implementacioniso2700-1
TRANSCRIPT
-
8/12/2019 ImplementacionISO2700-1
1/136
C Plan de implementacin de laISO/IEC 27001:2005. TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 19/04/2013 Edicin 3.1Confidencial y Privado | Confidential and Proprietary Pgina 1 de 136
E
ISO/IEC
27001:2005. E
.
T : A T G
-
8/12/2019 ImplementacionISO2700-1
2/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 2 de 136
C .
F V A R
11/MAR/13 0.1 JPN M I .
15/MAR/13 1.0 JPN M F 1 .
20/MAR/13 2.0 JPN M F 2 .
28/MAR/13 2.1 JPN M F 2 .
04/ABR/13 2.2 JPN M F 1 R .
08/ABR/13 3.0 JPN M F 3 .
19/ABR/13 3.1 JPN M F 3
25/ABR/13 3.2 JPN M F 4 .
09/MAY/13 3.3 JPN M F 4 .
14/MAY/13 4.0 JPN M F 5 .
24/MAY/13 4.1 JPN M F 5 .
03/JUN/13 5.0 JPN M F 6 .
06/JUN/13 6.0 JPN M F 6
-
8/12/2019 ImplementacionISO2700-1
3/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 3 de 136
............................................................................................................................................. 3
C 1. ...................................................................................................................................... 6
S : C , ...............................
1.1. I . .................................................................................................. 61.2. O . ..................................................................................................... 7
1.3. E . .................................................................................. 8
1.3.1. D ............................................................................... 8
1.3.1. O . .............................................................................................................. 9
1.3.2. V . ....................................................................................... 11
1.3.3. A . ....................................................................................... 11
1.4. D : A ISO/IEC 27001 27002 P DS . ................................................................................................................................ 15
P D S . ................................................................................................. 16
1.5. A . .................................................................................. 17
1.5.1. A . ................................................................................... 17
1.5.2. R . ................................................................................... 34
1.6. P . .............................................................................................. 35
C 2. .................................................................................................................................... 37
S .................................................................................................. 37
2.1. I . ................................................................................................................... 37
2.2. P . ...................................................................................................... 37
2.3. P . ............................................................................ 37
2.4. G . ................................................................................................... 37
2.5. P . ..................................................................... 45
2.6. G . ............................................................................. 46
2.6.1. C . ............................................................................................... 46
-
8/12/2019 ImplementacionISO2700-1
4/136
-
8/12/2019 ImplementacionISO2700-1
5/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 5 de 136
F N : S . .................................................... 114
F N : G . ........................ 11
F N : C . .................................................................... 116
F N : A , SI. ...................... 1
F N : G .
F N : G . .................................... 118
F N : C . .......................................................................... 118
5.5. P . .......................................................................................... 119
5.5.1. E . ..................................................................... 119
5.5.2. G . .................................................................................. 120
5.5.3. R NO C . ........................................................... 120
5.5.4. G . .................................................................. 121
5.6. C . ................................................................................................................. 121
C 6. .................................................................................................................................. 123
R .................................................................................................................... 123
B . ................................................................................................................................ 125A . ...................................................................................................................................... 126
A A. P . ............................................................................................. 126
A.1. I . ............................................................................................................. 126
A.2. F . ..................................................................... 127
A.3. M . ......................................................................................................... 131
A.4. A . ....................................................... 13
A.5. P . ........................................................................... 131A.6. A . ............................................................................... 132
A.7. R . .................................................................................................... 133
A.8. R . ..................................................................................... 133
A B. P . ........................................................................ 134
-
8/12/2019 ImplementacionISO2700-1
6/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 6 de 136
C
C
L
, , . L
, XXI . C
, ,
, (TI)
L , , ,
. .
L ( , , , .)
, .
E ( : , , , , .;
,
. S
: , , , , , .
U 27000:
. P
-
8/12/2019 ImplementacionISO2700-1
7/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 7 de 136
, , .
L , ISO/IEC 27000
A E ISO/IEC 27000
ISO/IEC 27000
TI.
D ,
; . A ISO/IEC 27000
, / .
E , ,
: . E . M
.
L .
2
E ISO/IEC 27001:2005 . E SGSI (S
G S I )
D .
D SGSI.
A .
-
8/12/2019 ImplementacionISO2700-1
8/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 8 de 136
o I .
o I , .
E ISO/IEC 27002:2005 .
P .
E .
C :
I .
E ISO/IEC 27001.
A .
P .
A .
P .
3
3 L , ,
. E
100 50 , ( ).
L P M (I B (CPD
(85%) CPD.
L
. H COBIT ITI .
-
8/12/2019 ImplementacionISO2700-1
9/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 9 de 136
D . A
( : , , I+D ,
3 E .
Direccin general
Gestin de cuentas Desarrollo deSoftwareExplotacin de
Sistemas
Infraestructura deSistemas y
comunicaciones
Areo
Corporativo
Hoteles
Mayorista
Minorista
Personas-Marketing
Receptivo
Administracin deSistemas
Administracin deaplicaciones
Operaciones
Servicios Tcnicos
Sistemas
Comunicaciones
Infraestructuras
PMO
L :
D : E . P
. E (1) D G (1) S D
PMO: E ,
D G , ,
-
8/12/2019 ImplementacionISO2700-1
10/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 10 de 136
(, , , , , .)
. P K H
. E (1) M (1) C . E
.
G : E (A M . T
. E G C , (7) A
M (1) D C .
D S : E ( ) . E 5
: J , .NET, SAP, B I I , 4 J P , A , A P . E
: (1) D D , (15) J P , (3) A , (15) A(30) P .
E S : E . E
( 1 FTE). E (34 + 1 D ):
A S : (5) A S C .
A A : (10) T S AM (1) C .
O : (5) O S (1) C .
S T : (5) T S (1) C .
I , S C : E I , S
C . E (3) J P (1) R .
S G : E
,
-
8/12/2019 ImplementacionISO2700-1
11/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 11 de 136
RRHH: (1) R RRHH (1) T RRHH
L : (1) R L (1) T L
A : (1) R A , (1) R F , (1)A (1) T F .
3 2 L ,
, . E : . N
.
A . L
D . P S C . S TI (H , API, S R , .) I+D T .
3 3 A L P M (B ),
(CPD). L 2 500 O CPD. E [P P O ]
; [P P CPD] AACC, SAI . E [S P O ] TI; [SP CPD] CPD.
L
T .
L , .
.
-
8/12/2019 ImplementacionISO2700-1
12/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 12 de 136
E D 4S 1R 6C 4G 7C 1J P 18A 3A 15
P 30A 5T S 5T A 10O 5T SSGG 3
T 117
.
H E O P D R
P C 8T 10" D 4E D 66E S 25E O 9E (R ) 3
P (R ) 1I O I L B/N O 4
I L C O 2I M O 2I M D 5
D R S C3 D O 10S C3 D CPD 10S C6 C CPD 2R CPD 5F 4
-
8/12/2019 ImplementacionISO2700-1
13/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 13 de 136
S S 2S F 2S W P 10S W API 10S B O 5S BBDD 5S B 2S CMS 4S A 2S A 5
S G P 2S SAP 2S D T 5S D P P 5S 1
CA
C A(P ) 2C A (P ) 2
.
I CPD SAI 2G 2AACC I 4C 16S 8A 6A 12
.
S S MS W 2003 2008 2012 40MS E 2010 2MS TMG 2MS TFS 2HP D B 2SAP 2O SGBD 5
-
8/12/2019 ImplementacionISO2700-1
14/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 14 de 136
R SO 10M 4 1
E MS O 2010 10
MS V 2010 2MS P 2012 4MS V S 2010 10A P 2SAP 7
.
C A F O V 1000000 V MB O V 2000000 P MAPI R 750000 API ROTA R 500000 OTA RC H 500000 B C HR T 500000 G RA C 350000 M V A
G H 450000 G HR M 3000000 V M
/ .
I TI C TICC C
C BD BD
BD O
SSGG C CF
D P 2015O M C S
IK H
V C C
-
8/12/2019 ImplementacionISO2700-1
15/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 15 de 136
4 A / C 27 E
, , ISO/IEC 27001:2005 P D S .
P , (SGSI)
ISO/IEC 27002:2005 E
GAP.
E (SGSI) ISO/IEC 27001. S
P DS SGSI.
P ISO/IEC 270
, ,
, .
E : ISO/IEC 27002:2005 GAP ISO/IEC 27002:200
ISO/IEC 270F
ISO/IEC 27001:2005.
H GAP ISO/IEC 27001:2005
, ,
. P ,
.
L A A .
C , ,
-
8/12/2019 ImplementacionISO2700-1
16/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 16 de 136
. E , ,
ISO/IEC 27001:2005.
E A B A ISO 27002 .
E P D S
, .
E P D S (G , ISO/IEC 27001:2005,
. E , .
E P D S , .
ISO/IEC 27001:2005 .
E P D S , (
SI). C / , ,
;
-
8/12/2019 ImplementacionISO2700-1
17/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 17 de 136
5 A 5 A
5 POLTICA DE SEGURIDAD
5 1 POLTICA DE SEGURIDAD DE LA INFORMACIN
5 1 1Documento de
poltica deseguridad de la
informacinSEGURIDAD
Existen normativas especficas respecto al usode los recursos de informacin as comoprocedimientos documentados sobre lasarquitecturas y sistemas pero no una PolticaGeneral de Seguridad (todas unidas tampoco laforman). La Direccin de la organizacin no esconsciente de ella y por ello no la ha aprobado.
0 - I n e x i s
t e n
t e
N o c u m p
l e
5 1 2Revisin de la
poltica deseguridad de la
informacinSEGURIDAD
No existe Poltica de Seguridad, tampoco hasido aprobada por la direccin por lo tanto no serevisa.
0 - I n e x
i s t e n
t e
N o c u m p
l e
6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
6 1 ORGANIZACIN INTERNA
6 1 1Compromiso de laDireccin con laseguridad de la
informacinSEGURIDAD
No se ha creado formalmente el Comit deGestin de la Seguridad de la Informacin.Aunque la Direccin muestra su apoyo a laseguridad dentro de la organizacin y asignafunciones no lo hace a travs de directricesclaras, tampoco ha realizado una asignacinexplcita ni el reconocimiento deresponsabilidades.
0 - I n e x
i s t e n
t e
N o c u m p
l e
6 1 2Coordinacin de la
seguridad de lainformacin
SEGURIDADLas actividades relativas a la seguridad soncoordinadas y asignadas entre los diferentesroles y funciones aunque no existenprocedimientos documentados. 2 -
R e p e
t i b l e
N o c u m p
l e
6 1 3Asignacin de
responsabilidadesen seguridad de la
informacinSEGURIDAD
Los activos de informacin no estn claramentedefinidos y aunque en algunos casos existe unaasignacin de responsabilidades no es formal.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
6 1 4
Proceso deautorizacin derecursos para laseguridad de la
informacin
SEGURIDADExiste un proceso de autorizacin para losnuevos recursos de procesados de informacinaunque no es formal ni est documentado.
3 - P r o c e s o
d e
f i n
i d o
N o c u m p
l e
6 1 5 Acuerdos deconfidencialidad SEGURIDADEn algunos casos se han establecidos acuerdosde confidencialidad pero no son revisados deforma peridica, tampoco cuando se incorporannuevos activos de informacin. 2 -
R e p e
t i b l e
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
18/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 18 de 136
6 1 6 Relacin con lasautoridades SEGURIDAD
Existen procedimientos de prevencin deriesgos y accidentes laborales (incendios,inundaciones, etc.) as como un protocolo deactuacin claramente documentado. En el casode la seguridad de la informacin, por ejemplorobos, ataques externos, incidentes terroristas,etc no se establece procedimiento formal.
2 - R e p e
t i b l e
C u m p
l e
6 1 7Relacin con
grupos de intersespecial
SEGURIDADSe establecen relaciones con grandesproveedores aunque ninguno de especialrelevancia en cuestiones de seguridad de lainformacin.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
6 1 8Revisinindependiente de la
seguridad de lainformacin
SEGURIDAD
Se realizan con frecuencia revisiones
independientes de seguridad (auditoras)aunque no en todas las reas (pe.Procedimientos, controles, etc.) No existe unapoltica clara que defina la frecuencia y lametologa.
2 - R e p e t i b
l e
C u m p l e
6 2 TERCERAS PARTES
6 2 1Identificacin de
riesgos derivadosdel acceso de
tercerosCOMPRAS
Se realiza un exahustivo anlisis en la seleccinde un proveedor (tercera parte) y siempre seconfia el servicio a un importante proveedor(representa su seriedad y buenas prcticas). Nose definen ni se identifican los riesgos quesuponen en procesado de la informacinaunque se establecen controles generales deasignacin de permisos y accesos.
2 - R e p e
t i b l e
N o c u m p
l e
6 2 2Tratamiento de laseguridad en larelacin con los
clientesNEGOCIO
Se revisan los requisitos de seguridad con losclientes y se establecen los controles que sesolicitan.
2 - R e p e
t i b l e
C u m p
l e
6 2 3Tratamiento de
seguridad en loscontratos con
tercerosCOMPRAS
Siempre que se contrata un servicio a untercero se realiza un contrato pero no en todaslas ocasionas este incluye las clusulas deseguridad correspondientes.
3 - P r o c e s o
d e
f i n
i d o
N o c u m p
l e
7 GESTIN DE ACTIVOS
7 1 RESPONSABILIDAD SOBRE LOS ACTIVOS
7 1 1 Inventario deactivosSISTEMAS-
REDES
Se realiza un inventario detallado de equipos,servidores y otros dispositivos propiedad de laorganizacin o utilizados en sus procesos denegocios pero no existe un inventario de losactivos de informacin. 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
7 1 2 Propietarios de losactivosSISTEMAS-
REDESEn el inventario existente se asigna unpropietario al activo pero no lo especificarazonablemente se hace de forma genrica.
3 - P r o c e s o
d e
f i n
i d o
N o c u m p
l e
-
8/12/2019 ImplementacionISO2700-1
19/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 19 de 136
7 1 3 Uso aceptable delos recursos RRHHHay publicado un cdigo de conducta y unagua general sobre el buen uso de los recursosde informacin de la organizacin.
4 - G e s
t i o n a
d o y e v a
l u a b
l e
C u m p
l e
7 2 CLASIFICACIN DE LA INFORMACIN
7 2 1Directrices declasificacin RRHH
Se cumple con la normativa vigente de LOPD ypor lo tanto se tiene clasificada la informacinque contiene datos personales segn lalegislacin vigente pero no se clasificanaquellos activos de informacin que nocontienen datos personales y tampoco seidentifican segn la criticidad para laorganizacin. 3
- P r o c e s o
d e
f i n i d o
C u m
p l e
7 2 2Etiquetado y
tratamiento de lainformacin
SEGURIDADFISICA
La informacin clasificada est etiquetada ytiene un tratamiento adecuado a lascaractersticas asignadas aunque como se hacomentado anteriormente no estcorrectamente clasificada. 3
- P r o c e s o
d e
f i n
i d o
N o c u m p
l e
8 SEGURIDAD LIGADA A LOS RRHH
8 1 ANTES DEL EMPLEO
8 1 1 Funciones yresponsabilidades RRHH
Existe un documento descriptivo de todos lospuesto de trabajo de la organizacin, donde sedescribe cuales son sus funciones yresposabilidades pero no en todos los casos sedefinen las responsabilidades de terceros.Muchas veces no se especifican lasresposabilidades respecto a la seguridad. 4
- G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
8 1 2 Investigacin deantecedentes RRHHAntes de realizar una contratacin se solicitanreferencias y se investigan los antecedentes delempleador o tercero. Se solicita documentacinoficial sobre ttulos, etc.
4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
8 1 3 Trminos ycondiciones delempleo
RRHH
De acuerdo con la legislacin se les hace firmar
una clusula legal (genrica) aunque no uncdigo tico ni acuerdos. En contratos muyantiguos no se ha realizado nunca. Sucede conempleados y terceras partes.
3 - P r o c e s o d
e f i n
i d o
C u m p
l e
8 2 DURANTE EL EMPLEO
8 2 1 Responsabilidadesde la Direccin RRHHAunque se trasmite a los empleados una guadel buen uso de los recursos de la informacinno existe una poltica de seguridad clara.
1 - I n
i c i a l / a d H o c
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
20/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 20 de 136
8 2 2
Concienciacin,formacin y
capacitacin enseguridad de la
informacin
RRHHNo se realiza concienciacin, formacin ocapacitacin respecto a la seguridad de lainformacin.
0 - I n e x
i s t e n
t e
N o c u m p
l e
8 2 3 Procesodisciplinario RRHHNo existe un proceso disciplinario formal y claropara los empleados que hayan provocado laviolacin de la seguridad.
0 - I n e x
i s t e n
t e
N o c u m p
l e
8 3 CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO
8 3 1 Responsabilidaddel cese o cambio RRHHExiste un procedimiento documentado respectoa la baja o cambio de puesto del personal. Sehan asignado claramente las responsabilidades.
4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
8 3 2 Devolucin deactivos RRHHExiste un procedimiento (aunque nodocumentado) sobre la devolucin de losactivos de la organizacin al finalizar su empleo,contrato o acuerdo.
4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
8 3 3Supresin de los
derechos deacceso
RRHH
Existe un procedimiento documentado yrevisado respecto a la supresin de derechosde acceso en el caso de cese o cambio defuncin. En algunos casos puntuales no soninformados los cambios de funcininmediatamente, 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
9 SEGURIDAD FSICA Y AMBIENTAL
9 1 REAS SEGURAS
9 1 1 Permetro deseguridad fsicaSEGURIDAD
FISICA
Las instalaciones de la organizacin estncerradas al personal ajeno a esta mediantemuros, barreras, puertas y otros elementosfsicos. No es posible el acceso a lasinstalaciones fsicas sin autorizacin. 5 -
O p
t i m
i z a
d o
C u m p
l e
9 1 2 Control fsicos deentradaSEGURIDAD
FISICA
Todas las instalaciones de la organizacin estncontroladas mediante un permetro deseguridad al cual se accede por tarjeta consupervisin de personal de la organizacin, sinella no es posible el acceso. Las zonassensibles estn protegidas con tarjeta y cdigo. 5
- O p
t i m
i z a
d o
C u m p
l e
9 1 3Seguridad de
oficinas, despachosy salas
SEGURIDADFISICA
Las salas sensibles (rack de switches,servidores, SAIs y otros aparatos) estnprotegidos mediante una puerta con llavesiempre cerrada a custodia de los responsables.Los despachos estn protegidos con puertascon cerradura y se cierran siempre que esnecesario.
5 - O p
t i m
i z a
d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
21/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 21 de 136
9 1 4Proteccin contra
amenazas externasy de origenambiental
SEGURIDADFISICA
La organizacin tiene instaladas proteccionescontra amenazas externas: sistemas deextincin de incendios en todos los espacios,proteccin del fuego en zonas medianteinfraestructuras especiales (puertas ignfugas,etc.). Zonas sensibles en espacios altos paraevitar daos en inundaciones acompaadas dedesages en zonas de riesgo. En cuanto aamenazas provocadas por el hombre cuentacon las barreras fsicas habituales (puertas,muros, etc).
5 - O p
t i m
i z a
d o
C u m p
l e
9 1 5 Trabajo en reas
seguras
SEGURIDAD
FISICA
La organizacin tiene implementada una seriede directrices para el uso de espacio comunes,asegurando las zonas de trabajo (no se puedeentrar alimentos, reas limpias de materiales,etc.) 5 -
O p t i m
i z a
d o
C u m p
l e
9 1 6Acceso publico,
zonas de carga ydescarga
SEGURIDADFISICA
En las zonas de acceso al pblico o zonas decarga y descarga siempre est presente unempleado de la organizacin supervisando elacceso o las tareas que se deben realizar.Estas zonas se mantienen libre del tratamientode informacin o est protegidaadecuadamente.
5 - O p
t i m
i z a
d o
C u m p
l e
9 2 SEGURIDAD DE LOS EQUIPOS
9 2 1Emplazamiento yproteccin de los
equiposSEGURIDADFISICA
Los equipos de la organizacin y otrosdispositivos de tratamiento o mantenimiento de
la informacin son adecuadamente ubicadosmediante la proteccin de los mismos; accesosno autorizados, problemas ambientales(goteras, lluvia, etc), etc. 5
- O p
t i m i z a
d o
C u m p
l e
9 2 2 Instalaciones desuministroSEGURIDAD
FISICA
Todas las instalaciones de la organizacin estnprotegidas ante fallos de alimentacin(Diferenciales, SAIs, grupos electrgenos yotros dispositivos). Las zonas especialmentesensibles estn reforzadas con un sistemaadicional y redundante que asegura elfuncionamiento y la continuidad de la operativaen caso de fallo elctricos o la proteccin antelos mismos.
5 - O p
t i m
i z a
d o
C u m p
l e
9 2 3 Seguridad delcableadoSISTEMAS-
REDES
Tanto el cableado elctrico como decomunicaciones est protegido anteinterceptaciones o daos. Se ubican en suscorrespondientes bandejas y los accesos delcableado especialmente protegido slo esconocido por el personal autorizado. 5
- O p
t i m
i z a
d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
22/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 22 de 136
9 2 4 Mantenimiento delos equiposSISTEMAS-
REDES
Los equipos (servidores, etc) y dispositivostienen un mantenimiento adecuado y semonitorizan constantemente ante falloshardware, en caso de fallo son inmediatamentereparados. Los equipos y dispositivosespecialmente crticos tienen asociado uncontrato de reparacin en caso de fallo (porimportantes proveedores). Aunque no existeuna evaluacin de riesgos ni una poltica clara.
5 - O p
t i m
i z a
d o
C u m p
l e
9 2 5Seguridad de
equipos fuera delos locales propios
SEGURIDADFISICA
Los equipos que se emplean fuera de laorganizacin cumplen las mismas medidas quelos equipos que se emplean dentro, no seaplican medidas especiales (encriptacin, etc) yaunque suele existir una autorizacin del
responsable no se lleva una buena gestin deellas. 1 - I n i c i a l / a d H o c
N o c u m p
l e
9 2 6Seguridad en lareutilizacin oeliminacin de
equipos
SISTEMAS-REDES
La organizacin es consciente de la importanciade las buenas prcticas de la retirada oreutilizacin de equipos por la importancia delos datos que contienen pero no existe ningunapoltica formal al respecto. Aunque losdispositivos de almancenamiento son retiradosy reutilizados de forma segura el procedimientono est controlado ni revisado. Se lleva elcontrol de las licencias a modo general (no muyexhaustivo).
2 - R e p e
t i b l e
N o c u m p
l e
9 2 7Retirada de
materiales depropiedad de la
empresa
SEGURIDADFISICA
Existen controles sobre la retirada de materialespero son dbiles y no estn documentados. Seprotege la salida de los activos propiedad de laorganizacin aunque no se est especialmenteconcienciado del peligro que conlleva.
1 - I n
i c i a l / a d H o c
N o c u m p l e
10 GESTIN DE COMUNICACIONES Y OPERACIONES
10 1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES
10 1 1Documentacin delos procedimientos
de operacionesSISTEMAS-
REDES
La mayora de los procedimientos deoperaciones estn correctamentedocumentados y habitualmente se revisan. Semodifican mediante autorizacin delresponsable y se lleva un control de lasversiones. Adems estn a disposicin de todoslos usuarios que los necesiten, tampoco permiteasociar los activos afectados (equipos, software,informacin, etc).
5 - O p
t i m
i z a
d o
C u m p
l e
10 1 2 Gestin de loscambiosSISTEMAS-
REDES
Se lleva un control de cambios (con un procesoclaro y previa autorizacin) aunque no es muyexhaustivo y no identifica el rea de trabajo(sistemas, comunicaciones, software, etc) niaplica ninguna clasificacin. 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
23/136
-
8/12/2019 ImplementacionISO2700-1
24/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 24 de 136
10 4 1 Controles contrasoftware maliciosoSISTEMAS-
REDES
Todos los equipos y servidores tieneninstalados antivirus locales (centralizados)adems de sus correspondientes firewalls.Adicionalmente se aplican proteccionesadicionales en las zonas en contacto conInternet (Firewalls). El control est documentadoy se revisa frecuentemente.
5 - O p
t i m
i z a
d o
C u m p
l e
10 4 2 Controles contracdigo mvilSISTEMAS-
REDES
Las barreras perimetrales de acceso a Internetas como los antivirus locales (incluyenantimalware) y la propia proteccin delnavegador protegen a los equipos y servidoresdel cdigo mvil. Aunque no hay una polticaespecfica la organizacin es consciente de lanecesidad del control. 4
- G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
10 5 COPIAS DE SEGURIDAD
10 5 1Copias de
seguridad de lainformacin
SISTEMAS-REDES
La organizacin evalua la necesidad de lascopias de seguridad al poner en explotacin unnuevo sistema y realiza un inventario y controlde las mismas. Adicionalmente se revisan deforma peridica y se hacen pruebas puntualesde recuperacin aunque no de todos lossistemas. La mayora de procesos de copias deseguridad estn documentados y existenprocedimientos para llevarlos a cabo.
5 - O p
t i m
i z a
d o
C u m p
l e
10 6 GESTIN DE LA SEGURIDAD DE LA RED
10 6 1 Controles de red SISTEMAS-REDES
La organizacin cuenta con una redsegmentada (dependiendo de la criticidad de losdatos y la exposicin al exterior) por Firewalls yasegurada por rutas y reglas de acceso.Adicionalmente cuenta con dispositivosavanzados que detectan comportamientosextraos en la red.
5 - O p
t i m
i z a
d o
C u m p
l e
10 6 2 Seguridad de losservicios de redSISTEMAS-
REDES
Los servicios de red estn identificados y tienenasignados las caractersticas de seguridad yalgunas veces los requisitos de gestin pero noen todos los servicios (sobre todo los internos)se identifican los acuerdos con la direccin.
4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
10 7 MANIPULACIN DE SOPORTES
10 7 1 Gestin desoportes extrablesSISTEMAS-
REDES
Aunque se establecen controles tcnicos sobreel uso de memorias extrables no se realizansobre unidades de CD/DVD u otrosdispositivos.Tampoco se establecenprocedimientos formales (por escrito) nirecomendaciones. 1 -
I n i c i a l / a d H o c
N o c u m p
l e
10 7 2 Retirada desoportesSISTEMAS-
REDES
Aunque no existe una poltica o procedimientoformal (por escrito) la mayora de soportes sedestruyen manualmente al ser retirados aunqueno sucede as con las estaciones de trabajo uotros dispositivos de menor envergadura. 2
- R e p e
t i b l e
N o c u m p
l e
-
8/12/2019 ImplementacionISO2700-1
25/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 25 de 136
10 7 3Procedimiento demanipulacin de la
informacinSISTEMAS-
REDES
La informacin se manipula correctamente yexisten controles/procedimientos que laprotegen contra los accesos no autorizados o eluso indebido pero no existe poltica oprocedimiento por escrito sobre las prcticas orecomendaciones. 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
10 7 4Seguridad de la
documentacin delos sistemas
SISTEMAS-REDES
La documentacin y la informacin en generalest protegida mediante reglas de accesoproporcionadas por los responsables de losdatos. Se est mejorando la gestin en lacentralizacin creando accesos por grupos derecursos.
3 - P r o c e s o
d e
f i n
i d o
C u m p
l e
10 8 INTERCAMBIO DE INFORMACIN
10 8 1Polticas y
procedimientos deintercambio de
informacinSEGURIDAD
Se han establecido polticas y procedimientospara el intercambio de informacin sobre todoaquella que contiene datos personales aunqueno ha sido comunicada a todas las partes. Enalgunos casos no se observan clusulas deconfidencialidad y en la comunicacin de voz nose han aplicado correctamente los controlesadecuados. 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
10 8 2 Acuerdos deintercambio RRHHEn ninguno de los casos se han establecidoacuerdos de intercambio de informacin entre laorganizacin y terceros.
0 - I n e x
i s t e n
t e
N o c u m p
l e
10 8 3 Soportes fsicos entransitoSEGURIDAD
FISICALa organizacin tiene una poltica clara y formalsobre los procedimientos de trnsito desoportes fsicos, se lleva a cabo correctamentey se revisa con cierta frecuencia.
5 -
O p
t i m
i z a d
o
C u m p l e
10 8 4 Correo electrnico SISTEMAS-REDES
La informacin contenida en el correoelectrnico presenta las protecciones estndardel producto, no se han aplicado certificados niencriptacin. 3 -
P r o c e s o
d e
f i n
i d o
C u m p
l e
10 8 5Sistemas deinformacin
empresarialesSISTEMAS-
REDES
La interconexin de los sistemas empresarialesestn debidamente controlados y se gestionacorrectamente su alta, baja y modificacin deaccesos. Existe una documentacin asociada alrespecto.
4 - G e s t
i o n a
d o y e v a
l u a
b l e
C u m p
l e
10 9 SERVICIOS DE COMERCIO ELECTRONICO
10 9 1 ComercioelectrnicoSISTEMAS-
REDES
La organizacin utiliza el comercio electrnico ypor ello cumple con la legislacin vigenteasociada (LOPD, LSSI, etc) adicionalmente seprotege de actividades faudulentas y disputascontractuales mediante sistemas de seguridad(Firewalls, encriptacin, certificados digitales,etc). Existe una poltica formal al respecto.
5 - O p
t i m
i z a
d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
26/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 26 de 136
10 9 2 Transacciones enlneaSISTEMAS-
REDES
Las transacciones en lnea se realizan medianteencriptacin del canal de comunicacin, ya seapor certificados digitales u otros medios. Sellevan a cabo otros controles que aseguran latransaccin pero no existe una poltica formal alrespecto. 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
10 9 3 Informacin conacceso publicoSISTEMAS-
REDES
La informacin puesta a disposicin pblica estdebidamente protegida frente a modificacionesno autorizadas y se revisa frecuentemente. Losservidores estn correctamente actualizados ypresentan sistemas antivirus/antimalwareactivos. 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
10 10 MONITORIZACIN
10 10 1 Registro deauditorasSISTEMAS-
REDES
Todos los sistemas de informacin tienen activoel registro de eventos de seguridad pero no seha establecido ninguna poltica comn dealmacenamiento. Tampoco existedocumentacin respecto a la configuracin o losrequisitos del negocio.
3 - P r o c e s o
d e
f i n i d o
N o c u m p
l e
10 10 2 Monitorizacin deluso de los sistemasSISTEMAS-
REDES
La organizacin ha establecido losprocedimientos para la monitorizacin ysupervisin de los recursos de procesamientode informacin, estos se revisanperidicamente. No existe una poltica formalpero las medidas se toman de forma adecuada. 5
- O p
t i m
i z a
d o
C u m p
l e
10 10 3 Proteccin de lainformacin de losregistros
SISTEMAS-REDES
Los registros de seguridad de los sistemas seprotegen de forma adecuada de los accesos noautorizadas y de manipulaciones indebidas. Nose revisan de forma frecuente.
5 -
O p
t i m
i z a
d o
C u m p
l e
10 10 4Registros de
administracin yoperacin
SISTEMAS-REDES
Los registros de seguridad registran cualquierevento del sistema, incluyendo aquellosrealizados por los operadores y losadministradores de sistemas. No existe ningnprocedimiento de revisin peridica. 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
10 10 5 Registros de fallos SISTEMAS-REDES
Se realiza la gestin de fallos de los sistemasmediante varias herramientas de monitorizacinque permiten a los administradores actuar paraprevenir la interrupcin o solucionarla.
5 - O p
t i m
i z a
d o
C u m p
l e
10 10 6 Sincronizacin derelojesSISTEMAS-
REDESLos relojes de todos los sistemas estnsincronizados con una precisin de tiempoacordada. Existe un procedimiento forma que serevisa con cierta frecuencia.
5 -
O p
t i m
i z a d
o
C u m p l e
11 CONTROL DE ACCESO
11 1 REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO
11 1 1 Poltica de controlde acceso SEGURIDAD
Aunque la organizacin lleva a cabo un controlde acceso siguiendo las indicaciones de ladireccin o los clientes (requisitos del negocio)no existe ninguna poltica de control accesoformal (documentada y revisada). 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
11 2 GESTIN DE ACCESO DE USUARIO
-
8/12/2019 ImplementacionISO2700-1
27/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 27 de 136
11 2 1 Registro de usuario SISTEMAS-REDESLa organizacin tiene un procedimiento formalde alta, baja y modificacin de usuariosmediante el cual se concenden y revocan losderechos de acceso. Este documento seactualiza y revisa con frecuencia. 5 -
O p
t i m
i z a d o
C u m p
l e
11 2 2 Gestin deprivilegiosSISTEMAS-
REDES
La gestin de privilegios slo corresponde aldepartamento de Administracin de Sistemas(en el caso de sistemas comunes) y explotacinde aplicaciones (en el caso de aplicaciones).Ningn otro usuario puede realizar estasfunciones. Aunque no existe un esquema formalde autorizacin el procedimiento se realizacorrectamente. 3
- P r o c e s o
d e
f i n
i d o
C u m p
l e
11 2 3Gestin de las
contraseas de losusuarios
SISTEMAS-REDES
Se realiza una gestin correcta de lascontraseas de los usuarios tanto a nivel deaplicacin como de sistema a travs de unproceso formal (se establece caducidad ybloqueo) aunque no existe ninguna polticaformal sobre la gestin de contraseas (entrega,cambio, etc). Tampoco se firman clusulas deconfidencialidad de la contrasea.
4 - G e s t
i o n a
d o y e v a
l u a b
l e
C u m p
l e
11 2 4Revisin de los
derechos deaccesos
SISTEMAS-REDES
No existe ningn procedimiento formal derevisin de los derechos de acceso, losresponsables de la informacin confian en losderechos establecidos y slo se revisan en casode error, anomala o incidencia. 0 -
I n e x
i s t e n
t e
N o c u m p
l e
11 3 RESPONSABILIDAD DE USUARIO
11 3 1 Uso de lascontraseasSISTEMAS-
REDES
La organizacin ha establecido mtodostcnicos para que las contraseas cumplan conunos requisitos de seguridad adecuados (noest aplicado en las aplicaciones) pero no existeuna gua de recomendaciones en la seleccinde contraseas para los usuarios.
3 - P r o c e s o
d e
f i n
i d o
C u m p
l e
11 3 2 Equipo de usuariodesatendidoSISTEMAS-
REDES
Se han establecido controles tcnicos para elbloqueo de equipos desatendidos (tanto enestaciones de trabajo como servidores) pero noexiste una gua/formacin de concienciacindirigida a los usuarios.
4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
11 3 3Poltica de puesto
de trabajodespejado y
bloqueo de pantalla
SISTEMAS-REDES
No existe ninguna poltica formal de puesto detrabajo despejado y bloqueo de pantalla aunquela organizacin ha establecido mtodos tcnicospara el bloqueo de sesiones. 3 -
P r o c e s o
d e
f i n
i d o
C u m p
l e
11 4 CONTROL DE ACCESO A LA RED
11 4 1 Poltica de uso delos servicios de redSISTEMAS-
REDES
El uso de los servicios de red (un granporcentaje) est controlado tcnicamente y slose habilita el acceso previa autorizacin pero noexiste una poltica formal sobre la solicitud deacceso. Como debilidad la organizacin permiteel acceso a la red por DHCP si un dispositivo seconecta a una toma (sin autorizacin previa). 3 -
P r o c e s o
d e
f i n
i d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
28/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 28 de 136
11 4 2Autenticacin deusuarios para
conexionesexternas
SISTEMAS-REDES
Se establecen la autentificacin de usuariospara conexiones externas mediante rangos deIP y enrutamientos preestablecidos, estoscontroles se acompaan de reglas de acceso enFirewalls. 5 -
O p
t i m
i z a d o
C u m p
l e
11 4 3 Identificacin deequipos en la redSISTEMAS-
REDES
Todos los equipos de la red estn identificadose inventariados (de forma automtica), serealiza un control sobre la incorporacin denuevos equipos (evala la autorizacin de suacceso a la red). Existe una estructura definidade la red y la asignacin de IPs por zonas. 5
- O p
t i m
i z a
d o
C u m p
l e
11 4 4Diagnstico remotoy proteccin de los
puertos deconfiguracin
SISTEMAS-
REDES
De forma general los puertos de configuracinde equipos, servidores, switches y otros estn
protegidos ya sea por medidas lgicas comofsicas. 5 - O p
t i m
i z a
d o
C u m p
l e
11 4 5 Segregaciones dela redSISTEMAS-
REDES
Las redes de la organizacin estncompletamente segregadas y protegidasteniendo en cuenta su criticidad, exposicin alexterior y el valor de la informacin queprotegen. Esto se complementa con dispositivosavanzados de vigilancia de la red. 5
- O p
t i m
i z a
d o
C u m p
l e
11 4 6 Control deconexin a la redSISTEMAS-
REDES
La organizacin establece controles deconexin a la red mediante enrutamientos,firewalls y otros elementos. Adicionalmente semonitorizan los accesos y se controla elconsumo de recursos. 5 -
O p
t i m
i z a
d o
C u m p
l e
11 4 7Control de
encaminamiento enla red
SISTEMAS-REDES
La organizacin tiene implementado un controlde encaminamiento de red, todas las redes queestn controladas se encaminan a suscorrespondientes firewalls y en estos seestablecen las reglas de acceso. 5 -
O p
t i m
i z a
d o
C u m p
l e
11 5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
11 5 1Procedimiento
seguros de iniciode sesin
SISTEMAS-REDES
Se establecen mecanismos tcnicos de inicio desesin seguro: no muestra el ltimo usuariologeado, bloqueo de contraseas por intentosfallidos, tiempo de espera al bloqueo de cuenta,comunicacin cifrada de la contrasea, etc peroestos no se recogen en una poltica. Tampocose muestra un aviso general del acceso limitadoa los usuarios autorizados.
5 - O p
t i m
i z a
d o
C u m p
l e
11 5 2Identificacin y
autenticacin deusuario
SISTEMAS-REDES
No todos los usuarios del sistema tienenidentificadores personales, existen muchosusuarios genricos donde no se puede trazar lapersona (tanto en sistema como en aplicacin). 3 -
P r o c e s o
d e
f i n
i d o
N o c u m p
l e
11 5 3 Sistema de gestinde contraseasSISTEMAS-
REDES
El sistema de gestin de contraseas escorrecto, se almacenan cifradas, se estableceuna complejidad a las contraseas, un periodode caducidad, un historial recordatorio. Ademsse permite al usuario la modificacin decontrasea en la mayora de casos, etc. 5
- O p
t i m
i z a
d o
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
29/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 29 de 136
11 5 4Uso de las
utilidades de lossistemas operativos
SISTEMAS-REDES
Tanto en equipos como en servidores se limitael uso y acceso a las herramientas y utilidadesdel sistema operativo que puedan daar partedel mismo. Slo el personal tcnicoautorizado/capacitado tiene acceso a estas.Adicionalmente todas las aplicacionesinnecesarias son eliminadas del sistema perono existe una poltica formal al respecto.
5 - O p
t i m i z a
d o
C u m p
l e
11 5 5Desconexinautomtica de
sesinSISTEMAS-
REDES
En el acceso a sistemas remotos se estableceun timeout de sesin (Citrix, Terminal Server,TMG, etc) pero no sucede lo mismo en lasaplicaciones internas de la organizacin ni enlas sesiones de usuario en las estaciones detrabajo. 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
11 5 6Limitacin de las
ventanas deconexin
SISTEMAS-REDES
Dadas las necesidades del negocio no se hanestablecido ventanas de limitacin de conexinya que los clientes requieren el uso del sistemaen cualquier hora/da del ao.
4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
11 6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIN
11 6 1Restriccin de
acceso a lainformacin
SISTEMAS-REDES
Las aplicaciones tienen asignados distintosmenus dependiendo el perfil del usuario, slolos usuarios de soporte tienen acceso a toda lainformacin. Existe documentacin al respecto.
4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
11 6 2 Aislamiento desistemas sensiblesSISTEMAS-
REDESLos sistemas sensibles estn aislados ycorrectamente protegidos bajo los requisitos delnegocio y del propietario de los datos.
5 - O p
t i m
i z a d o
C u m p
l e
11 7 ORDENADORES PORTTILES Y TELETRABAJO
11 7 1Ordenadoresporttiles y
comunicacionesmviles.
SISTEMAS-REDES
Aunque la mayor parte de la informacin estcentralizada y se utilizan protocolos seguros ascomo mecanismos adicionales, no existe unapoltica formal sobre la utilizacin de equipos ydispositivos porttiles o mviles.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
11 7 2 Teletrabajo RRHH
No existe una poltica formal de teletrabajodonde se indiquen los requisitos necesarios
(antivirus, firewall, conexin, ubicacin fsica,etc) as como acuerdos de licencia o propiedadintelectual, reglas de uso (acceso a la familia,
), etc. 1 - I n i c i a l / a
d H o c
N o c u m
p l e
12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DEINFORMACIN
12 1 REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIN
12 1 1Anlisis y
especificaciones derequisitos de
seguridadDESARROLLO
En el anlisis y especificaciones de los nuevosproductos se suelen evaluar las caractersticasy controles de seguridad aunque no en todaslas ocasiones. Cuando se asumen debilidadesde seguridad no se realiza una evaluacin deriesgos.
3 - P r o c e s o
d e
f i n
i d o
N o c u m p
l e
-
8/12/2019 ImplementacionISO2700-1
30/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 30 de 136
12 2 PROCESO CORRECTO EN LAS APLICACIONES
12 2 1 Validacin de losdatos de entrada DESARROLLOLas aplicaciones tienen aplicada la validacinde datos de entrada, detectando y evitando loserrores. Estos controles protegen a lasaplicaciones de ataques estndar.
4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
12 2 2 Control del procesointerno DESARROLLOLas aplicaciones de la organizacin realizan uncontrol interno de la informacin que manejanvigilando la integridad de los datos y evitandolos ataques estndar.
4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
12 2 3 Integridad de losmensajes DESARROLLOLas aplicaciones no incorporan la verificacin dela integridad de los mensajes aunque existencontroles adicionales que pueden complementareste objetivo. 2 -
R e p e
t i b l e
N o c u m p
l e
12 2 4 Validacin de losdatos de salida DESARROLLO
No se realiza la validacin de los datos desalida en todas las aplicaciones/informesaunque en todos los casos se proporciona a losusuarios la informacin suficiente para que sepueda evaluar correctamente. 2
- R e p e
t i b l e
N o c u m p
l e
12 3 CONTROLES CRIPTOGRFICOS
12 3 1Poltica de uso de
los controlescriptogrficos
SEGURIDADNo existe una poltica formal sobre el uso de loscontroles criptogrficos que recoja lainformacin el enfoque, el anlisis de riesgos ylas medidas implementadas.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
12 3 2 Gestin de claves SEGURIDAD
La organizacin tiene un implementado unsistema de gestin de claves en donde segeneran y almacenan los certificados, gestinde claves, etc. Este sistema est protegido yexiste una poltica no formal sobre su uso.
3 - P r o c e s o
d e
f i n i d o
N o c u m p
l e
12 4 SEGURIDAD EN LOS ARCHIVOS DE SISTEMA
12 4 1Control delsoftware enexplotacin
SISTEMAS-REDES
Existen controles del software en explotacinmediante la gestin de cambios y se realizan lasactualizaciones del sistema mediante unproceso documentado y probado.Adicionalmente existe un registro de auditorade los cambios realizados y la posibilidad de
restaurar un sistema si en el cambio seproducen errores. 4 - G e s
t i o n a
d o y e v a
l u a
b l e
C u m p
l e
12 4 2 Proteccin de losdatos de prueba DESARROLLONo se establece proteccin adicional a los datosde pruebas, se utilizan los mismos mecanismosy controles que con los datos reales.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
12 4 3 Control de accesoal cdigo fuente DESARROLLO
La gestin del acceso al cdigo fuente serealiza de forma correcta; slo los usuariosautorizados tienen acceso al cdigo fuente yeste est protegido contra modificaciones.Adicionalmente se realiza un registro de loscambios. 4 -
G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
-
8/12/2019 ImplementacionISO2700-1
31/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 31 de 136
12 5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
12 5 1 Procedimiento decontrol de cambiosSISTEMAS-
REDES
La organizacin lleva a cabo un procedimientode gestin de cambios donde se establece elnivel de autorizacin, los sistemas afectados,los cambios realizados, etc. Esta gestin decambios realiza un registro de los pasosrealizados y permite trazar una auditora delproceso. Aunque es necesario mejorarlo ya queno se puede asociar el activo
2 - R e p e
t i b l e
C u m p
l e
12 5 2
Revisin tcnica delas aplicaciones
despus decambios en los
sistemas operativos
SEGURIDAD
Siempre que se realiza un cambio a nivel desistema o a nivel de software se realiza unarevisin tcnica sobre el cambio realizado uotros aspectos relacionados. Aunque es
necesario mejorar el rea de Quality y Testing. 4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
12 5 3Restriccin en los
cambios a lospaquetes de
software
SISTEMAS-REDES
La organizacin slo realiza cambios enpaquetes de software cuando el cliente tieneuna necesidad, el software presenta unproblema o con intencin de mejorar surendimiento/funcionamiento. Todos los cambiosson evaluados y probados, no se realizan sinprevia autorizacin y el software original seconserva.
5 - O p
t i m
i z a
d o
C u m p
l e
12 5 4 Fuga deinformacin DESARROLLO
La organizacin no tiene a disposicin de losempleados escneres u otros dispositivos
similares, adems limita el tamao de salida delos correos, no permite el uso de sticks dememoria, y otros controles similares queimpiden la fuga de informacin.
4 - G e s
t i o n a
d o y e v a
l u a
b l e
C u m p
l e
12 5 5Desarrollo
externalizado desoftware
DESARROLLO
Se realiza el desarrollo externalizado desoftware pero no en todos los casos se hanestablecido: los contratos de licencia, propiedaddel cdigo, requisitos de calidad y seguridad delsoftware, etc.
4 - G e s
t i o n a
d o y
e v a
l u a
b l e
C u m p
l e
12 6 GESTIN DE VULNERABILIDADES TCNICAS
12 6 1Control de
vulnerabilidadestcnicas
SEGURIDAD
Normalmente la organizacin lleva a cabo lagestin de las vulnerabilidades tcnicas encuanto a sistemas operativos Microsoft pero noen el resto de software (Acrobat, Java, etc. -incluido aplicaciones Microsoft) y dispositivos(Cisco, etc).
3 - P r o c e s o
d e
f i n
i d o
C u m p
l e
13 GESTIN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIN
13 1 REPORTE DE INCIDENCIAS Y DEBILIDADES
-
8/12/2019 ImplementacionISO2700-1
32/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 32 de 136
13 1 1Notificacin de los
eventos deseguridad de la
informacinHELP DESK
La organizacin posee un help desk de soporte24x365 (punto nico: web, telfono y correoelectrnico) donde usuarios y proveedorespueden notificar las incidencias aunque no sehace distincin entre problemas habituales oincidencias de seguridad. No existedocumentacin del sistema de gestin deincidencias. 3
- P r o c e s o
d e
f i n i d o
N o c u m p
l e
13 1 2Notificacin de lospuntos dbiles de
la seguridadHELP DESK
Los empleados, contratistas y terceros notificanlas incidencias pero no estn obligados (porpoltica, por clusula, o similar) a notificar lospuntos dbiles de seguridad.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
13 2 GESTIN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS
13 2 1 Responsabilidadesy procedimientos HELP DESKLa organizacin no cuenta con un esquemaformal de responsabilidades y procedimientospara el tratamiento de las incidencias deseguridad (especfico).
1 - I n
i c i a l / a d H o c
N o c u m p
l e
13 2 2Aprendizaje de los
incidentes deseguridad de la
informacinHELP DESK
La organizacin no cuenta con ningnmecanismo que permita el aprendizaje sobre losincidentes de seguridad.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
13 2 3 Recopilacin deevidencias HELP DESK
En caso de incidentes de seguridad laorganizacin realiza la recopilacin deevidencias pero no sigue ningn procedimientoespecfico y muchas veces por desconocimientono las realiza rigurosamente. 2
- R e p e
t i b l e
N o c u m
p l e
14 GESTIN DE LA CONTINUIDAD DE NEGOCIO
14 1 ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DENEGOCIO
14 1 1
Incluir la seguridadde la informacinen el proceso de
gestin de lacontinuidad de
negocio
SEGURIDADLa organizacin cuenta una gestin de lacontinuidad del negocio a baja escala, sinanalizar grandes catstrofes/daos y sin incluirla seguridad de la informacin. 2 -
R e p e
t i b l e
N o c u m p
l e
14 1 2Continuidad de
negocio y anlisisde riesgos
SEGURIDADLa organizacin no ha realizado un plan decontinuidad a partir del anlisis de un anlisis deriesgos.
1 - I n
i c i a l / a d H o c
N o c u m p
l e
14 1 3
Desarrollo eimplantacin de
planes decontinuidad
incluyendo laseguridad de la
informacin
SEGURIDAD dem
1 - I n
i c i a l / a d H o c
N o c u m p
l e
-
8/12/2019 ImplementacionISO2700-1
33/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 33 de 136
14 1 4 Marco deplanificacin de lacontinuidad denegocio
SEGURIDAD dem 1 -
I n i c i a l / a d H
o c
N o c u m p
l e
14 1 5
Prueba,mantenimiento yrevisin de los
planes decontinuidad de
negocio
SEGURIDAD dem
1 - I n
i c i a l / a d H o c
N o c u m p
l e
15 CUMPLIMIENTO
15 1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES
15 1 1 Identificacin de lalegislacinaplicable
ASESORIAJURIDICA
La organizacin cumple con la LOPD, LSSI yotra legislacin vigente y as lo demuestra losinformes de auditora presentados.
5 - O p
t i m
i z a
d o
C u m p l e
15 1 2Derechos de
propiedadintelectual
ASESORIAJURIDICA
La organizacin cumple con la propiedadintelectual; compra las licencias a fuentes deconfianza, mantiene un inventario de losproductos, realiza un revisin anual de losmismos, etc. Aunque no tiene publicada unapoltica sobre el cumplimiento de la DPI. 5
- O p
t i m
i z a
d o
C u m p
l e
15 1 3Proteccin de losdocumentos de la
organizacinASESORIAJURIDICA
La organizacin almacena y protegeadecuadamente la documentacin oficialrequerida adems de establecer
adecuadamente los periodos de retencin de lainformacin. En su contra no se estableceningn documento formal que indique elcalendario de conservacin o las directrices deconservacin.
5 - O p
t i m i z a
d o
C u m p
l e
15 1 4Proteccin de datos
de carcterpersonal yprivacidad
ASESORIAJURIDICA
La organizacin cumple con la LOPD, LSSI yotra legislacin vigente y as lo demuestra losinformes de auditora presentados.
5 - O p
t i m
i z a
d o
C u m p
l e
15 1 5Prevencin del maluso de los recursos
informticosRRHH
La organizacin realiza la prevencin del maluso de los recursos informticos mediantemedidas y controles tcnicas e informa a losempleados sobre el uso indebido de estos.
5 -
O p
t i m
i z a
d o
C u m p
l e
15 1 6Regulacin de
controlescriptogrficos
SEGURIDADLa organizacin cumple con la regulacin de loscontroles criptogrficos e implanta su usocuando es necesario aunque no existe unadocumentacin especfica al respecto. 3 -
P r o c e s o
d e
f i n
i d o
C u m p
l e
15 2 CUMPLIMIENTO DE LAS POLTICAS Y NORMAS DE SEGURIDAD
15 2 1Cumplimiento de
las polticas ynormas deseguridad.
AUDITNo se detectan informes formales sobre lasrevisiones del cumplimiento por parte de losdirectores aunque parece que informalmente serealiza este seguimiento. 2 -
R e p e
t i b l e
N o c u m p
l e
-
8/12/2019 ImplementacionISO2700-1
34/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 34 de 136
15 2 2Comprobacin del
cumplimientotcnico
AUDITEn los ltimos aos se han realizado auditorastcnicas y procedimentales, la organizacinposee los informes resultados. Ha analizado losinformes y est implementando las mejoras.
5 - O p
t i m
i z a
d o
C u m p
l e
15 3 CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DEINFORMACIN
15 3 1Controles de
auditora de lossistemas de
informacin
AUDIT
En la realizacin de las auditoras se haseleccionado el mbito y los controlesnecesarios para minimizar el riesgo de lasinterrupciones. No existe documento generalpero se prepara un contrato con cada auditora. 5 - O
p t i m
i z a
d o
C u m p
l e
15 3 2
Proteccin de lasherramientas de
auditora desistemas deinformacin
AUDITTodas las herramientas de auditora estnespecialmente protegidas y slo son accesiblespara los administradores/auditores.
4 - G e s t
i o n a
d o y
e v a
l u a
b l e
C u m p
l e
5 2 C
5. P . 0 % 100 %
6. O .36 % 64 %
7. G . 60 % 40 %
8. S RRHH. 78 % 22 %
9. S . 77 % 23 %
10. G .87 % 13 %
11. C . 84 % 16 %
12. A , .
60 % 40 %
13. G .
0 % 100 %
14. G . 0 % 100 %
15. C . 90 % 10 %
-
8/12/2019 ImplementacionISO2700-1
35/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 35 de 136
6
-
8/12/2019 ImplementacionISO2700-1
36/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 36 de 136
-
8/12/2019 ImplementacionISO2700-1
37/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 37 de 136
C 2
2 T
, SGSI ISO/IEC 27001
.
L SGSI .
2 2 I A A .
2 3 I A B .
2 4 E
.
P , SGSI. A .
C
E
E
E SW
-
8/12/2019 ImplementacionISO2700-1
38/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 38 de 136
E
G
G
G
G
G SW
M M
M LOPD
M P C
M
M
M
N
N
N
N
N
N
N
N SW
N
N
N
-
8/12/2019 ImplementacionISO2700-1
39/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 39 de 136
N
N
N
N
N
N
P P
P
P
P
P
P
P
P P
P
P P C N
P
P
P
P
P
P
P RRHH
-
8/12/2019 ImplementacionISO2700-1
40/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 40 de 136
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P A
P /
P
P P HW SW
P
P
P SW
P
-
8/12/2019 ImplementacionISO2700-1
41/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 41 de 136
P
P
P
P
P
P
P P
P
P
P T.I
P L
A :
C
5.1.2 N D .
6.1.8
15.3.1
N ( ).
N N .
8.2.2 N .
9.1.4 N (A )
9.1.2 % / .
[(A F I / A T ) * 100]
V T : 20%
9.2.1 % .
-
8/12/2019 ImplementacionISO2700-1
42/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 42 de 136
11.3.2
11.7.1
15.2.1
[(N / N ) * 100]
V T : 10%
9.2.6 N / .
[N / N + ]
V T : 75%
10.1.1
10.8.1
% .
[(N / N ) * 100]
V T : 75%
10.1.2
12.4.1
12.5.1
N .
[(N / N ) *100]
V T : 10%
N .[(N / N ) *100]
V T : 90%
10.3.1 % .
[(MB / MB ) *100]
V T :20%
% .
[(MB / MB ) *100]
V T :20%
% .
10.4.1
10.4.2
% .
[(N / N ) *100]
V T :10%
-
8/12/2019 ImplementacionISO2700-1
43/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 43 de 136
N / ( )
10.5.1 N .
% ( )
[(N / N ) *100]
V T :10%
10.7.2 N .
10.8.2 N .
10.9.1
10.9.2
N .
% .
[(N / N ) *100]
V T :5%
10.10.2 % .
[(N / N ) *100]
V T : 10%
11.2.1
11.6.1
% / .
[(N / N ) *100]
V T : 20%
11.2.1
11.2.2
11.2.4
N .
N A / .
11.4.2
11.4.3
11.4.6
N VPN .
11.4.3
11.4.6
% .
[(N / N ) *100]
-
8/12/2019 ImplementacionISO2700-1
44/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 44 de 136
V T : 10%
11.4.5 N / .
11.4.6 % .
[(N / N ) *100]
V T : 20%
11.4.7 N .
11.5.1
11.5.3
% .
[(N / N ) *100]
V T : 10%
13.1.1
13.2.2
N .
T .
% .
% .
13.2.2 % ( ) .
[(N / N ) *100]
V T : 5%
15.1.1
15.1.2
% .
[(N / N ) *100]
V T : 90%
15.1.3
15.1.4
N , ( ).
T % .
-
8/12/2019 ImplementacionISO2700-1
45/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 45 de 136
2 5 L D
, D .
L D ,
SGSI.
E
SGSI. L D , ,
, SGSIR S .
E /
C .
C , : , , .
C
E R S . E .
L , SGSI, , ,
.
L D ( ). S 3 ,
.
D ( ) .
-
8/12/2019 ImplementacionISO2700-1
46/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 46 de 136
2 6 E ,
SGSI.
C ( ) (
).
C , P S
.
2 6 C E
, :
I .
A . P , .
V . V . S . V . P . A SGSI.
E : R . R S O . R E S . R D . R I , S C . R J . R A P . E .
-
8/12/2019 ImplementacionISO2700-1
47/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 47 de 136
2 6 2 L ,
, , ( , , , .)
.
L , . A
, , .
I / ,
:
C , / .
N
N
( ). C
.
. . . .E
, . E ,
:
A ( , , ): ,
. T .
O ( , , ):
, . E
.
-
8/12/2019 ImplementacionISO2700-1
48/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 48 de 136
M : . E
.
C ,
. P
.
A
:
P , , ,
.
P ( )
.
C .
N R S .
C .
N .
N R S
.
. . . .L
.
P ,
, :
-
8/12/2019 ImplementacionISO2700-1
49/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 49 de 136
G , .
C .
C .
R , , .
U , . E
, (, , .).
U ,
.
S (
) , .
P , (
, , , .).
S , .
L R S
( , , .).
E , , , , , , ,
.
-
8/12/2019 ImplementacionISO2700-1
50/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 50 de 136
2 6 3 E R S
.
A R S :
A .
V .
R .
V .
M .
D
.
D .
C
A .
T .
E .
G D S .
C D S .
-
8/12/2019 ImplementacionISO2700-1
51/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 51 de 136
2 7 E
; ,
, .
E MA
.
F 1 T : E . D
F 2 E : D ; :
V : S . A ,
.
M A V > 200.000 300.000
A 100.000 < V > 200.000 150.000
M 50.000 < V > 100.000 75.000
B 10.000 < V > 50.000 30.000
M V < 10.000 10.000
V : L . E ,
[V = F /
-
8/12/2019 ImplementacionISO2700-1
52/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 52 de 136
F 1 1
F A 1 2 26/365
F M 1 2 6/365
F B 1 6 2/365
F M 1 1/365
C : I
C
C [100 90%]P . P . A
. C .
95 %
A [89 75%]P . P . C .
75 %
M [74 25%]P . C .
50 %
B [25 0%]P . N .
25 %
I : S .
M A 100%
A 75%
M 50%
B 20%
M 5%
-
8/12/2019 ImplementacionISO2700-1
53/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 53 de 136
E : E ,
.
/
M A 95%
A 75%
M 50%
B 30%
M 10%
F 3 A : D . S
( , , , .) .
F 4 A : L . L
. S MAGERIT :
A : S . P : , , .
E : S
/ . P : E , , .
A : S . P
: A , , . A : S
. E : S , D S, .
-
8/12/2019 ImplementacionISO2700-1
54/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 54 de 136
F 5 E : L . E MAGERIT
.
F 6 V : L . P : , , .
F 7 A : L
:
R = V V I
D .
N .D
:
A 75%
M 50%
B 25%
S .
-
8/12/2019 ImplementacionISO2700-1
55/136
C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 06/06/2013 Edicin 6.0Confidencial y Privado | Confidential and Proprietary Pgina 55 de 136
F 8 I : T