Políticas de Seguridad

Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
1.- Polticas de Seguridad
Objetivo de Control Polticas de Seguridad de la Informacin
# 1.1.1 1.1.2
Actividad de Control Documento de poltica de seguridad de la informacin Revisin y evaluacin
1.1
2. Aspectos Organizativos para la Seguridad
Objetivo de Control
# 2.1.1 2.1.2 2.1.3
Actividad de Control Comit de gestin de seguridad de la informacin Coordinacin de la seguridad de la informacin Asignacin de responsabilidades sobre seguridad de la informacin Proceso de autorizacin de recursos para el tratamiento de la informacin Asesoramiento de especialistas en seguridad de la informacin Cooperacin entre organizaciones Revisin independiente de la seguridad de la informacin Identificacin de riesgos por el acceso de terceros Requisitos de seguridad en contratos con terceros Requisitos de seguridad en contratos de outsourcing
2.1
Estructura para la seguridad de la informacin
2.1.4 2.1.5 2.1.6 2.1.7
2.2 2.3
Seguridad en los accesos de terceras partes Outsourcing
2.2.1 2.2.2 2.3.1
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
3. Clasificacin y Control de Activos
# 3.1
Objetivo de Control Responsabilidad sobre los activos Clasificacin de la informacin
# 3.1.1 3.2.1 3.2.2
Actividad de Control Inventario de activos Guas de Clasificacin Marcado y tratamiento de la informacin
3.2
4. Seguridad Ligado al Personal
Objetivo de Control
# 4.1.1
Actividad de Control Inclusin de la seguridad en las responsabilidades laborales Seleccin y poltica de personal Acuerdos de confidencialidad Trminos y condiciones de la relacin laboral Formacin y capacitacin en seguridad de la informacin Comunicacin de las incidencias de seguridad Comunicacin de las debilidades de seguridad Comunicacin de los fallos del software. Aprendiendo de las incidencias Procedimiento disciplinario
4.1
Seguridad en la definicin del trabajo y los recursos
4.1.2 4.1.3 4.1.4
4.2
Formacin de usuarios
4.2.1 4.3.1
4.3
Respuesta ante incidencias y malos funcionamientos de la seguridad
4.3.2 4.3.3 4.3.4 4.3.5
5. Seguridad Fsica y Del Entorno
Objetivo de Control
# 5.1.1 5.1.2
Actividad de Control Permetro de seguridad fsica Controles fsicos de entradas Seguridad de oficinas, despachos y recursos El trabajo en las reas seguras reas aisladas de carga y descarga Instalacin y proteccin de equipos Suministro elctrico Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la organizacin Seguridad en el reuso o eliminacin de equipos Poltica de puesto de trabajo despejado y bloqueo de pantalla Extraccin de pertenencias
5.1
reas seguras
5.1.3 5.1.4 5.1.5 5.2.1 5.2.2 5.2.3
5.2
Seguridad de los equipos
5.2.4 5.2.5 5.2.6 5.3.1 5.3.2
5.3
Controles Generales
6. Gestin de Comunicaciones y Operaciones
Objetivo de Control
# 6.1.1 6.1.2
Actividad de Control Documentacin de procedimientos operativos Control de cambios operacionales Procedimientos de gestin de incidencias Segregacin de tareas Separacin de los recursos para desarrollo y para produccin Gestin de servicios externos Planificacin de la capacidad Aceptacin del sistema Medidas y controles contra software malicioso Recuperacin de la informacin Diarios de operacin Registro de fallos Controles de red Gestin de medios removibles Eliminacin de medios Procedimientos de manipulacin de la informacin Seguridad de la documentacin de sistemas Acuerdos para intercambio de informacin y software Seguridad de medios en trnsito
6.1
Procedimientos y responsabilidades de operacin
6.1.3 6.1.4 6.1.5 6.1.6
6.2
Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin interna de respaldo y recuperacin Gestin de redes
6.2.1 6.2.2 6.3.1 6.4.1
6.3
6.4
6.4.2 6.4.3
6.5
6.5.1 6.6.1
6.6
Utilizacin y seguridad de los medios de informacin
6.6.2 6.6.3 6.6.4
6.7
Intercambio de informacin y software
6.7.1 6.7.2
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 6.7.3 6.7.4 6.7.5 6.7.6 6.7.7 Actividad de Control Seguridad en comercio electrnico Seguridad del correo electrnico Seguridad de los sistemas ofimticos Sistemas pblicamente disponibles Otras formas de intercambio de informacin
7. Control de Accesos
# 7.1
Objetivo de Control Requisitos de negocio para el control de accesos
# 7.1.1 7.2.1
Actividad de Control Poltica de control de accesos Registro de usuarios Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de los usuarios Uso de contraseas Equipo informtico de usuario desatendido Poltica de uso de los servicios de la red Ruta forzosa Autenticacin de usuarios para conexiones externas Autenticacin de nodos de la red Proteccin a puertos de diagnstico remoto
7.2
Gestin de acceso de usuarios
7.2.2 7.2.3 7.2.4
7.3
Responsabilidades de usuarios
7.3.1 7.3.2 7.4.1 7.4.2
7.4
Control de acceso a la red
7.4.3 7.4.4 7.4.5
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 7.4.6 7.4.7 7.4.8 7.4.9 7.5.1 7.5.2 7.5.3 7.5 Control de acceso al sistema operativo 7.5.4 7.5.5 7.5.6 7.5.7 7.5.8 7.6 Control de acceso a las aplicaciones 7.6.1 7.6.2 7.7.1 7.7 Seguimiento de accesos y uso del sistema 7.7.2 7.7.3 7.8 Informacin mvil y teletrabajo 7.8.1 7.8.2 Actividad de Control Segregacin en las redes Control de conexin a las redes Control de enrutamiento en la red Seguridad de los servicios de red Identificacin automtica de terminales Procedimientos de conexin de terminales Identificacin y autenticacin del usuario Sistema de gestin de contraseas Utilizacin de las facilidades del sistema Proteccin del usuario frente a coacciones Desconexin automtica de terminales Limitacin del tiempo de conexin Restriccin de acceso a la informacin Aislamiento de sistemas sensibles Registro de incidencias Seguimiento del uso de los sistemas Sincronizacin de relojes Informtica mvil Teletrabajo
8. Desarrollo y Mantenimiento de Sistemas
Diagnstico global de la situacin de seguridad del centro de datos # 8.1 Objetivo de Control Requisitos de seguridad de los sistemas # 8.1.1 8.2.1 8.2 Seguridad de las aplicaciones del sistema 8.2.2 8.2.3 8.2.4 8.3.1 8.3.2 8.3 Controles criptogrficos 8.3.3 8.3.4 8.3.5 8.4.1 8.4 Seguridad de los archivos del sistema 8.4.2 8.4.3 8.5.1 8.5.2 8.5 Seguridad en los procesos de desarrollo y soporte 8.5.3 8.5.4 8.5.5 Actividad de Control Anlisis y especificacin de los requisitos de seguridad Validacin de los datos de entrada Control del proceso interno Autenticacin de mensajes Validacin de los datos de salida Poltica de uso de los controles criptogrficos Cifrado Firmas digitales Servicios de no repudio Gestin de claves Control del software en produccin Proteccin de los datos de prueba del sistema Control de acceso a la librera de programas fuente Procedimientos de control de cambios Revisin tcnica de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Canales encubiertos y cdigo Troyano Desarrollo externo del software
9. Gestin de Continuidad del Negocio
Objetivo de Control
# 9.1.1 9.1.2
Actividad de Control Proceso de gestin de la continuidad del negocio Continuidad del negocio y anlisis de impactos Redaccin e implantacin de planes de continuidad Marco de planificacin para la continuidad del negocio Prueba, mantenimiento y reevaluacin de los planes de continuidad
9.1
Aspectos de la gestin de continuidad del negocio
9.1.3 9.1.4 9.1.5
10. Cumplimiento
Objetivo de Control
# 10.1.1 10.1.2 10.1.3
Actividad de Control Identificacin de la legislacin aplicable Derechos de propiedad intelectual (DPI) Salvaguarda de los registros de la organizacin Proteccin de los datos y de la privacidad de la informacin personal Evitar el mal uso de los recursos de tratamiento de la informacin Regulacin de los controles criptogrficos
10.1
Cumplimiento con los requisitos legales
10.1.4 10.1.5 10.1.6
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 10.1.7 10.2 Revisiones de la poltica de seguridad y de la conformidad tcnica Consideraciones sobre la auditoria de sistemas 10.2.1 10.2.2 10.3.1 10.3.2 Actividad de Control Recopilacin de pruebas Conformidad con la poltica de seguridad Comprobacin de la conformidad tcnica Controles de auditoria de sistemas Proteccin de las herramientas de auditoria de sistemas
10.3
Controles definidos en la NTP-ISO 17799:2007

# Objetivo de Control Reportando eventos y debilidades de la seguridad de informacin # 9.1.1 9.1.2 9.2.1 9.2 Gestin de las mejoras e incidentes en la seguridad de informacin 9.2.2 9.2.3 Actividad de Control Reportando los eventos en la seguridad de informacin Reportando debilidades en la seguridad de informacin Responsabilidades y procedimientos Aprendiendo de los incidentes en la seguridad de informacin Recoleccin de evidencia
9.1
Anlisis GAP
Para presentar el resumen de resultados, se ha tomado en cuenta las brechas identificadas entre las 17799:2007 y los controles administrativos documentados e implementados en el Ministerio. normas NTP-ISO 17799:2004, NTP-ISO
Resumen de Resultados a nivel de Diseo

A continuacin se muestra un grfico donde se aprecia el porcentaje de controles que proponen la normas NTP-ISO 17799:2004, NTP-ISO 17799:2007 y que pueden ser soportados de una manera total o parcial por la situacin actual de seguridad actual del Centro de Datos del Ministerio, a nivel de diseo.
# Controles - Nivel de Cobertura

NTP-ISO/IEC 17799:2004 - 2007
Cobertura Total 34 Controles (26%) No Cubierto 71 Controles (54%)
Cobertura Parcial 27 Controles (20%)
Total
Parcial
Sin cobertura
10
Diagnstico global de la situacin de seguridad del centro de datos A continuacin se muestra una tabla resumen que indica la cantidad de controles que se encuentran cubiertos de forma total, parcial o sin cobertura respecto al modelo de seguridad informtica del Ministerio, agrupado por cada uno de los 10 dominios de la NTP-ISO 17799:2004 y el dominio adicional incluido en la NTO-ISO 17799:2007.
Cobertura Total
0 2 1 4 8 7 11 0 0 1 0
Dominio
1. Polticas de Seguridad 2. Organizacin de la Seguridad de la Informacin 3. Clasificacin y Control de Activos 4. Seguridad en Recursos Humanos 5. Seguridad Fsica y del Entorno 6. Gestin de las Comunicaciones y Operaciones 7. Control de Accesos 8. Desarrollo y mantenimiento de sistemas 9. Gestin de la Continuidad del Negocio 10. Cumplimiento NTP ISO 17799:2007 - 9. Gestin de Incidentes en la Seguridad de la Informacin
Cobertura Parcial
2 3 0 1 1 7 5 2 3 3 0
No Cubierto
0 5 2 5 4 10 15 16 2 7 5
Total
2 10 3 10 13 24 31 18 5 11 5
Total
34
27
71
132
A continuacin se muestra un grfico comparativo entre la cantidad de controles definidos en cada uno de los 10 dominios de la NTP-ISO 17799:2004, el dominio adicional de la NTP-ISO 17799:2007 y la cantidad de controles que son soportados actualmente por el modelo de Seguridad Informtica del Ministerio.
Dominios NTP-ISO/IEC 17799:2004-2007

NTP ISO 17799:2007 - 9. Gest in de Incident es en la Seguridad de la Inf ormacin 10. Cumplimient o 9. Gest in de la Cont inuidad del Negocio 8. Desarrollo y mant enimient o de sist emas 7. Cont rol de Accesos 6. Gest in de las Comunicaciones y Operaciones 5. Seguridad F sica y del Ent orno 4. Seguridad en Recursos Humanos 3. Clasif icacin y Cont rol de Act ivos 2. Organizacin de la Seguridad de la Inf ormacin 1. Pol t icas de Seguridad
0 2 1 4 7 0 0 5
16
11
15
10
0%
20%
40%
60%
80%
100%
Cobertura Total
Cobertura Parcial
No Cubierto
11
Resumen de Resultados a nivel de Implementacin

A continuacin se muestra un grfico donde se aprecia el porcentaje de controles que proponen la normas NTP-ISO 17799:2004, NTP-ISO 17799:2007 y que pueden ser soportados de una manera total o parcial por la situacin de seguridad actual del Centro de Datos del Ministerio a nivel de implementacin.
r l

l

r r
cobert ra,

P ISO/IE
P c Tot , ,
, 9,
Parc al
Total
S cobert ra
12
A continuacin se muestra una tabla resumen que indica la cantidad de controles que se encuentran cubiertos de forma total, parcial o sin cobertura respecto al modelo de seguridad informtica del Ministerio a nivel de implementacin, agrupado por cada uno de los 10 dominios de la NTP-ISO 17799:2004 y el dominio adicional incluido en la NTO-ISO 17799:2007.
Cobertura Total
0 4 0 3 10 10 15 11 0 7 1
Dominio
1. Polticas de Seguridad 2. Organizacin de la Seguridad de la Informacin 3. Clasificacin y Control de Activos 4. Seguridad en Recursos Humanos 5. Seguridad Fsica y del Entorno 6. Gestin de las Comunicaciones y Operaciones 7. Control de Accesos 8. Desarrollo y mantenimiento de sistemas 9. Gestin de la Continuidad del Negocio 10. Cumplimiento NTP ISO 17799:2007 - 9. Gestin de Incidentes en la Seguridad de la Informacin
Cobertura Parcial
1 4 2 5 3 9 14 2 4 2 3
No Cubierto
1 2 1 2 0 5 2 5 1 2 1
Total
2 10 3 10 13 24 31 18 5 11 5
Total
61
49
22
132
A continuacin se muestra un grfico comparativo entre la cantidad de controles definidos en cada uno de los 10 dominios de la NTP-ISO 17799:2004, el dominio adicional de la NTP-ISO 17799:2007 y la cantidad de controles que son soportados actualmente por el modelo de Seguridad Informtica del Ministerio a nivel de implementacin.
13
Dominios NTP-ISO/IEC 17799:2004-2007

NTP ISO 17799 :2007 - 9. Gestin de Incidentes en la Seguridad de la Informacin 10. Cumplimiento 9 . Gestin de la Continuidad del Negocio 8. Desarrollo y mantenimiento de sistemas 7. Control de Accesos 6 . Gestin de las Comunicaciones y Operaciones 5. Seguridad Fsica y del Entorno 4. Seguridad en Recursos Humanos 3. Clasificacin y Control de Activos 2. Organizacin de la Seguridad de la Informacin 1. Polticas de Seguridad
0 0 3 10 15 0 1 3 1
11
14
10
0%
20%
40%
60%
80%
100%
Cobertura Total
Cobertura Parcial
No Cubierto
Principales Brechas Identificadas

A continuacin se presentan las principales brechas identificadas y observaciones ms relevantes como resultado de nuestro trabajo de revisin de la situacin actual de seguridad del Centro de Datos del Ministerio.
14
Diagnstico global de la situacin de seguridad del centro de datos En el presente informe, las brechas slo han sido determinados cuando el Centro de Datos del Ministerio cuenta con una poltica, norma o procedimiento que no cubre un control de la norma NTP-ISO 17799:2004 o con la NTO-ISO 17799:2007. Para una mejor comprensin, los resultados se presentan agrupados por dominio de control dentro de la norma NTP-ISO 17799:2004. Adicionalmente, se ha revisado el nuevo dominio incluido en la norma NTP-ISO 17799:2007, el cual tiene como nombre Gestin de Incidentes en la Seguridad de la Informacin.
15
1. Polticas de Seguridad
# 1.1 Objetivo de Control Polticas de Seguridad de la Informacin Descripcin OBJETIVO: Dirigir y dar soporte a la gestin de la seguridad de la informacin. La gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin.
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel Documentario
Brecha identificada a nivel Documentario
Resultado a nivel de Implementacin Se constat la ejecucin de una norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red. Se valid que la norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red del Ministerio ha sido aprobada, publicada y comunicada a todos los empleados. No se ha aprobado, publicado y comunicado a todos los empleados una poltica que abarque
Brecha identificada a nivel de Implementacin
1.1.1
Documento de poltica de seguridad de la informacin
La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin.
Se cuenta con una Norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red en el Ministerio. Se verific que en dicha Norma, no desarrollan ciertos temas relacionados, tales como: - Clasificacin de informacin - Propietario de la informacin - Complejidad de Contraseas - Administracin de Incidentes de Seguridad, entre otros.
Parcial No se cuenta con una poltica que abarque adecuadamente todos los temas de seguridad de informacin.
017-2006 SPE/OFIN
Parcial
16
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Descripcin
Resultado a nivel de Implementacin adecuadamente todos los temas de seguridad de informacin de acuerdo a la NTP ISO 17799:2004.
1.1.2
Revisin y evaluacin
La poltica debera tener un propietario que sea responsable de su mantenimiento y revisin conforme a un proceso de revisin definido.
Manual de Organizacin y Funciones de la Oficina de Informtica del Ministerio de Educacin
Se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin de que el responsable por proponer los lineamientos de polticas de la oficina de informtica es el Jefe de la Oficina de Informtica. Sin embargo, no se cuenta con un proceso de revisin definido para la Norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red en el Ministerio.
Parcial No se cuenta con un proceso de revisin definido para el mantenimiento de la poltica de seguridad de informacin.
Se valid que el Ministerio no cuenta con una Poltica General de Seguridad de la Informacin. Al no existir una poltica de seguridad de informacin no se ha establecido un responsable de su mantenimiento y revisin. Si
2. Organizacin de la Seguridad de la Informacin

# 2.1 Objetivo de Control Estructura para la seguridad de la informacin Descripcin OBJETIVO: Gestionar la seguridad de la informacin dentro de la organizacin. Debera establecerse una estructura de gestin para iniciar y controlar la implantacin de la seguridad de la informacin
17
Diagnstico global de la situacin de seguridad del centro de datos dentro de la organizacin.
# AC
Descripcin
Resultado a nivel de Implementacin
2.1.1
Comit de gestin de seguridad de la informacin
La seguridad de la informacin es una responsabilidad organizativa que debera ser compartida por todos los miembros de la gerencia.
Ninguno
No se encontraron procedimientos que permitan cubrir el diseo de la actividad de control.
Si
Se identific que la responsabilidad sobre la seguridad de la informacin se encuentra repartida entre distintas personas de la Oficina de Informtica. Se valid que no se cuenta con un comit se seguridad de informacin en el cual la responsabilidad por la seguridad de informacin sea compartida por los miembros de la gerencia.
Parcial
2.1.2
Coordinacin de la seguridad de la informacin
En una organizacin grande puede ser necesario coordinar la implantacin de los controles de seguridad de la informacin por medio de un comit interfuncional de directivos que representen a las reas ms importantes de la
Ninguno
Si
Se constat que la coordinacin para la implantacin de controles de seguridad de informacin es asumida por las reas de la oficina de informtica. Se comprob que no se cuenta con un comit nter funcional formalmente establecido para coordinar la implantacin de
Parcial
18
# AC
Descripcin
Resultado a nivel de Implementacin controles de seguridad. Como parte de nuestro anlisis se identific que se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin del Responsable por Dirigir, Supervisar y Evaluar sistemas de control de acceso a los sistemas de informacin y datos del Ministerio a la jefatura de la Oficina de Informtica. Asimismo, se constat que la responsabilidad de garantizar la seguridad y proteccin de los recursos informticos, a nivel fsico y a nivel lgico ha sido asignada al Jefe del rea de Infraestructura Tecnolgica. Se constat que el personal de infraestructura tecnolgica evala la autorizacin para el tratamiento de la informacin en nuevos recursos en base a su conocimiento y experiencia.
organizacin.
2.1.3
Asignacin de responsabilidades sobre seguridad de la informacin
Deberan definirse claramente las responsabilidades para la proteccin de los activos individuales y para la ejecucin de los procesos especficos de seguridad.
Manual de Organizacin y Funciones de la Oficina de Informtica del Ministerio de Educacin
Se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin del Responsable por Dirigir, Supervisar y Evaluar sistemas de control de acceso a los sistemas de informacin y datos del Ministerio a la jefatura de la Oficina de Informtica. Asimismo, se ha definido que la responsabilidad de garantizar la seguridad y proteccin de los recursos informticos, a nivel fsico y a nivel lgico al Jefe del rea de Infraestructura Tecnolgica. Incluir prrafos marcados por Vctor relacionados a Seguridad No
No
2.1.4
Proceso de autorizacin de recursos para el tratamiento de la informacin
Debera establecerse un proceso de autorizacin para la gestin de cada nuevo recurso de tratamiento de la informacin.
Ninguno
Si
No
19
# AC
Descripcin
Resultado a nivel de Implementacin Se valid que se tenan los siguientes controles implementados: Los contratos con terceros requieren que especialistas de seguridad de la informacin participen como parte del compromiso.
2.1.5
Asesoramiento de especialistas en seguridad de la informacin
Numerosas organizaciones pueden necesitar el asesoramiento de especialistas en seguridad. Idealmente, un asesor interno experto en seguridad de la informacin debera proporcionar este soporte.
Parcial En los contratos con terceros se solicita que requieren especialistas de seguridad de la informacin. Si bien los contratos contienen clusulas no se ha definido como parte de una poltica
Ninguno
Actualmente el personal del rea de infraestructura tecnolgica est suscrito a listas de distribucin con el objetivo de conocer nuevas vulnerabilidades sobre la plataforma tecnolgica y poder tomar acciones pro activamente. As mismo se forma parte de la lista de distribucin de la PCM (Presidencia del Concejo de Ministro) mediante la cual se tratan temas relacionados con la seguridad de informacin. Adicionalmente se realizan consultas a personal de confianza de otras instituciones.
No
2.1.6
Cooperacin entre organizaciones
Deberan mantenerse contactos con autoridades
las
No Aplica
Se constat que la Oficina de Informtica mantiene contacto con la PCM (Presidencia del concejo de
No
Se constat que la Oficina de Informtica mantiene contacto con la PCM (Presidencia del concejo de
No
20
# AC
Descripcin
Resultado a nivel Documentario ministros) quien se encarga de comunicar nuevas vulnerabilidades a las entidades.
Resultado a nivel de Implementacin ministros) quien se encarga de comunicar nuevas vulnerabilidades a las entidades.
encargadas de hacer cumplir la legislacin, los organismos reguladores, los proveedores de servicios de informacin y los operadores de telecomunicaciones para asegurar que se obtiene su asesoramiento y se adopta rpidamente la accin adecuada en caso de incidencia de seguridad. El documento de poltica de seguridad de la informacin establece la poltica y las responsabilidades sobre seguridad de la informacin. Su implantacin debera revisarse de forma independiente para asegurar que las prcticas de la organizacin reflejan dicha poltica y que adems sta es
2.1.7
Revisin independiente de la seguridad de la informacin
Ninguno
Si
Se verific que, al no contar el Ministerio con una poltica de seguridad, no se realiza una revisin de la misma.
Si
21
# AC
Descripcin
realizable y eficaz.
# 2.2
Objetivo de Control Seguridad en los accesos de terceras partes
Descripcin OBJETIVO: Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin sean accesibles por terceros. Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin.
# AC
Descripcin
2.2.1
Identificacin de riesgos por el acceso de terceros
La informacin puede estar expuesta a cierto riesgo, debido al acceso por terceros, sin una administracin adecuada de la seguridad. Cuando por necesidades de la organizacin se necesite conectar a un tercero, debera realizarse una evaluacin de riesgos para identificar los requisitos para los controles
PROCEDIMIENT O DE ADMINISTRACI N Y USO DE SERVIDORES Instructivos: C121P3, C132P2
Parcial Se cuenta con instructivos, en los que se detallan las actividades a realizar para dar privilegios de acceso a usuarios finales.
No se realiza dentro de las actividades, la ejecucin de un anlisis de riesgo antes de brindar acceso a terceros.
Se valid que, como parte de las actividades del personal de infraestructura tecnolgica se evala los accesos a terceros a ser otorgados pero no se deja sustento del mismo a travs de un anlisis de riesgos.
Parcial
22
# AC
Descripcin
especficos. Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de informacin de la organizacin deberan estar basados en un contrato formal que contenga o se refiera a todos los requisitos de seguridad que cumplan las polticas y normas de seguridad de la organizacin.
2.2.2
Requisitos de seguridad en contratos con terceros
No se encontraron procedimientos que permitan cubrir el diseo de la actividad de control. Ninguno Los contratos incluyen clusulas Se debe definir en la poltica de seguridad
Parcial Si bien los contratos contienen clusulas no se ha definido como parte de una poltica
Se identific que los contratos celebrados por el Ministerio con terceros incluyen clausulas referidas a la seguridad de informacin. Si bien los contratos revisados contienen las clusulas, no se ha definido formalmente como parte de una poltica de seguridad que las mismas sean incluidas en todo contrato.
Parcial
# 2.3
Objetivo de Control Outsourcing
Descripcin OBJETIVO: Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Los acuerdos de outsourcing deberan incluir en el contrato entre las partes, los riesgos, controles y procedimientos de seguridad para sistemas de informacin, entornos de redes y terminales.
23
# AC
Descripcin
2.3.1
Requisitos de seguridad en contratos de outsourcing
Los requisitos de seguridad de una organizacin que externaliza la gestin y el control de parte o de todos sus sistemas de informacin, entornos de redes y terminales deberan incluirse en el contrato entre las partes.
Ninguno
No aplican hallazgos dado que no se han identificado esquemas de outsourcing en el Ministerio.
Si
Se constat que el Ministerio no posee esquemas de outsourcing.
No
24

Políticas de Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Políticas de Seguridad

Uploaded by

Copyright:

Available Formats

Ministerio de Educacin

Diagnstico global de la situacin de seguridad del centro de datos

1.- Polticas de Seguridad

Objetivo de Control Polticas de Seguridad de la Informacin

Actividad de Control Documento de poltica de seguridad de la informacin Revisin y evaluacin

2. Aspectos Organizativos para la Seguridad

# 2.1.1 2.1.2 2.1.3

Estructura para la seguridad de la informacin

2.1.4 2.1.5 2.1.6 2.1.7

Seguridad en los accesos de terceras partes Outsourcing

2.2.1 2.2.2 2.3.1

3. Clasificacin y Control de Activos

Objetivo de Control Responsabilidad sobre los activos Clasificacin de la informacin

# 3.1.1 3.2.1 3.2.2

Actividad de Control Inventario de activos Guas de Clasificacin Marcado y tratamiento de la informacin

4. Seguridad Ligado al Personal

Seguridad en la definicin del trabajo y los recursos

4.1.2 4.1.3 4.1.4

Respuesta ante incidencias y malos funcionamientos de la seguridad

4.3.2 4.3.3 4.3.4 4.3.5

5. Seguridad Fsica y Del Entorno

5.1.3 5.1.4 5.1.5 5.2.1 5.2.2 5.2.3

Seguridad de los equipos

5.2.4 5.2.5 5.2.6 5.3.1 5.3.2

6. Gestin de Comunicaciones y Operaciones

Procedimientos y responsabilidades de operacin

6.1.3 6.1.4 6.1.5 6.1.6

6.2.1 6.2.2 6.3.1 6.4.1

Utilizacin y seguridad de los medios de informacin

6.6.2 6.6.3 6.6.4

Intercambio de informacin y software

Objetivo de Control Requisitos de negocio para el control de accesos

Gestin de acceso de usuarios

7.2.2 7.2.3 7.2.4

7.3.1 7.3.2 7.4.1 7.4.2

Control de acceso a la red

7.4.3 7.4.4 7.4.5

8. Desarrollo y Mantenimiento de Sistemas

9. Gestin de Continuidad del Negocio

Aspectos de la gestin de continuidad del negocio

9.1.3 9.1.4 9.1.5

# 10.1.1 10.1.2 10.1.3

Cumplimiento con los requisitos legales

10.1.4 10.1.5 10.1.6

Controles definidos en la NTP-ISO 17799:2007

Resumen de Resultados a nivel de Diseo

# Controles - Nivel de Cobertura

Cobertura Parcial 27 Controles (20%)

Dominios NTP-ISO/IEC 17799:2004-2007

Resumen de Resultados a nivel de Implementacin

Dominios NTP-ISO/IEC 17799:2004-2007

Principales Brechas Identificadas

Resultado a nivel Documentario

Brecha identificada a nivel Documentario

Brecha identificada a nivel de Implementacin

Documento de poltica de seguridad de la informacin

Resultado a nivel Documentario

Manual de Organizacin y Funciones de la Oficina de Informtica del Ministerio de Educacin

2. Organizacin de la Seguridad de la Informacin

Resultado a nivel Documentario

Brecha identificada a nivel Documentario

Resultado a nivel de Implementacin

Brecha identificada a nivel de Implementacin

Comit de gestin de seguridad de la informacin