FORMULARIO PARA AUTODIAGNSTICO

(ISO 27001)
POLTICAS DE SEGURIDAD
Existen documento(s) de polticas de seguridad de SI
Existe normativa relativa a la seguridad de los SI
Existen procedimientos relativos a la seguridad de SI
Existe un responsable de las polticas, normas y procedimientos
Existen mecanismos para la comunicacin a los usuarios de las normas
Existen controles regulares para verificar la efectividad de las polticas

ORGANIZACIN DE LA SEGURIDAD
Existen roles y responsabilidades definidos para las personas implicadas en la seguridad
Existe un responsable encargado de evaluar la adquisicin y cambios de SI
La Direccin y las reas de la Organizacin participa en temas de seguridad
Existen condiciones contractuales de seguridad con terceros y outsourcing
Existen criterios de seguridad en el manejo de terceras partes
Existen programas de formacin en seguridad para los empleados,
clientes y terceros
Existe un acuerdo de confidencialidad de la informacin que se accesa.
Se revisa la organizacin de la seguridad peridicamente por una empresa externa

ADMINISTRACIN DE ACTIVOS
Existen un inventario de activos actualizado
El Inventario contiene activos de datos, software, equipos y servicios
Se dispone de una clasificacin de la informacin segn la criticidad de la misma
Existe un responsable de los activos
Existen procedimientos para clasificar la informacin
Existen procedimientos de etiquetado de la informacin

SEGURIDAD DE LOS RRHH

Se tienen definidas responsabilidades y roles de seguridad
Se tiene en cuenta la seguridad en la seleccin y baja del personal
Se plasman las condiciones de confidencialidad y responsabilidades en los contratos
Se imparte la formacin adecuada de seguridad y tratamiento de activos
Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad
Se recogen los datos de los incidentes de forma detallada
Informan los usuarios de las vulnerabilidades observadas o sospechadas
Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las
vulnerabilidades
Existe un proceso disciplinario de la seguridad de la informacin

SEGURIDAD FSICA Y DEL AMBIENTE

Existe permetro de seguridad fsica(una pared, puerta con llave).
Existen controles de entrada para protegerse frente al acceso de personal no autorizado
Un rea segura ha de estar cerrada, aislada y protegida de eentos naturales
En las reas seguras existen controles adicionales al personal propio y ajeno
Las reas de carga y expedicin estn aisladas de las reas de SI
La ubicacin de los equipos est de tal manera para minimizar accesos innecesarios.
Existen protecciones frente a fallos en la alimentacin elctrica
Existe seguridad en el cableado frente a daos e intercepciones

Se asegura la disponibilidad e integridad de todos los equipos

Existe algn tipo de seguridad para los equipos retirados o ubicados exteriormente
Se incluye la seguridad en equipos moviles

GESTIN DE COMUNICACIONES Y OPERACIONES

Todos los procedimientos operativos identificados en la poltica de seguridad han de estar
documentados
Estan establecidas responsabilidades para controlar los cambios en equipos
Estan establecidas responsabilidades para asegurar una respuesta rpida, ordenada y
efectiva frente a incidentes de seguridad
Existe algn mtodo para reducir el mal uso accidental o deliberado de los Sistemas
Existe una separacin de los entornos de desarrollo y produccin
Existen contratistas externos para la gestin de los Sistemas de Informacin
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de
almacenamiento
Existen criterios de aceptacin de nuevos SI, incluyendo actualizaciones y nuevas
versiones
Controles contra software maligno
Realizar copias de backup de la informacin esencial para el negocio
Existen logs para las actividades realizadas por los operadores y administradores
Existen logs de los fallos detectados
Existen rastro de auditora
Existe algn control en las redes
Hay establecidos controles para realizar la gestin de los medios informticos.(cintas,
discos, removibles, informes impresos)
Eliminacin de los medios informticos. Pueden disponer de informacin sensible
Existe seguridad de la documentacin de los Sistemas
Existen acuerdos para intercambio de informacin y software
Existen medidas de seguridad de los medios en el trnsito
Existen medidas de seguridad en el comercio electrnico.
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de
informacin publicada
Existen medidas de seguridad en las transacciones en linea
Se monitorean las actividades relacionadas a la seguridad

CONTROL DE ACCESOS
Existe una poltica de control de accesos
Existe un procedimiento formal de registro y baja de accesos
Se controla y restringe la asignacin y uso de privilegios en entornos multi-usuario
Existe una gestin de los password de usuarios
Existe una revisin de los derechos de acceso de los usuarios
Existe el uso del password
Se protege el acceso de los equipos desatendidos
Existen polticas de limpieza en el puesto de trabajo
Existe una poltica de uso de los servicios de red
Se asegura la ruta (path) desde el terminal al servicio
Existe una autenticacin de usuarios en conexiones externas
Existe una autenticacin de los nodos
Existe un control de la conexin de redes
Existe un control del routing de las redes
Existe una identificacin nica de usuario y una automtica de terminales
Existen procedimientos de log-on al terminal

Se ha incorporado medidas de seguridad a la computacin mvil

Est controlado el teletrabajo por la organizacin

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

Se asegura que la seguridad est implantada en los Sistemas de Informacin
Existe seguridad en las aplicaciones
Existen controles criptogrficos.
Existe seguridad en los ficheros de los sistemas
Existe seguridad en los procesos de desarrollo, testing y soporte
Existen controles de seguridad para los resultados de los sistemas
Existe la gestin de los cambios en los SO.
Se controlan las vulnerabilidades de los equipos

ADMINISTRACIN DE INCIDENTES
Se comunican los eventos de seguridad
Se comunican los debilidadesde seguridad
Existe definidas las responsabilidades antes un incidente.
Existe un procedimiento formal de respuesta
Existe la gestin de incidentes

GESTIN DE LA CONTINUIDAD DEL NEGOCIO

Existen procesos para la gestin de la continuidad.
Existe un plan de continuidad del negocio y anlisis de impacto
Existe un diseo, redaccin e implantacin de planes de continuidad
Existe un marco de planificacin para la continuidad del negocio
Existen prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio.

CUMPLIMIENTO
Se tiene en cuenta el cumplimiento con la legislacin por parte de los sistemas
Existe el resguardo de la propiedad intelectual
Existe el resguardo de los registros de la organizacin
Existe una revisin de la poltica de seguridad y de la conformidad tcnica
Existen consideraciones sobre las auditoras de los sistemas

RESULTADOS AUTODIAGNSTICO
GENERAL

no
100%

POR REAS
POLTICAS DE SEGURIDAD

ORGANIZACIN DE LA SEGURIDAD

POLTICAS DE SEGURIDAD

no
100%

CLASIFICACIN Y CONTROL DE
ACTIVOS

no
100%

SEGURIDAD FSICA Y DEL

ENTORNO

2
100%

CONTROL DE ACCESOS

no
100%

ADM. DE INCIDENTES

no
100%

ORGANIZACIN DE LA SEGURIDAD

no
100%

SEGURIDAD DEL PERSONAL

no
100%

GESTIN DE COMUNICACIONES Y
OPERACIONES

no
100%

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

no
100%

GESTIN DE LA CONTINUIDAD DEL NEGOCIO

no
100%

no
100%

no
100%

CONFORMIDAD

no
100%

0
0
0
0
0
0

0
0
0
0
0
0

si

0.00

0
0

0
0
0
0

0
0
0
0
0

0
0

0
0

si

0
0
0
0
0
0

0
0
0
0
0
0
0

0
0
0
0
0
0
0

no

0.00

si

100.00

no

0.00

100.00

0
0
0
0
0
0
0

no

si

100.00

no

0
0

0
0
0
0
0
0

0
0
0
0
0
0

0.00

100.00

0
0
0

0
0
0

0.00

0
0

0
0
0

0
0
0

0
0
0
0
0
0

0
0
0
0
0
0

0
0
0
0
0

0
0
0
0
0

0
0

0
0

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0

si

100.00

no

0.00

100.00

0
0

0
0

si

0.00

0
0
0
0
0
0
0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0
0
0
0
0
0
0

si

0
0
0
0
0

0
0
0
0

0
0
0
0
0

N DE LA SEGURIDAD

no

100.00

no

0.00

100.00

0.00

100.00

si

no

0.00

100.00

0
0
0
0
0
0

0.00

100.00

0
0
si

85
100
no

N DE LA SEGURIDAD

no
100%

D DEL PERSONAL

no
100%

COMUNICACIONES Y
RACIONES

no
100%

NTENIMIENTO DE SISTEMAS

no
100%

NTINUIDAD DEL NEGOCIO

no
100%

no
100%