Documento de Aplicabilidad ISO 27001 2014

8/17/2019 Documento de Aplicabilidad ISO 27001 2014

1/18

Sección Objetivo

A.5 Políticas de seguridad de la información

A.5.1

A.6 Organización de la seguridad de la información

A.6.1 Organización interna

A.6.2 Los dispositivos móviles y el teletraa!o

A." #eguridad relativa a los recursos $umanos

A.".1 Antes del empleo

A.".2 %urante el empleo

A.".&

A.' (estión de activos

A.'.1 )esponsailidad sore los activos

A.'.2 *lasificación de la información

%irectrices de gestión de la seguridad de lainformación

+inalización del empleo o camio en el puesto detraa!o


2/18

A.'.& ,anipulación de los soportes

A.- *ontrol de acceso

A.-.1 )euisitos de negocio para el control de acceso

A.-.2 (estión de acceso de usuario

A.-.& )esponsailidades del usuario

A.-./ *ontrol de acceso a sistemas y aplicaciones

A.10 *riptografía

A.10.1 *ontroles criptogrficos

A.11 #eguridad física y del entorno


3/18

A.11.1 reas seguras

A.11.2 #eguridad de los euipos

A.12 #eguridad de las operaciones

A.12.1 Procedimientos y responsailidades operacionales

A.12.2

A.12.& *opias de seguridad

A.12./ )egistros 3logs4 y supervisión

Protección contra el software malicioso 3malware4


4/18

A.12.5

A.12.6 (estión de la vulnerailidad tcnica

A.12."

A.1& #eguridad de las comunicaciones

A.1&.1 (estión de la seguridad de redes

A.1&.2 ntercamio de información

A.1/ Aduisición7 desarrollo y mantenimiento de los sistem

A.1/.1 )euisitos de seguridad en sistemas de información

A.1/.2

A.1/.& %atos de pruea

A.15 )elación con proveedores

*ontrol del software en e8plotación

*onsideraciones sore la auditoría de sistemas deinformación

#eguridad en el desarrollo y en los procesos desoporte


5/18

A.15.1 #eguridad en las relaciones con proveedores

A.15.2 (estión de la provisión de servicios del proveedor

A.16 (estión de incidentes de seguridad de la información

A.16.1

A.1" Aspectos de seguridad de la información para la gestió

A.1".1 *ontinuidad de la seguridad de la información

A.1".2 )edundancias

A.1' *umplimiento

A.1'.1 *umplimiento de los reuisitos legales y contractuales

A.1'.2 )evisiones de la seguridad de la información

(estión de incidentes de seguridad de la información

y me!oras


6/18

Control Aplicabilidad

5.1.1 Políticas para la seguridad de la información Aplicar

Aplicar

Aplicar

6.1.2 #egregación de tareas Aplicado

6.1.& *ontacto con las autoridades 9o aplicar

6.1./ *ontacto con grupos de inters especial Aplicado

Aplicar

6.2.1 Política de dispositivos móviles Aplicar

6.2.2 :eletraa!o 9o aplicar

".1.1 nvestigación de antecedentes Aplicado

".1.2 :rminos y condiciones del empleo Aplicado

".2.1 )esponsailidades de la (erencia Aplicar

Aplicar

".2.& Proceso disciplinario Aplicar

".&.1 )esponsailidades ante la finalización o camio Aplicar

'.1.1 nventario de activos Aplicar

'.1.2 Propiedad de los activos Aplicar

'.1.& ;so aceptale de los activos Aplicar

'.1./ %evolución de activos Aplicado

'.2.1 *lasificación de la información Aplicar

'.2.2


7/18

'.2.& ,anipulado de la información Aplicar

'.&.1 (estión de los medios removiles Aplicar

'.&.2


8/18

11.1.1 Perímetro de seguridad física Aplicar

11.1.2 *ontroles físicos de los ingresos Aplicar

11.1.& #eguridad de oficinas7 despac$os y recursos Aplicado

Aplicar

11.1.5


9/18

Aplicado

12.6.1 (estión de las vulnerailidades tcnicas Aplicado

Aplicado

9o aplicar

1&.1.1 *ontroles de red Aplicado

1&.1.2 #eguridad de los servicios de red Aplicado

1&.1.& #egregación en redes Aplicado

Aplicado

1&.2.2 Acuerdos de intercamio de información 9o Aplicado

1&.2.& ,ensa!ería electrónica Aplicado1&.2./ Acuerdos de confidencialidad o no revelación Aplicado

s de información

Aplicar

Aplicar

Aplicar

1/.2.1 Política de desarrollo seguro Aplicar

Aplicado

Aplicado

Aplicado

1/.2.5 Principios de ingeniería de sistemas seguros Aplicar

1/.2.6


10/18

Aplicado

9o aplicar

9o aplicar

Aplicado

16.1.1 )esponsailidades y procedimientos Aplicar

Aplicado

16.1.& 9otificación de puntos diles de la seguridad Aplicado

Aplicado

Aplicado

Aplicado

16.1." )ecopilación de evidencias Aplicado

de la continuidad del negocio

Aplicar

Aplicar

Aplicar

9o aplicar

Aplicado

1'.1.2 %erec$os de propiedad intelectual 3%P4 Aplicado

1'.1.& Protección de los registros de la organización Aplicado

Aplicado

1'.1.5 )egulación de los controles criptogrficos Aplicado

Aplicar

Aplicar

1'.2.& *omproación del cumplimiento tcnico Aplicado

15.1.2 )euisitos de seguridad en contratos conterceros

15.1.& *adena de suministro de tecnología de lainformación y de las comunicaciones

15.2.1 *ontrol y revisión de la provisión de serviciosdel proveedor

15.2.2 (estión de camios en la provisión del serviciodel proveedor

16.1.2 9otificación de los eventos de seguridad de lainformación

16.1./


11/18


12/18


13/18

Lo que normalmente ocurre, es que producto de una investigación o hallazgo se deduce que un usuartenía privilegios que impactaban en el criterio de segregación de funciones, pero no se pasa a investigar había más usuarios en la misma situación, con las mismas transacciones o con otras.

La segregación de funciones es una característica de control interno que busca no permitir que un usuarpueda iniciar, procesar, finalizar y hasta eliminar sus acciones, sin la necesidad de que un segundo

tercero intervengan a manera de control. Por ejemplo, el proceso de adquisición de bienes debería segregar las funciones siguientes la requisición o solicitud, la recepción de bienes y la autorización dpago del bien. "i permitimos que estas actividades sean desarrolladas por una misma persona, esta podrautorizar pagos, para bienes que no se han recibido o ni siquiera solicitado, montando un esquema dfraude para la empresa. #ste tipo de casos, por la misma naturaleza humana, pasan en todas lorganizaciones, grandes o peque$as, llevando a vacíos de control. Por supuesto, el problema se aborda dmanera diferente de acuerdo al tama$o de la organización. #stas funciones podrían no estar separadas euna empresa peque$a, pero precisamente por la característica de ser peque$a, es fácil para lpropietarios, realizar una revisión total de todas las operaciones e identificar si se ha cometido alg%n tide error. #n organizaciones grandes, la segregación de funciones es un poco más difícil de implementapero más necesaria. &o solo problemas de fraude se pueden dar por falta de una adecuada segregación funciones. Por ejemplo, producto de la gran cantidad de transacciones realizadas por la misma persona puede dar el cruce de pagos, procesando el pago de una factura similar, tal vez del mismo proveedor y coproductos similares, en lugar de otra. 'on esto concluimos, que tambi(n hay situaciones de control interque requieren de la "egregación de )unciones como mecanismo de control.


14/18

#s importante, al momento de auditar la "egregación de )unciones, identificar el nivel de segregación d

funciones que se ha dise$ado, para conocer si la administración esta conscientemente organizando escontrol. La mejor evidencia, es la matriz de segregación de funciones, que establece *a priori+ loperaciones que no se permite sean realizadas por la misma persona. #stablecida esta fuente información, se procede a verificar que efectivamente se está cumpliendo con el dise$o de segregación dfunciones objetivo. "i la organización es grande, se tendrá que pasar toda la información a una base ddatos, en la cual se buscarán personas que cumplan con el criterio de tener privilegios para las operacionecluyentes. #n estos casos, la principal labor del auditor es la identificación de las fuentes de informacipara crear la base de datos. #ste tipo de labores hace de la tarea de auditar sistemas una actividaretadora, debido a que no siempre la información está disponible de la mejor manera para ser procesad"i el sistema utilizado no asigna privilegios a nivel de transacciones, probablemente habrá que crear base de datos a partir de los históricos que indiquen qui(n hizo cada transacción, es decir, el usuario qhizo las solicitudes de bienes, el usuario que hizo las recepciones y el usuario que autorizó los pagos.

menos este mínimo de pistas de auditoría debe de eistir en el sistema de una organización grande, patener recursos para realizar el análisis. efinitivamente, esto eige gran creatividad de parte de qui(audita los sistemas.

http://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$IL!

http://upcommons.upc.edu/bitstream/handle/%&&.'/''()'/P*.+esus*ollado.'.pd"

http://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$FILE/Enfoque_basado_en_riesgos_para_la_segregacion_de_funciones.pdfhttp://upcommons.upc.edu/bitstream/handle/2099.1/11731/PFC.JesusCollado.F1.pdfhttp://upcommons.upc.edu/bitstream/handle/2099.1/11731/PFC.JesusCollado.F1.pdfhttp://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$FILE/Enfoque_basado_en_riesgos_para_la_segregacion_de_funciones.pdf


15/18


16/18

n"o#ue_basado_en_riesgos_para_la_segregacion_de_"unciones.pd"

http://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$FILE/Enfoque_basado_en_riesgos_para_la_segregacion_de_funciones.pdfhttp://www.ey.com/Publication/vwLUAssets/Perspectivas_relacionadas_con_el_riesgo_de_TI/$FILE/Enfoque_basado_en_riesgos_para_la_segregacion_de_funciones.pdf


17/18

https://iso(%%.wi,i.-oho.com/'(*ontactocon0ruposdeInter1*)

https://iso(%%.wi,i.-oho.com/')'Identi2caci1*)13)nderesponsa


18/18

A&s!special.html

bilidadesyprocedimientos.html

Documento de Aplicabilidad ISO 27001 2014

Documents

Transcript of Documento de Aplicabilidad ISO 27001 2014