Professional Documents
Culture Documents
# 1.1.1 1.1.2
1.1
Objetivo de Control
Actividad de Control Comit de gestin de seguridad de la informacin Coordinacin de la seguridad de la informacin Asignacin de responsabilidades sobre seguridad de la informacin Proceso de autorizacin de recursos para el tratamiento de la informacin Asesoramiento de especialistas en seguridad de la informacin Cooperacin entre organizaciones Revisin independiente de la seguridad de la informacin Identificacin de riesgos por el acceso de terceros Requisitos de seguridad en contratos con terceros Requisitos de seguridad en contratos de outsourcing
2.1
2.2 2.3
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
# 3.1
3.2
Objetivo de Control
# 4.1.1
Actividad de Control Inclusin de la seguridad en las responsabilidades laborales Seleccin y poltica de personal Acuerdos de confidencialidad Trminos y condiciones de la relacin laboral Formacin y capacitacin en seguridad de la informacin Comunicacin de las incidencias de seguridad Comunicacin de las debilidades de seguridad Comunicacin de los fallos del software. Aprendiendo de las incidencias Procedimiento disciplinario
4.1
4.2
Formacin de usuarios
4.2.1 4.3.1
4.3
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
Objetivo de Control
# 5.1.1 5.1.2
Actividad de Control Permetro de seguridad fsica Controles fsicos de entradas Seguridad de oficinas, despachos y recursos El trabajo en las reas seguras reas aisladas de carga y descarga Instalacin y proteccin de equipos Suministro elctrico Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la organizacin Seguridad en el reuso o eliminacin de equipos Poltica de puesto de trabajo despejado y bloqueo de pantalla Extraccin de pertenencias
5.1
reas seguras
5.2
5.3
Controles Generales
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
Objetivo de Control
# 6.1.1 6.1.2
Actividad de Control Documentacin de procedimientos operativos Control de cambios operacionales Procedimientos de gestin de incidencias Segregacin de tareas Separacin de los recursos para desarrollo y para produccin Gestin de servicios externos Planificacin de la capacidad Aceptacin del sistema Medidas y controles contra software malicioso Recuperacin de la informacin Diarios de operacin Registro de fallos Controles de red Gestin de medios removibles Eliminacin de medios Procedimientos de manipulacin de la informacin Seguridad de la documentacin de sistemas Acuerdos para intercambio de informacin y software Seguridad de medios en trnsito
6.1
6.2
Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin interna de respaldo y recuperacin Gestin de redes
6.3
6.4
6.4.2 6.4.3
6.5
6.5.1 6.6.1
6.6
6.7
6.7.1 6.7.2
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 6.7.3 6.7.4 6.7.5 6.7.6 6.7.7 Actividad de Control Seguridad en comercio electrnico Seguridad del correo electrnico Seguridad de los sistemas ofimticos Sistemas pblicamente disponibles Otras formas de intercambio de informacin
7. Control de Accesos
# 7.1
# 7.1.1 7.2.1
Actividad de Control Poltica de control de accesos Registro de usuarios Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de los usuarios Uso de contraseas Equipo informtico de usuario desatendido Poltica de uso de los servicios de la red Ruta forzosa Autenticacin de usuarios para conexiones externas Autenticacin de nodos de la red Proteccin a puertos de diagnstico remoto
7.2
7.3
Responsabilidades de usuarios
7.4
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 7.4.6 7.4.7 7.4.8 7.4.9 7.5.1 7.5.2 7.5.3 7.5 Control de acceso al sistema operativo 7.5.4 7.5.5 7.5.6 7.5.7 7.5.8 7.6 Control de acceso a las aplicaciones 7.6.1 7.6.2 7.7.1 7.7 Seguimiento de accesos y uso del sistema 7.7.2 7.7.3 7.8 Informacin mvil y teletrabajo 7.8.1 7.8.2 Actividad de Control Segregacin en las redes Control de conexin a las redes Control de enrutamiento en la red Seguridad de los servicios de red Identificacin automtica de terminales Procedimientos de conexin de terminales Identificacin y autenticacin del usuario Sistema de gestin de contraseas Utilizacin de las facilidades del sistema Proteccin del usuario frente a coacciones Desconexin automtica de terminales Limitacin del tiempo de conexin Restriccin de acceso a la informacin Aislamiento de sistemas sensibles Registro de incidencias Seguimiento del uso de los sistemas Sincronizacin de relojes Informtica mvil Teletrabajo
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos # 8.1 Objetivo de Control Requisitos de seguridad de los sistemas # 8.1.1 8.2.1 8.2 Seguridad de las aplicaciones del sistema 8.2.2 8.2.3 8.2.4 8.3.1 8.3.2 8.3 Controles criptogrficos 8.3.3 8.3.4 8.3.5 8.4.1 8.4 Seguridad de los archivos del sistema 8.4.2 8.4.3 8.5.1 8.5.2 8.5 Seguridad en los procesos de desarrollo y soporte 8.5.3 8.5.4 8.5.5 Actividad de Control Anlisis y especificacin de los requisitos de seguridad Validacin de los datos de entrada Control del proceso interno Autenticacin de mensajes Validacin de los datos de salida Poltica de uso de los controles criptogrficos Cifrado Firmas digitales Servicios de no repudio Gestin de claves Control del software en produccin Proteccin de los datos de prueba del sistema Control de acceso a la librera de programas fuente Procedimientos de control de cambios Revisin tcnica de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Canales encubiertos y cdigo Troyano Desarrollo externo del software
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
Objetivo de Control
# 9.1.1 9.1.2
Actividad de Control Proceso de gestin de la continuidad del negocio Continuidad del negocio y anlisis de impactos Redaccin e implantacin de planes de continuidad Marco de planificacin para la continuidad del negocio Prueba, mantenimiento y reevaluacin de los planes de continuidad
9.1
10. Cumplimiento
Objetivo de Control
Actividad de Control Identificacin de la legislacin aplicable Derechos de propiedad intelectual (DPI) Salvaguarda de los registros de la organizacin Proteccin de los datos y de la privacidad de la informacin personal Evitar el mal uso de los recursos de tratamiento de la informacin Regulacin de los controles criptogrficos
10.1
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos # Objetivo de Control # 10.1.7 10.2 Revisiones de la poltica de seguridad y de la conformidad tcnica Consideraciones sobre la auditoria de sistemas 10.2.1 10.2.2 10.3.1 10.3.2 Actividad de Control Recopilacin de pruebas Conformidad con la poltica de seguridad Comprobacin de la conformidad tcnica Controles de auditoria de sistemas Proteccin de las herramientas de auditoria de sistemas
10.3
9.1
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
Anlisis GAP
Para presentar el resumen de resultados, se ha tomado en cuenta las brechas identificadas entre las 17799:2007 y los controles administrativos documentados e implementados en el Ministerio. normas NTP-ISO 17799:2004, NTP-ISO
Total
Parcial
Sin cobertura
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
10
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos A continuacin se muestra una tabla resumen que indica la cantidad de controles que se encuentran cubiertos de forma total, parcial o sin cobertura respecto al modelo de seguridad informtica del Ministerio, agrupado por cada uno de los 10 dominios de la NTP-ISO 17799:2004 y el dominio adicional incluido en la NTO-ISO 17799:2007.
Cobertura Total
0 2 1 4 8 7 11 0 0 1 0
Dominio
1. Polticas de Seguridad 2. Organizacin de la Seguridad de la Informacin 3. Clasificacin y Control de Activos 4. Seguridad en Recursos Humanos 5. Seguridad Fsica y del Entorno 6. Gestin de las Comunicaciones y Operaciones 7. Control de Accesos 8. Desarrollo y mantenimiento de sistemas 9. Gestin de la Continuidad del Negocio 10. Cumplimiento NTP ISO 17799:2007 - 9. Gestin de Incidentes en la Seguridad de la Informacin
Cobertura Parcial
2 3 0 1 1 7 5 2 3 3 0
No Cubierto
0 5 2 5 4 10 15 16 2 7 5
Total
2 10 3 10 13 24 31 18 5 11 5
Total
34
27
71
132
A continuacin se muestra un grfico comparativo entre la cantidad de controles definidos en cada uno de los 10 dominios de la NTP-ISO 17799:2004, el dominio adicional de la NTP-ISO 17799:2007 y la cantidad de controles que son soportados actualmente por el modelo de Seguridad Informtica del Ministerio.
16
11
15
10
0%
20%
40%
60%
80%
100%
Cobertura Total
Cobertura Parcial
No Cubierto
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
11
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
r l
l
r r
cobert ra,
P ISO/IE
P c Tot , ,
, 9,
Parc al
Total
S cobert ra
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
12
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
A continuacin se muestra una tabla resumen que indica la cantidad de controles que se encuentran cubiertos de forma total, parcial o sin cobertura respecto al modelo de seguridad informtica del Ministerio a nivel de implementacin, agrupado por cada uno de los 10 dominios de la NTP-ISO 17799:2004 y el dominio adicional incluido en la NTO-ISO 17799:2007.
Cobertura Total
0 4 0 3 10 10 15 11 0 7 1
Dominio
1. Polticas de Seguridad 2. Organizacin de la Seguridad de la Informacin 3. Clasificacin y Control de Activos 4. Seguridad en Recursos Humanos 5. Seguridad Fsica y del Entorno 6. Gestin de las Comunicaciones y Operaciones 7. Control de Accesos 8. Desarrollo y mantenimiento de sistemas 9. Gestin de la Continuidad del Negocio 10. Cumplimiento NTP ISO 17799:2007 - 9. Gestin de Incidentes en la Seguridad de la Informacin
Cobertura Parcial
1 4 2 5 3 9 14 2 4 2 3
No Cubierto
1 2 1 2 0 5 2 5 1 2 1
Total
2 10 3 10 13 24 31 18 5 11 5
Total
61
49
22
132
A continuacin se muestra un grfico comparativo entre la cantidad de controles definidos en cada uno de los 10 dominios de la NTP-ISO 17799:2004, el dominio adicional de la NTP-ISO 17799:2007 y la cantidad de controles que son soportados actualmente por el modelo de Seguridad Informtica del Ministerio a nivel de implementacin.
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
13
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
11
14
10
0%
20%
40%
60%
80%
100%
Cobertura Total
Cobertura Parcial
No Cubierto
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
14
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos En el presente informe, las brechas slo han sido determinados cuando el Centro de Datos del Ministerio cuenta con una poltica, norma o procedimiento que no cubre un control de la norma NTP-ISO 17799:2004 o con la NTO-ISO 17799:2007. Para una mejor comprensin, los resultados se presentan agrupados por dominio de control dentro de la norma NTP-ISO 17799:2004. Adicionalmente, se ha revisado el nuevo dominio incluido en la norma NTP-ISO 17799:2007, el cual tiene como nombre Gestin de Incidentes en la Seguridad de la Informacin.
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
15
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
1. Polticas de Seguridad
# 1.1 Objetivo de Control Polticas de Seguridad de la Informacin Descripcin OBJETIVO: Dirigir y dar soporte a la gestin de la seguridad de la informacin. La gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin.
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel de Implementacin Se constat la ejecucin de una norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red. Se valid que la norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red del Ministerio ha sido aprobada, publicada y comunicada a todos los empleados. No se ha aprobado, publicado y comunicado a todos los empleados una poltica que abarque
1.1.1
La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin.
Se cuenta con una Norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red en el Ministerio. Se verific que en dicha Norma, no desarrollan ciertos temas relacionados, tales como: - Clasificacin de informacin - Propietario de la informacin - Complejidad de Contraseas - Administracin de Incidentes de Seguridad, entre otros.
Parcial No se cuenta con una poltica que abarque adecuadamente todos los temas de seguridad de informacin.
017-2006 SPE/OFIN
Parcial
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
16
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel de Implementacin adecuadamente todos los temas de seguridad de informacin de acuerdo a la NTP ISO 17799:2004.
1.1.2
Revisin y evaluacin
La poltica debera tener un propietario que sea responsable de su mantenimiento y revisin conforme a un proceso de revisin definido.
Se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin de que el responsable por proponer los lineamientos de polticas de la oficina de informtica es el Jefe de la Oficina de Informtica. Sin embargo, no se cuenta con un proceso de revisin definido para la Norma para el uso de computadoras personales (PCs), perifricos, software institucional y servicios informticos en la red en el Ministerio.
Parcial No se cuenta con un proceso de revisin definido para el mantenimiento de la poltica de seguridad de informacin.
Se valid que el Ministerio no cuenta con una Poltica General de Seguridad de la Informacin. Al no existir una poltica de seguridad de informacin no se ha establecido un responsable de su mantenimiento y revisin. Si
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
17
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos dentro de la organizacin.
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
2.1.1
La seguridad de la informacin es una responsabilidad organizativa que debera ser compartida por todos los miembros de la gerencia.
Ninguno
Si
Se identific que la responsabilidad sobre la seguridad de la informacin se encuentra repartida entre distintas personas de la Oficina de Informtica. Se valid que no se cuenta con un comit se seguridad de informacin en el cual la responsabilidad por la seguridad de informacin sea compartida por los miembros de la gerencia.
Parcial
2.1.2
En una organizacin grande puede ser necesario coordinar la implantacin de los controles de seguridad de la informacin por medio de un comit interfuncional de directivos que representen a las reas ms importantes de la
Ninguno
Si
Se constat que la coordinacin para la implantacin de controles de seguridad de informacin es asumida por las reas de la oficina de informtica. Se comprob que no se cuenta con un comit nter funcional formalmente establecido para coordinar la implantacin de
Parcial
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
18
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel de Implementacin controles de seguridad. Como parte de nuestro anlisis se identific que se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin del Responsable por Dirigir, Supervisar y Evaluar sistemas de control de acceso a los sistemas de informacin y datos del Ministerio a la jefatura de la Oficina de Informtica. Asimismo, se constat que la responsabilidad de garantizar la seguridad y proteccin de los recursos informticos, a nivel fsico y a nivel lgico ha sido asignada al Jefe del rea de Infraestructura Tecnolgica. Se constat que el personal de infraestructura tecnolgica evala la autorizacin para el tratamiento de la informacin en nuevos recursos en base a su conocimiento y experiencia.
organizacin.
2.1.3
Deberan definirse claramente las responsabilidades para la proteccin de los activos individuales y para la ejecucin de los procesos especficos de seguridad.
Se ha incluido dentro del Manual de Organizacin y Funciones de la oficina de informtica del Ministerio, la definicin del Responsable por Dirigir, Supervisar y Evaluar sistemas de control de acceso a los sistemas de informacin y datos del Ministerio a la jefatura de la Oficina de Informtica. Asimismo, se ha definido que la responsabilidad de garantizar la seguridad y proteccin de los recursos informticos, a nivel fsico y a nivel lgico al Jefe del rea de Infraestructura Tecnolgica. Incluir prrafos marcados por Vctor relacionados a Seguridad No
No
2.1.4
Debera establecerse un proceso de autorizacin para la gestin de cada nuevo recurso de tratamiento de la informacin.
Ninguno
Si
No
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
19
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel de Implementacin Se valid que se tenan los siguientes controles implementados: Los contratos con terceros requieren que especialistas de seguridad de la informacin participen como parte del compromiso.
2.1.5
Numerosas organizaciones pueden necesitar el asesoramiento de especialistas en seguridad. Idealmente, un asesor interno experto en seguridad de la informacin debera proporcionar este soporte.
Parcial En los contratos con terceros se solicita que requieren especialistas de seguridad de la informacin. Si bien los contratos contienen clusulas no se ha definido como parte de una poltica
Ninguno
Actualmente el personal del rea de infraestructura tecnolgica est suscrito a listas de distribucin con el objetivo de conocer nuevas vulnerabilidades sobre la plataforma tecnolgica y poder tomar acciones pro activamente. As mismo se forma parte de la lista de distribucin de la PCM (Presidencia del Concejo de Ministro) mediante la cual se tratan temas relacionados con la seguridad de informacin. Adicionalmente se realizan consultas a personal de confianza de otras instituciones.
No
2.1.6
las
No Aplica
Se constat que la Oficina de Informtica mantiene contacto con la PCM (Presidencia del concejo de
No
Se constat que la Oficina de Informtica mantiene contacto con la PCM (Presidencia del concejo de
No
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
20
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
Resultado a nivel Documentario ministros) quien se encarga de comunicar nuevas vulnerabilidades a las entidades.
Resultado a nivel de Implementacin ministros) quien se encarga de comunicar nuevas vulnerabilidades a las entidades.
encargadas de hacer cumplir la legislacin, los organismos reguladores, los proveedores de servicios de informacin y los operadores de telecomunicaciones para asegurar que se obtiene su asesoramiento y se adopta rpidamente la accin adecuada en caso de incidencia de seguridad. El documento de poltica de seguridad de la informacin establece la poltica y las responsabilidades sobre seguridad de la informacin. Su implantacin debera revisarse de forma independiente para asegurar que las prcticas de la organizacin reflejan dicha poltica y que adems sta es
2.1.7
Ninguno
Si
Se verific que, al no contar el Ministerio con una poltica de seguridad, no se realiza una revisin de la misma.
Si
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
21
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
realizable y eficaz.
# 2.2
Descripcin OBJETIVO: Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin sean accesibles por terceros. Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin.
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
2.2.1
La informacin puede estar expuesta a cierto riesgo, debido al acceso por terceros, sin una administracin adecuada de la seguridad. Cuando por necesidades de la organizacin se necesite conectar a un tercero, debera realizarse una evaluacin de riesgos para identificar los requisitos para los controles
Parcial Se cuenta con instructivos, en los que se detallan las actividades a realizar para dar privilegios de acceso a usuarios finales.
No se realiza dentro de las actividades, la ejecucin de un anlisis de riesgo antes de brindar acceso a terceros.
Se valid que, como parte de las actividades del personal de infraestructura tecnolgica se evala los accesos a terceros a ser otorgados pero no se deja sustento del mismo a travs de un anlisis de riesgos.
Parcial
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
22
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos Brecha identificada a nivel Documentario Brecha identificada a nivel de Implementacin
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
especficos. Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de informacin de la organizacin deberan estar basados en un contrato formal que contenga o se refiera a todos los requisitos de seguridad que cumplan las polticas y normas de seguridad de la organizacin.
2.2.2
No se encontraron procedimientos que permitan cubrir el diseo de la actividad de control. Ninguno Los contratos incluyen clusulas Se debe definir en la poltica de seguridad
Parcial Si bien los contratos contienen clusulas no se ha definido como parte de una poltica
Se identific que los contratos celebrados por el Ministerio con terceros incluyen clausulas referidas a la seguridad de informacin. Si bien los contratos revisados contienen las clusulas, no se ha definido formalmente como parte de una poltica de seguridad que las mismas sean incluidas en todo contrato.
Parcial
# 2.3
Descripcin OBJETIVO: Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Los acuerdos de outsourcing deberan incluir en el contrato entre las partes, los riesgos, controles y procedimientos de seguridad para sistemas de informacin, entornos de redes y terminales.
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
23
Ministerio de Educacin
Diagnstico global de la situacin de seguridad del centro de datos
# AC
Actividad de Control
Descripcin
Procedimient os Relacionados
2.3.1
Los requisitos de seguridad de una organizacin que externaliza la gestin y el control de parte o de todos sus sistemas de informacin, entornos de redes y terminales deberan incluirse en el contrato entre las partes.
Ninguno
Si
No
N 0016-2006-ED Implementacin de las Normas y Gestin de Seguridad de Informacin en el Centro de Datos del Ministerio de Educacin.
24