LLÁMENOS AL 1-888-553-2256

Herramienta gratuita de análisis de brecha para ISO 27001

Conozca su grado de cumplimiento con ISO 27001

 

| Continuar con un formulario previamente guardado
Continuar más tarde

Para poder continuar completando este formulario más tarde, por favor escriba su correo electrónico y una contraseña.

4.0 Contexto de la organización
4.1 Conocimiento de la organización y su contexto






4.2 Comprensión de las necesidades y expectativas de las partes interesadas

La organización debe definir qué partes interesadas son relevantes para el sistema de gestión de seguridad de información (SGSI) (por ejemplo: clientes críticos y proveedores, empleados, agencias gubernamentales, etc..)

Haga clic aquí para ver un ejemplo procedimiento para la identificación de requisitos.

Los requisitos son necesidades y expectativas que pueden ser evaluadas de forma cualitativa o cuantitativa, y necesitan ser documentados para las partes interesadas que se han definido como relevantes en el SGSI.

4.3 Determinar el alcance del SGSI

Tienes que definir el alcance del SGSI, considerando cuestiones internas y externas, los requisitos, las partes interesadas pertinentes e interfaces y las dependencias entre las actividades realizadas por la organización y las realizadas por otras organizaciones. 

Haga clic aquí para ver un ejemplo documento sobre el alcance del SGSI.
4.4 SISTEMAS DE GESTION DE INFORMACION DE SEGURIDAD


5.0 Liderazgo
5.1 Liderazgo y compromiso






5.2 Política

La alta dirección debe definir la política de seguridad de la información dentro del alcance del SGSI. La política necesita ser apropiada a sus actividades, incluir un compromiso de mejora continua y proporcionar objetivos o un marco para su establecimiento. 

Haga clic aquí para ver un ejemplo politica del SGSI.


5.3 Roles, responsabilidades y autoridades en la organización


6.0 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.1.1 Generalidades


6.1.2 Valoración de riesgos de seguridad de la información

Debe existir un proceso que establece y mantiene los criterios de riesgo, así como identifica, analiza y evalúa los riesgos de seguridad de la información. 

Haga clic aquí para ver un ejemplo metodología de evaluación y tratamiento de riesgo.
6.1.3 Tratamiento de riesgos de la seguridad de la información

Tiene que haber un proceso para tratar los riesgos de seguridad de la información teniendo en cuenta los resultados de la evaluación de riesgo y para crear documentos específicos como la declaración de aplicabilidad. 

6.2 Objetivos de seguridad de la información y planes para lograrlos



Tienen que existir planes para asegurar la disponibilidad de recursos para conseguir los objetivos, incluyendo responsabilidades, método de evaluación y tiempos para el plan. 

Pulsa aquí para ver un ejemplo Plan de Tratamiento de Riesgos.
7.0 Soporte
7.1 Recursos


7.2 Competencia

La competencia es evaluada, y la capacitación, para el personal que realiza tareas que puedan afectar a la seguridad de la información. 

Haga clic aquí para ver un ejemplo Plan de capacitación y concienciación.
7.3 Concienciación

Se debe promover el conocimiento de la política de seguridad de lainformación, los procedimientos, riesgos, roles, responsabilidades, autoridades y consecuencias del incumplimiento de los procedimientos especificados. 

Haga clic aquí para ver un ejemplo Plan de capacitación y concienciación
7.4 Comunicación


7.5 Información documentada (7.5.1 General; 7.5.2 Creación y actualización; 7.5.3 Control de información documentada)



Debe existir un procedimiento para el control de los documentos que especifique la aprobación, revisión y actualización, identificación, la disponibilidad de la versión correspondiente, legibilidad del documento, control de documentos externos y la prevención de uso de documentos obsoletos. 

Haga clic aquí para ver un ejemplo procedimiento para el control de documentos y registros


8.0 Operación
8.1 Planificación y control operacional

La información documentada debe mantenerse para tener constancia de que los procesos se han llevado a cabo como estaba previsto (por ejemplo, procedimientos de control operacional, criterios de funcionamiento, etc..) 

Haga clic aquí para ver un ejemplo Procedimientos operativos para las tic




8.2 Apreciación de los riesgos de seguridad de información

Se debe realizar una evaluación de la seguridad y las evidencias deben ser registradas.

8.3 Tratamiento de los riesgos de seguridad de información

Tienen que existir planes para lograr los objetivos y metas y éstos deben incluir responsabilidades, método de evaluación y los medios & plazos para el plan.

Haga clic aquí para ver un ejemplo de Plan de tratamiento del riesgo.

Es necesario establecer acciones para tratar los riesgos considerados como no aceptables. Estas acciones necesitan ser implementadas,  y revisado y controlado periódicamente siempre que sea posible.

Haga clic aquí para ver un ejemplo de cuadro de tratamiento del riesgo y Declaración de aplicabilidad
9.0 Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación




9.2 Auditoría Interna

Los procedimientos de auditoría deben abordar las responsabilidades de auditoría, informes, criterios, frecuencia, alcance y los métodos. Los procedimientos deben incluir criterios para la selección de auditores para mantener la imparcialidad y la objetividad. 

Haga clic aquí para ver un ejemplo de programa de auditoría Programa anual de auditoria interna y Procedimiento de auditoría interna.

Deben existir procedimientos de auditoría para evaluar el SGSI contra los arreglos previstos (incluyendo la adecuada implementación y mantenimiento) a intervalos planificados y los resultados deben ser comunicados a la dirección. 

Haga clic aquí para ver un ejemplo Informe de auditoría interna
9.3 Revisión por la dirección

La dirección debe revisar el SGSI a intervalos previstos para garantizar la idoneidad, suficiencia y efectividad y evaluar oportunidades de mejoras. Deben mantenerse registros de la revisión. 

Haga clic aquí para ver un ejemplo Minutas de revision por parte de la direccion.

Los resultados de la revisión por dirección deben incluir las decisiones y acciones relacionadas con posibles cambios de la política de seguridad de la información, objetivos, y otros elementos del SGSI con el fin de mejorar continuamente el SGSI.  

Haga clic aquí para ver un ejemplo de Minutas de revision por parte de la direccion.
10.0 Mejora
10.1 No conformidad y acciones correctivas

Debe existir un procedimiento para tratar las no conformidades, incluyendo la adopción de medidas correctivas. 

Haga clic aquí para ver el ejemplo Procedimiento para acciones correctivas y preventivas

El procedimiento debe incluir la identificación, investigación y determinación de causas y acciones para prevenir la recurrencia. Estas acciones deben ser adecuadas a la magnitud de la no conformidad. 


Los registros deben mantenerse, y la evaluación de la efectividad de las acciones correctivas. Deben hacerse los cambios necesarios en la documentación del SGSI. 

10.2 Mejora continua


REQUISITOS DE PREPARACIÓN: 
%
A.5 Políticas de seguridad



A.6 Organización de la seguridad











La dirección deberá definir políticas para dispositivos móviles dentro del alcance del SGSI. Las políticas deben ser apropiadas para el soporte de la seguridad de la información y los requerimientos del negocio.


La dirección deberá definir políticas para teletrabajo dentro del alcance del SGSI. Las políticas deben ser apropiadas para el soporte de la seguridad de la información y los requerimientos del negocio. 

A.7 Seguridad relativa a los recursos humanos



Antes de acceder a la información, los empleados y contratistas deberán ser conscientes de sus responsabilidades relacionadas con la seguridad de información y de su compromiso de cumplimiento. 









A.8 Gestión de activos

Existe un inventario de activos para identificar y organizar los activos de información. 

Haga clic aquí para ver un ejemplo Inventario de activos.

Para asegurar el adecuado manejo y protección de un activo, se le debe asignar un propietario. 

Haga clic aquí para ver un ejemplo Inventario de activos, Política de uso aceptable.

Para asegurar el manejo adecuado y la protección de un activo, deben ser definidas un grupo de reglas. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.

Para asegurar el manejo adecuado y la protección de un activo, deben ser definidas un conjunto de reglas. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.

La existencia de criterios de clasificación asegura que toda la información deberá recibir un nivel de protección según el valor que posee para la organización. 

Haga clic aquí para ver un ejemplo Politica clasificación de la información.

La existencia de etiquetado y manejo asegura que toda la información clasificada deberá recibir un tratamiento de acuerdo a su nivel de clasificación. 

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

Con la existencia de procedimientos de manejo de activos se asegura que todos los activos deberán recibir un tratamiento de acuerdo a la información clasificada que manejan. 

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

La existencia de procedimientos de manejo de medios extraíbles asegura que todos los medios extraíbles deberán recibir un tratamiento de acuerdo a la información clasificada que manejan. 

Haga clic aquí para ver un ejemplo Politica de clasificación de la información.

Debe haber procedimientos formales para asegurar que los medios que ya no se necesitaban, no pueden ser reutilizados y que la información contenida en él serán destruida o hecha inaccesible. 


La existencia de procedimientos de manejo de medios extraíbles asegura que todos los medios extraíbles deberán recibir un tratamiento de acuerdo a la información clasificada que manejan. 

Haga clic aquí para ver un ejemplo Política de clasificación de la información.
A.9 Control de acceso

La direccion deberá definir una política de Control de acceso dentro del alcance delSGSI. La política necesita ser apropiada para apoyar la seguridad de lainformación y los requerimientos del negocio. 

Haga clic aquí para ver un ejemplo Política de Control de acceso.

El usuario tendrá acceso sólo a las redes y los servicios para los que está autorizado específicamente. 

Haga clic aquí para ver un ejemplo Política de Control de acceso.

Debe existir un proceso formal para la creación / exclusión de cuentas de usuario y la asignación de derechos de acceso. 

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.

Debe existir un proceso formal para conceder o denegar el acceso de usuario para todos los tipos de usuarios para todos los sistemas y servicios. 

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.

Debe existir un proceso formal para conceder o denegar el acceso de usuario con derechos de privilegios especiales. 

Haga clic aquí para ver un ejemplo Política de control de acceso.

Toda información relacionada con la autenticación de usuarios dispondrá de una manera que sólo el usuario conocerá la informacion de autenticación. 

Haga clic aquí para ver un ejemplo Política de Control de acceso, Politica de contraseñas.

Debe existir un proceso formal que periodicamente verifique los privilegios de acceso de usuario. 

Haga clic aquí para ver un ejemplo Política de Control de acceso.

Debe existir un proceso formal para cambiar o revocar el acceso de los usuarios para todos los tipos de usuarios para todos los sistemas y servicios cuando hay un cambio en su situación. 

Haga clic aquí para ver un ejemplo Política de Control de acceso.

Toda información relacionada con la autenticación de usuario deberá ser protegida (por ejemplo: contraseñas..) 


El acceso a las funciones de bases de datos y aplicaciones se limitará según la política de control de acceso. 

Haga clic aquí para ver un ejemplo Política de Control de acceso.



Los sistemas de gestión de contraseñas adoptados por la organización deberán ser interactivos y garantizar la creación de contraseñas seguras. 

Haga clic aquí para ver un ejemplo Política de Control de accesoPolitica de contraseñas.




A.10 Criptografía

La dirección deberá definir una política de Control criptográfica dentro del alcance del SGSI. La política necesita ser apropiado para apoyar la seguridad de la información y los requerimientos del negocio.

Haga clic aquí para ver un ejemplo de Política sobre el uso de los controles criptográficos.

Los controles criptográficos son fuertes y sus llaves se guardan y mantienen de forma segura, por tanto el manejo de claves criptográficas debe ser gestionado adecuadamente.

Haga clic aquí para ver un ejemplo de Política sobre el uso de los controles criptográficos.
A.11 Seguridad física y del entorno









Deben existir procedimientos de trabajo específicos proporcionales a la sensibilidad de las zonas seguras para minimizar incidentes relacionados con acciones inapropiadas. 

Haga clic aquí para ver un ejemplo Procedimientos para trabajar en zonas seguras.











Cada vez que sea necesario la organización debe de proporcionar permisos de autorización para la eliminación de información y otros activos. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.

Los activos fuera de los locales de la organización están expuestos a más riesgos y deberán considerarse la aplicación de controles más fuertes.


Toda la información y software con licencia se eliminarán de los equipos o medios cuando estos se destruyan. 


Los equipos no deben dejarse sin supervisión, pero si no hay ninguna alternativa, deberá proporcionarse recomendaciones para guiar sobre su uso a los usuarios.


Debe existir una política para que los usuarios eliminen papeles y cualquier dato de su escritorio, y bloqueen sus equipos de trabajo cuando no estén delante del ordenador.

Haga clic aquí para ver un ejemplo Política de uso aceptable, Politica de escritorio limpio.
A.12 Seguridad de las operaciones

La documentación disponible debe ayudar a asegurar la correcta operación y seguridad de los recursos de procesamiento de información. 


Todos los cambios a los sistemas y a otros procesos que puedan afectar la seguridad de la información serán estrictamente controlados. 






Deberá existir software antivirus y otros programas para la protección de malware, y estar correctamente configurados y actualizados. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.


Los logs de los usuarios, fallos y otros mensajes importantes de los sistemas TI deberán chequearse periodicamente. 




Los logs de los administradores deben estar protegidos contra el acceso y modificación no autorizado y deben comprobarse regularmente. 




Deberán existir reglas definidas y procedimientos para asegurar la instalación del software, y se llevarán a cabo de manera adecuada y controlada. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.



Deben definirse normas y procedimientos para asegurar que la instalación de software realizada por los usuarios se realiza de una manera adecuada y controlada. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.


A.13 Seguridad de las comunicaciones

Las redes deben ser controladas para evitar compromisos y fugas de información. 


Deben existir reglas claras para los servicios de red internos y externos, para de esta manera proteger la información y los sistemas, y estas reglas serán definidas e incluidas en los acuerdos. 




Deben existir procedimientos y políticas formales para la protección de transferencia de información. 


En los acuerdos deben existir definidos cláusulas específicas para asegurar el uso de políticas y procedimientos para la protección de la información en las transferencias con terceras partes. 


Los mensajes que se intercambian a través de las redes deben estar protegidos contra el acceso y modificación no autorizado. 


La organización debe garantizar que todas las cláusulas de confidencialidad pertinentes tienen que ser incluidos en los acuerdos con terceros, revisadas y documentadas.

Haga clic aquí para ver un ejemplo Declaración de confidencialidad.
A.14 Adquisición, desarrollo y mantenimiento de sistemas de información

Los requisitos de seguridad deben formar parte de la evaluación de nuevos sistemas de información, así como cualquier cambio planeado en los sistemas que ya existen. 


Las redes públicas deben ser consideradas inseguras y deben establecerse controles adecuados para proteger la información cuando se transfiere a través de dichas redes públicas. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro

Las redes públicas deben ser consideradas inseguras y deben existir controles adecuados para proteger la información cuando se transfiere información a través de ellas. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

El software y los sistemas deben incorporar seguridad desde etapas tempranas del desarrollo, orientado por las reglas que consideren los riesgos de los sistemas. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

Deben existir procedimientos de control de cambio para reducir al mínimo los riesgos de seguridad de la información durante los cambios en los sistemas nuevos o existentes. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

Las aplicaciones críticas del negocio podrían verse afectadas negativamente por los cambios realizados en los sistemas operativos en producción, así que deberán someterse a pruebas para asegurar que siguen funcionando como se esperaba. 


Sólo cambios relevantes y críticos podrán hacerse en sistemas de información para minimizar los riesgos de transacción de sistemas.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

Los sistemas deberán incorporar seguridad desde etapas tempranas del desarrollo, impulsado por principios de ingeniería de seguridad en sus componentes y funciones. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

Entorno de desarrollo deberá protegerse de cambios y de accesos no autorizados. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro

El desarrollo externalizado de sistemas debe ser monitorizado para asegurar que los requerimientos del negocio son adecuadamente completados. 


Las pruebas de implementación de los requisitos de seguridad es crítica y deben ser realizadas para asegurar que un sistema puede alcanzar los objetivos de negocio y de seguridad. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro.

Se definirán criterios para la aceptación de los sistemas para asegurar una manera de comprobar si todas las necesidades de seguridad y negocio se cumplen. 

Haga clic aquí para ver un ejemplo Política de desarrollo seguro

Los datos de prueba deben ser seleccionados de forma que no se permita identificar datos sensibles de negocio.

Haga clic aquí para ver un ejemplo Política de desarrollo seguro
A.15 Relación con proveedores

Se debe de documentar una política para el tratamiento de los riesgos relacionados con proveedores y socios. 

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.

Todos los requisitos de seguridad más importantes se incluirán en los acuerdos con los proveedores y socios para asegurar que están comprometidos con el mismo nivel de seguridad definido por la organización. 


Los acuerdos con los proveedores deberán incluir los requisitos de seguridad para garantizar el suministro seguro de servicios. 


Los proveedores deberán controlarse regularmente y ser auditados en su caso, para cumplir con los requisitos de seguridad. 

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.

Cualquier cambio en la provisión de los servicios proporcionados por un proveedor será administrado e incluirá la evaluación de riesgos. 

Haga clic aquí para ver un ejemplo Política de seguridad de proveedores.
A.16 Gestión de incidentes de seguridad de la información

Existen procedimientos y responsabilidades para la gestión de incidentes, para asegurar una respuesta adecuada y rápida. 

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.



La divulgación de las debilidades de seguridad es una de las principales fuentes para minimizar los riesgos, por tanto deben ser reportados para proporcionar información útil. 

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

Los eventos de seguridad serán evaluados y clasificados adecuadamente. Se asignarán recursos disponibles para asegurar una pronta respuesta. 

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

Los procedimientos para respuesta a incidentes deberán documentarse para asegurar una respuesta estandarizada para los eventos de seguridad. 

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.

Los incidentes de seguridad deberán ser analizados para obtener conocimiento sobre cómo evitar que vuelva a producirse.


Deben existir procedimientos donde se establezca cómo recolectar evidencias para que estas pueden servir en un proceso legal. 

Haga clic aquí para ver un ejemplo Procedimiento de gestión de incidentes.
A.17.Aspectos de seguridad de la información para la gestión de la continuidad del negocio

Se definirán los requisitos para la continuidad de la seguridad de la información para asegurar que están apoyando el negocio incluso durante un evento de interrupción. 


Deben existir procedimientos que aseguren la continuidad de la seguridad de la información durante una crisis o desastre. Estarán disponibles para ayudar a acelerar la recuperación de las operaciones normales del negocio y para apoyar la protección de la información durante el reinicio de las operaciones. 

Haga clic aquí para ver un ejemplo Plan de continuidad de negocio.

Se deben de realizar tests y pruebas con el fin de garantizar una respuesta eficaz en un caso real. 

Haga clic aquí para ver un ejemplo Plan de prueba y verificacion.

La infraestructura IT debe estar redundada para ayudar a conseguir las expectativas de recuperación ante un escenario de desastre. 

Haga clic aquí para ver un ejemplo [link] Plan de recuperación ante desastres [link].
A.18 Cumplimiento

Todos los requisitos legales, reglamentarios, contractuales y otos requisitos relativos a seguridad deben ser enumerados y documentados para asegurar las actividades de cumplimiento. 


Deben existir procedimientos para asegurar la aplicación de los derechos de propiedad intelectual, en particular, el uso de software con licencia. 

Haga clic aquí para ver un ejemplo Política de uso aceptable.





Los controles criptográficos se utilizarán según lo estipulado en las leyes y reglamentos legales de cada pais. 

Haga clic aquí para ver un ejemplo Política sobre el uso de los controles criptográficos.

La seguridad de la información deberá ser periódicamente revisada por un auditor independiente para garantizar la idoneidad del sistema de gestión, adecuación y eficacia y para evaluar las oportunidades de mejora. 

Haga clic aquí para ver un ejemplo Procedimiento de auditoría interna.





NOTA: Para obtener todas las respuestas por correo electrónico, por favor, abra todas las secciones que estaba respondiendo.

[Los resultados se enviarán a la dirección de correo electrónico ingresada]
Antonio-Jose-Segovia-circle

Antonio Jose Segovia
Experto en ISO 27001/ISO 22301 para Latinoamérica y España

¿Tiene preguntas sobre algún paso?

Hable gratis con nuestros consultores

AGENDAR UNA CONSULTA GRATUITA

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.