.2.1
15.2.215.3.-Cinform
15.3.115.3.2sistem
A code mReg.
Ta
Cumplimiento co
.-Identificación
.-Derechos de p
.-Salvaguarda d
.-Protección de dad de las perso.-Evitar el mal uación
.-Reglamentaci
Cumplimiento co
.-Cumplimiento
.-ComprobaciónConsideracionesación
.-Controles de A
.-Protección de mas de Informac
ontinuaciónmadures distro y Con
abla 26. Niv
on los requisitos
de la legislación
propiedad intele
de los registros datos de carác
onas uso de los recur
ón de los contro
on las políticas
con las política
n de la conforms de auditoria d
Auditoría de sislas herramienta
ión
n se resumde la normntrol Acadé
veles de m
Valor
L0
L1
L2
L3
L4
L5
L6
s legales
n aplicable
ectual
de la organizaccter personal y d
rsos de tratamie
oles de cifrado
y normativas
as y normativas
idad técnica de sistemas de
temas de informas de auditoría
men los dama ISO/IECémico.
madures co
Efectivid
0%
10%
50%
90%
95%
100%
N/A
9
10
10
ción 9
de la 9
ento de 10
9
9
9
10
9
mación 9
de 9
atos obteniC 27002 g
on el nume27002
dad Si
Inexiste
Inicial / A
Reproduintuitivo
Proceso
Gestiona
% Optimiza
No aplic
8%
00%
00%
5% No secon la
5% No secon la
00%
5% No secon la
8%
5% No secon la
00%
5%
5% No secon la
5% No secon la
dos luego gestionada
ero de cont gnificado
nte
Ad-hoc
ucible, pero
o definido
ado y medible
ado
ca
e ha hecho una a política e ha hecho una a política
e ha hecho una a política
e ha hecho una a política
e ha hecho una a política e ha hecho una a política
de finalizaa por el Á
troles de la
Número
Página
revisión de que
revisión de que
revisión de que
revisión de que
revisión de que
revisión de que
arse la evaÁrea de Ad
a norma IS
0
6
4
29
32
59
4
a 89 de 98
e se cumple
e se cumple
e se cumple
e se cumple
e se cumple
e se cumple
aluación dmisión,
SO/IEC
El sien lalos cen einiciaBuenresp
De domademEntrsitúa
En laen e
guiente gra escala decontroles, eel inicial. Sial), No cono (Gesti
pectivamen
acuerdo aminios de l
más, se ee las No C
an en ese n6.1.4-Prinformac10.1.1.-11.7.1.-11.7.2.-14.1.3.-segurida14.1.5.-En cadadel proc
as No conese nivel, s
Inexiste
Proceso
No apli
rafico muese madurezen cambioi se agrupanformidadeionado y
nte.
Figura 22
a lo obtena norma
encuentranConformidnivel, estánroceso deción. DocumentInformáticaTeletrabajoRedacciónad de la inPrueba, ma uno de ecedimiento
nformidadese debe de
ente
o definido
ca
stra las proz CMM. El o no hay coa los nivelees Menore
Optimiza
2. Madurez
nido en la ISO/IEC 2
n seis No ades Mayn: e autoriza
tación de pa móvil y co n e implaformación
mantenimiestos contro, pero se c
es Menoresestacar: la
44%
Madure
Inic
Ge
oporcionesnivel optimontroles enes en: No es (Reprodado) se
z de los co
evaluació27002 el p
Conformidyores, que
ción de r
procedimiecomunicac
ntación de
nto y reevaoles No exconoce de
s, que es e falta de e
0% 43%
ez de los
cial / Ad‐hoc
stionado y me
s en que esmizado de n el nivel iconformidaducible y obtendrían
ontroles IS
ón de madpromedio ddades (NCsería el 4
recursos
entos operaiones
e planes
aluación dxiste evidensu importa
el 25% deevidencias
% 3%
22%
24%
s contro
edible
stán cada madurez anexistenteades MayoProceso dn un: 4%
O/IEC 270
durez en de efectivC) Mayore4% de los
para el t
ativos
de contin
e los planencia de la ancia
los controde llevars
oles
Reproducibl
Optimizado
Página
uno de losalcanza el
e y tan soloores (Inexidefinido) y %, 25%
002
cada unoidad es d
es y 33 Mcontroles
ratamiento
nuidad inc
es de contipuesta en
oles que sse medicio
le, pero intuit
a 90 de 98
s niveles 44% de
o un 4% stente e Control y 68%
o de los el 90%;
Menores. que se
o de la
cluida la
inuidad marcha
e sitúan nes que
tivo
verifAdm Se pconfaplicefec
TDom
5.- P6.- O7.- G8.- S9.- S10.- Goper11.- C12.-Amant
13.- G
14.- G15.- C
A colos aaprecomel grimple
fiquen el cmisión, Reg
puede distformidadescan. El domctividad es
Tabla 27. Pminio
olítica de segOrganización dGestión de Ac
eguridad de eguridad FísGestión de laraciones Control de acAdquisición, dtenimiento de
Gestión de in
Gestión de laCumplimiento
ontinuaciónaspectos qeciar el nivpararse co
ran avanceementados
cumplimiengistro y Con
tinguir en s Mayoresminio con Gestión de
Porcentaje d
guridad de la SI
ctivos los recursos ica y Ambien
as comunicac
cceso desarrollo y e SI
ncidentes en
a continuidado
Tota
n se muesue conform
vel en variaon el estade al respecs y gestion
nto con rentrol Acadé
la siguiens y menore
mayor efee la continu
de efectivida
humanos ntal ciones y
la SI
d comercial
Totalal controles
stra el diagman la noras de las
do inicial decto, ya quenados.
especto a émico.
nte tabla ees, ademáectividad euidad com
ad obtenida% de
Efectivida100%90% 83% 96% 93%
91% 84%
99%
98% 60% 97%
grama de rma ISO/IEdimensione impleme en el inici
la política
el dominioás de los es Política ercial.
a en cada do
ad # NC
Mayor01000
12
0
020
radar, donEC 27002 ynes de la nntación deo se conta
a de segur
o al que pcontroles de seguri
ominio de laC res
# NCMeno
02229
96
0
120
6134
nde se apry su nivel dnorma cere esta mismaba con mu
Página
ridad del Á
pertenecenOk y los dad, el de
a ISO/IEC 2C
ores Cont
OK2 8 3 7 4
1917
16
4 1 10
33
recia cadade madurezrcanos al 9ma norma uy pocos a
a 91 de 98
Área de
las No que no
e menos
27002 rol
K N/A0 0 0 0 0
3 0
1
0 0
0 91 4
uno de z. Es de 90%; de es claro
aspectos
4
Fi El saspeconfcom
Figu
i
igura 23. G
siguiente gectos de formidadesunicacione
ura 24. Gr
12Adquisición
llo y
13.‐ Gestiónincidentes en
14.‐ Gestióncontinuidcomerc
15.‐
02468
101214161820
Grafico de
grafico resla norma
s Mayores es y operac
rafico de ba
11.‐ Contacce
.‐n, desarroy …
de la SI
n de la dad ial
Cumplimiento
Radar del
salta los nISO/IEC
en las dimciones, Co
arras nivel
0%
20%
40%
60%
80%
100%
5.‐ Polítsegur
trol de eso
o
nivel de m
niveles de27002. S
mensiones:ontrol de ac
es de cum
tica de idad
6.‐
10.‐ Gescomuni
oper
madurez de
e cumplimSe aprecia Organizacceso y Ge
mplimiento
‐ Organizaciónla SI
7.‐ GestActiv
8.‐ Segrecur
9.‐ Seguriday Ambie
stión de las caciones y aciones
e la norma
iento en a la existción de la estión de la
de la norm
n de
ión de vos
guridad de lossos humanos
ad Fisica ental
Página
ISO/IEC 2
cada unotencia de SI, Gestióa Continuid
ma ISO/IEC
s Dim
Opt
NC M
NC M
Cont
a 92 de 98
27002
de los las No
ón de las dad.
C 27002
mesiones
timo
Mayores
Menores
troles Ok
.
1. DAuditNormPerio
Luga
Equip
2. A AudiSegu
2Ning
3. O
4. DNO Cen rieOBSlos dreferOPO2700
. Formato
DATOS DE Ltoria No.
ma de Refereodo de Audi
ar de la Aud
po Auditor
ALCANCE D
itoria del uridad de l
2.1. Excluguna
OBJETIVOS
DeterminAcadémISO/IEC
DEFINICIONCONFORMesgo la efec
SERVACIONdocumentosrencia que n
ORTUNIDAD01
de inform
F
LA AUDITOR00
encia IStoria Fi
itoria ÁrUn
E LA AUDIT
PDCA dela Informac
usiones rep
S DE LA AUD
nar el gradoico de la U 27001
NES MIDAD: Incu
ctividad delN: Es una fs del SGSIno llega a aD DE MEJO
me de Aud
Formato d
RIA INTERNA0010 SO/IEC 270nalización rea de Admniversidad d
TORIA INTER
referencición del Ár
portadas
DITORIA INT
o en el cuaUniversidad
umplimiento SGSI falla aisladaI, o cualqufectar de m
ORA: Acció
ditoría Inte
de informe
A
001 de la implisión, Regisde Vancur
RNA
a ISO/IECrea de Adm
TERNA
l el SGSI dede Vancur
o de un req
a o esporádier incumpl
manera criticón recomend
erna
e de Audit
ementacióstro y Contr
C 27001 dmisión, Reg
el Área de cumple co
uisito de la
dica en el climiento enca al SGSI.dada de un
toría Inter
ón de los prol Académi
del Sistemgistro y Co
Admisión, Ron los requi
norma ISO
contenido o un requis
n requisito d
Página
no
royectos ico de la
ma de Gesontrol Acad
Registro y Csitos de la
O/IEC 2700
o incumplimito de la n
de la norma
a 93 de 98
Versión 1
Pág.1 de 2
stión de démico
Control norma
1 y pone
miento de orma de
ISO/IEC
5. F
El ginicianormLa direccon
6. R
6SC
6Lla
Obs
Opo
FORTALEZA
ran avancal de imple
ma. participac
cción de lala Segurid
RESULTADO
6.1. No conSe hallaronConformidad
Proceso
6.2. ObservLas Observaa auditoría i
ervaciones4.3.2 (fácilmeesquem 4.3.2 (i)documeversionepodría software
rtunidadesNueve dun nive
AS Y DEBIL
FORTALEZA
ce con resementación
ción esma dependead de la in
OS DE LA A
nformidaden 0 No Codes se resu
vaciones Yaciones (OBinterna se d
s: e) Asegu
ente identma de etiqu
) Prevenir entos estáes obsoletinducir a e de gestió
s de Mejorade los com
el CMM de
LIDADES AS
pecto al en de esta m
merada dncia por c
nformación
AUDITORIA
es onformidadeumen en el s
Descripció
Y OportunidBS) y Opordetallan a co
urar que ificables. etado. El r
el uso noán dentro tas compa
confusiónón docume
a: mponentese L4 (95%
estado misma
de la umplir
n
AlgISaucues
INTERNA
es (NC) dusiguiente cu
ón
dades De Mtunidades dontinuación
los docSe encon
resto del Á
o intencionde carp
arten carpen. Está pental que s
s de la nor%) ya que
gunos ítemO/IEC 270
un por suumplimientostablecidas
urante la auadro.
Responsa
Mejora de Mejora (n:
cumentos ntró que eÁrea lo des
nado de detas del etas con laroyectada olucionará
rma ISO 2e no le ha
DEBILIDA
ms del PD001 no ha
u responsao cons.
auditoría in
able
OM) identif
permaneel área deconocen.
ocumentoservidor
as versionla implem
á este tema
27001 fueran realiza
Página
ADES
DCA de laan sido reable su n
las p
terna. Las
Audit
ficadas dura
ecen legie archivo l
os obsoletde fichero
nes vigentementacióna.
ron evaluado revisio
a 94 de 98
a norma evisados nivel de políticas
No
or
ante
ibles y lleva un
tos. Los os. Las es. Esto de un
dos con ones del
7. C
El nide cclaroaspe
No s
Se rlegibdocu
En cumdepe
cumplimdepende5.2.2 (bel emplSe ha dque aúnLos sigdefinida4.2.2 (e4.2.3 (acontrol7.1 La planificeficacia7.2 (g) direcció7.3 (e) medida8.2 (f) R8.3 (e) R
CONCLUSIO
ivel en cadcompararseo el gran aectos imple
se encontra
realizaron dbles y fácumentos o
las Oportplimiento endencia
miento conencia, com
b) Proporcleo de perdefinido unn no ha cubuientes íte
as: ) Impleme
a). Ejecutaes.
direcciócados para
Las accón Mejoras d
a Revisar lasRevisar la
ONES DE LA
da uno de e con el eavance al ementados
aron No co
dos observcilmente idbsoletos.
tunidades con resp
n respectomo son: cionar formrsonal com proyecto bierto todaems no ha
entar progar procedim
ón revisarra asegu
ciones de
de cómo
s accioness accione
A AUDITORI
los aspectstado inicirespecto,
s y gestion
onformidad
vaciones: Pdentificable
de mejorpecto a l
o a las po
mación o mpetente)para el pro
as las temáan sido re
gramas de mientos d
rá SGSI rar su c
e seguimi
la efectiv
s correctives prevent
IA INTERNA
tos de la nial de implya que enados.
des
Para aseges, y de
ra: Aun nlas polític
olíticas de
tomar otr) para satiograma deáticas plantevisados s
formacióde monito
de la ocontinua
ento de
vidad de
vas tomadtivas toma
A
norma son lementación el inicio
urar que loprevenir e
no se hacas de se
seguridad
ras accionisfacer ese formaciónteadas
si cumplen
n y concierización y
organizaciidoneidad
revisione
los contro
das adas
cercanos ón de estase contab
os documeel uso no
n realizadeguridad
Página
d definidas
nes (por etas necesn y concien
con las p
enciacióny revisión
ón a intd, adecua
es previas
oles está
al optimo a misma noba con mu
entos permo intencion
do revisiodefinidas
a 95 de 98
s por la
ejemplo, sidades. nciación
políticas
. y otros
tervalos ación y
s de la
siendo
(100%); orma es y pocos
manecen nado de
nes del por la
La Gplanmisióreducons
Gestión detean desdón de la e
ucirán el riestante mejo
e la seguridde el análiempresa., esgo a unora.
CO
dad de la isis de rieque perm
nivel esp
ONCLUSIO
informacióesgos y admite luego erado. Es
ONES
ón es un sdemás se desarrollaun sistem
sistema deencuentra
ar planes dma que deb
Página
e procesosa alineadode seguridbe perman
a 96 de 98
s que se o con la dad que necer en
CON
20enaT
DONPYenM
ENJlíntra
INTEht
KOSpehtde
MANhtO
MénB
MORrie27
NiñoE
OBR[Ecam
NSUEGRA013. n:http://opeTFM0613P
NDERS, EYMES n:http://es.
Metodologia
UTO, Josénea]. 200atamiento-
ECO-CERTttp://es.scr
SUTIC, Deequeñas. ttp://blog.ise-riesgos-p
NUAL DE ttp://contra
O%2013%2
ndez, C. (2ogotá: McG
RAN, Eric. esgo. [E7001.com/
o, V. M. (2diciones d
RA SOCIALEn atamarca.g
mid=93
A, José. P
enaccess.uPresentacio
Eric. Un Me-SGS
scribd.coma-de%C2%
é. Planes 06. Dispo-de-riesgos
T. Plan deribd.com/do
ejan. Con[En
so27001stapara-empr
SEGURIDatos.ecopet20MANUAL
001). MetoGRAW-HIL
Niveles dEn línea/2012/10/n
2011). Metoe la U.
L de los emlínea].
gov.ar/web
R
lan directo
uoc.edu/weon.pdf
Modelo EleSI. [m/doc/4652%A0un-SGS
de tratamnible en:hs.html
e tratamieoc/338920
sejos sobn línandard.comesas-pequ
DAD de inftrol.com.coL%20DE%
odología: DLL
e aceptaci]. 2012.iveles-de-r
odologia d
mpleados p2014
b/index.php
REFERENC
or de seg
ebapps/o2
ectrónico y[En 28565/Un-SI-para-PY
miento de rhttp://secu
nto del rie096/47/PLA
bre la evanea]. m/es/2010uenas/
formación.o/Anexos%
%20SEGUR
Diseño y de
ión de ries Disponriesgo-ace
de la inves
públicos de. Dp?option=c
CIAS
uridad de
2/bitstream
y una Metlínea].
Modelo-ElYMES-e-S
riesgos. Engest.blogs
esgo. [En AN-DE-TRA
aluación d2010.
/04/02/con
[En línea%20de%20RIDAD%20
esarrollo d
sgos versunible en:eptable-ver
stigacion: D
e CatamarDisponible com_conte
la inform
/10609/22
odología d2010.
ectronico-yGSI
n: Seguridspot.com/2
línea]. 20ATAMIENT
de riesgosDisp
nsejos-sob
a]. V1, 2010Procesos/0DE%20IN
del proceso
s criterios :http://wwwrsus.html
Diseño y e
rca. Controen
ent&view=a
Página
mación. [EnDis
961/16/jco
de un SGDis
y-una-
dad y gest006/11/pla
010.DisponTO-DEL-R
s para emponible re-la-evalu
13. Dispon/50033457
NFORMAC
o de invest
de aceptaw.ericmora
ejecucion.
oles criptogn:http://wwarticle&id=
a 97 de 98
n línea]. sponible
onsuegr
GSI para sponible
tión. [En anes-de-
nible en: RIESGO
mpresas en:
uacion-
nible en: 7/ANEXCION.pdf
tigación.
ación del na-sgsi-
Bogota:
gráficos. ww.osep-
102&Ite
PERcoht
ROL20ht1110
UNIVinht
REZ, M. Tomputaciottp://www.w
LES Y RES010. ttp://www.e1_Roles_y0-v-1%5B1
VERSIDADnformaciónttp://www.u
. Solucionnales de pweb.facpya
SPONSAB
ecopetrol.cy_Respons1%5D.pdf
D TECNOL. [Eutn.edu.ar/
es adminipersonal ina.uanl.mx/
BILIDADES
com.co/docsabilidades
LOGICA NEn l/download.
strativas ynterno- insrev_in/Rev
S de SegurDispo
cumentos/6s_de_Segu
Nacional Rínea]. .aspx?idFi
y técnicas iders. [En vistas/4.2/A
ridad de lanible 64203_An
uridad_de_
ectorado. 2009.
le=14736
para protlínea]. 200
A7.pdf
a Informaci
exo_15._E_la_Informa
Políticas dDis
Página
teger los r07. Dispon
ón. [En lín
ECP-DTI-Gaci%C3%B
de seguridaponible
a 98 de 98
recursos nible en:
nea]. V1, en:
G-B3n_20
ad de la en:
