matriz ivan

8/17/2019 Matriz Ivan

1/20

Clausula Dominio6.1

6,1,1

6,1,2

6,1,3

6,1,4

6,1,5

6 Organización de laseguridad de la

inormación.


2/20

6.2

6,2,1

6,2,2

!.1

!,1,1

!,1,2

!,1,3

!,1,4

!.2

!,2,1!. "#$%&'( D# )C%&*O$.


3/20

!,2,2

!,2,3

!.3

!,3,1

!,3,2

!,3,3

+.1

+,1,1

+,1,2

+.2


4/20

+,2,1

+,2,2

+,2,3

+,2,4

+,2,5

+,2,6

+.3

+,3,1

+.4

+. CO(%O- D# )CC#$O$.


5/20

+,4,1

+,4,2

+,4,3

+,4,4

+,4,5


6/20

RL

OC

Técnico, organizacional o normativo RN/MP

RAR

Controles iso 27001:2005

Control O/etio del controlOrganización interna

$egregación de tareas.

Contacto con las autoridades.

$eguridad de la inormación en la gestión de roectos.

Control )ctual

)signación de resonsa/ilidades ara la seguridad de lainormación.


7/20

Disositios ara moilidad teletra/ao.

oltica de uso de disositios ara moilidad. %eletra/ao. esonsa/ilidad so/re los actios.

&nentario de actios.

roiedad de los actios.

so aceta/le de los actios.

Deolución de actios.

Clasiicación de la inormación.

Directrices de clasiicación.


8/20

#ti8uetado maniulado de la inormación.

9aniulación de actios.

9aneo de los soortes de almacenamiento.

"estión de soortes etra/les.

#liminación de soortes.

$oortes sicos en trnsito.

e8uisitos de negocio ara el control de accesos.

oltica de control de accesos.

Control de acceso a las redes sericios asociados. "estión de acceso de usuario.


9/20

"estión de altas/aas en el registro de usuarios.

"estión de los derec;os de acceso asignados a usuarios.

"estión de los derec;os de acceso con riilegios eseciales.

"estión de inormación conidencial de autenticación de usuarios.

eisión de los derec;os de acceso de los usuarios.

etirada o adatación de los derec;os de acceso

esonsa/ilidades del usuario. so de inormación conidencial ara la autenticación.

Control de acceso a sistemas alicaciones.


10/20

estricción del acceso a la inormación.

rocedimientos seguros de inicio de sesión.

"estión de contrase


11/20

Requerimientos Legales

Obligaciones Contractuales

Requerimientos del Negocio/Meores Practicas

Resultado de Analisis de Riesgo

- OC (9 )N O T

la tarea solo la realiza la secretaria general

(unca se ;a tenido la necesidad de contar con la autoridad

Comentarios o ustiicacion de eclusionControles seleccionados razones de

la seleccion

se ustiica ues solo esta en el contrato la/oral mas no estadocumentado lo 8ue genera 8ue la inormacion este disoni/leara arias ersonas del area de seleccion

oca relacion con gruos de seguridad esecializados en eltema a tratar

-a seguridad de la inormación se dirigir en la gestión deroectos,indeendientemente del tio de roecto.


12/20

se cuenta con la olitica de control

se cuenta con los mecanismos de control

se identiican los actios de la emresa

no se identiica la arte roietaria.

$e garantiza la seguridad en el uso de disositios móiles. elteletra/ao no se a imlementado

la /ase de datos, or no ser isica no estar certiicadagu/ernamentalmente no se tiene como actio

#s imortante 8ue se esta/lezca una norma ara el uso de la

inormacion actios asociados a la misma

#iste la lee osi/ilidad 8ue los desarrolladores se lleeninormacion 8ue no les corresonde

-a clasiicacion de esa inormacion no se esta ;aciendodetallada, lo 8ue no ermite ;acer un /uen seguimiento.

actualmente no se esta dando imortancia a inormacion degran alor ara la emresa, lo 8ue odria ocasionar ineicienciaen la /us8ueda.


13/20

se de/e controlar el acceso a la inormación.

alta imlementar el tema am/iental

#sta controlado ero de/e eriicarse constantemente

$e tienen en cuenta las %a/las deetención Documental aro/adas ara las dierentes reas.

$e eidencia oca caacitacion, or eso es necesario socializarla inormacion aro/ada or la emresa.

$e de/e asegurar los soortes la inormación en trnsito nosolo sico sino electrónico =a tra>s de las redes?. comotam/ien cirar todos los datos sensi/les o aliosos antes de sertransortados.

es necesario imlementar rocedimientos ara la gestión demedios remoi/les, de acuerdo con el es8uema de clasiicaciónadotado or la organización.

$e esta ;aciendo un /orrado normal, lo 8ue no garantiza laeliminacion deinitia.

-os medios 8ue contienen inormación actualmente no estanrotegidos contra el acceso no autorizado, el uso inadecuado ola corrución durante el transorte ms all de los lmitessicos de la organización

alta deinir la matriz de usuarios las autorizaciones deacceso.


14/20

@

si no se autentica no odra acceder

#itar el acceso no autorizado a sistemas alicaciones

$e llear a ca/o un roceso ormal de registro anulación deusuario ara ermitir la asignación de derec;os de acceso.

#l acceso a la inormación de la emresa, es otorgado sólo asuarios autorizados, /asados en lo 8ue es re8uerido ararealizar las tareasrelacionadas con su resonsa/ilidad o tio de sericio en razónde sus unciones, con los riilegios aroiados or un tiemolimitado. $im em/argo se nota ausencia de monitorizacion.

$i /ien se ;a aanzado en este unto se de/e aclarar el uso delas claes de usuarios de tio roor, adm sstem

-a asignación de la inormación secreta de autenticación secontrolaa tra>s de un roceso de gestión dada or arte de losresonsa/les, ero se nota alta de actualizacion.

Cual8uier desiación ser tratada como un incidente enseguridad de la inormación de/e dear trazas del eercicio de>sta actiidad, las 8ue sern o/eto de reision.

-os derec;os de acceso de todos los emleados de usuarioseternos a la inormación a las instalaciones derocesamiento de inormación se de/en retirar al terminar suemleo, contrato o acuerdo, o se de/en austar cuando se;agan cam/ios.

$e de/era re8uerir a los usuarios 8ue sigan las rcticas de laorganización en el uso de la inormación secreta deautenticación.


15/20

#l acceso a la inormación estar restringido de conormidadcon la oltica de Control de acceso.

#l acceso a los sistemas oeratios se de/e controlar medianteun rocedimiento de registro de inicio seguro.

-os sistemas de gestión de contrase


16/20

)lica =$&(O? Comentarios de imlementacion

si

si

si

si

si

$e de/en deinir asignar todas las resonsa/ilidades dela seguridad de la inormación. -egalmente la emresa de/e tener deinidas lasunciones resonsa/ilidades

-os de/eres reas de resonsa/ilidad en conlicto sede/en searar ara reducir las osi/ilidades de modiicación noautorizada o no intencional, o el uso inde/ido de los actios de laorganización.

$e de/en mantener los contactos aroiados con lasautoridades ertinentes.

$e mantendrn los contactos aroiados con los gruos de inter>sesecial =olica, Aom/eros, Deensa Ciil, emresas dedicadas a la misma actiidad?u otros oros de seguridadesecializados asociaciones roesionales ara 8ue uedan ser contactados de manera oortuna en el caso de 8ue se resente unincidente de seguridad de la inormación. $e de/e concientizar, ormación caacitación en seguridad de la inormación.

De/e cumlir la legislación so/re rotección de satos sensi/les, cumliendo lasolticas 8ue ;a generado la entidad de la manera ms idónea utilizando los mediost>cnicos ara asegurar la inormación.


17/20

no $e garantiza la seguridad en el teletra/ao en el uso de disositios móiles.

no

no

si

si

si

si

si

si

si

(o se deinen claramente las resonsa/ilidadesde rotección adecuados

-os actios relacionados con la inormación las instalaciones derocesamiento de inormación de/en ser identiicados dentro del inentario de actiosde la emresa. %odos los actios de/en estar claramente identiicados se de/enela/orar mantener un inentario de todos los actios imortantes

$e de/en identiicar, documentar e imlementar las reglas so/re eluso aceta/le de la inormación de los actios asociados con lossericios de rocesamiento de la inormaciónz

$e de/en identiicar, documentar e imlementar las reglas so/re eluso aceta/le de la inormación de los actios asociados con los

sericios de rocesamiento de la inormación, tam/ien ;acersen cumlir esas reglas deorma o/ligatoria or sus resonsa/les.

%odos los emleados, contratistas o usuariosde terceras artes de/en deoler todos losactios ertenecientes a la organización 8ueest>n en su oder al inalizar su contrataciónla/oral, contrato o acuerdo.

-a inormación se de/era clasiicar en unción de losre8uisitos legales, alor, criticidad susceti/ilidad a diulgación o a

modiicación no autorizada.

-a inormación se de/e clasiicar en t>rminos de su alor, de losre8uisitos legales, de la sensi/ilidad la imortancia ara laorganización.


18/20

si

si

si

si

si

si

si -imitar el acceso a los recursos de tratamiento de inormación a la inormación.

si

si eitar el acceso no autorizado a sericios en red.

si

$e de/e desarrollar e imlementar un conunto de rocedimientosadecuados ara el eti8uetado el maneo de la inormación deacuerdo al es8uema de clasiicación adotado or la organización

$e alicaran rocedimientos ara el maneo de los actios de

conormidad con el es8uema de clasiicación de la inormación aro/ada or laemresa.

#itar la diulgación no autorizada, modiicación, eliminacióno destrucción de la inormación almacenada en los medios decomunicación. $e de/en esta/lecer los rocedimientos oeratios adecuados araroteger los documentos, medios inormticos =discos, cintas, etc.?, datos de entrada osalida documentación del sistema contra la diulgación, modiicación, retirada odestrucción de actios no autorizadas.

-a gestión de medios etra/les se realizar de acuerdo con el es8uema de

clasiicación adotado or la entidad. -os e8uios de cómuto 8ue tienen autorizado elmaneo de $A unidades reroductoras de CDD*D, de/en cumlir los siguientesre8uisitos. B %ener ;a/ilitado el escaneo automtico de irus

B %ener conigurada en la ;erramienta de antiirus institucional, el /lo8ueo dela reroducción automtica de arc;ios eecuta/les

Cuando a no se re8uieran estos medios, su eliminación se de/e ;acer de ormasegura sin riesgo, utilizando los rocedimientos ormales.

-os medios 8ue contienen inormación de/en estar rotegidos contrael acceso no autorizado, mal uso o corrución durante el transorte.$e de/e imlementar la utilización de rotocolos de seguridad arala encritación de las claes ms soisticados.

$e de/e esta/lecer, documentar reisar la oltica de control de acceso con /ase enlos re8uisitos del negocio de la seguridad ara el acceso

)segurar el acceso de los usuarios autorizados ara eitar el ingreso no ermitido a lossistemas sericios.


19/20

si

si $e de/e crear una oltica clara de derec;os de acceso a los usuarios

si

si

si

si

si acer 8ue los usuarios resonsa/les de salaguardar su inormación se autenti8uen.

si

si

con las olticas de la entidad se delimita de manera ormal el acceso uso de lastecnologas la inormación de los usuarios, garantizando 8ue estos accesos sean losermitidos or medio de las medidas t>cnicas.

$e de/e imlantar un rocedimiento ormalde registro retirada de usuarios 8ue ;aga osi/le la asignación de los derec;os deacceso. -a eliminación de un identiicador de usuario de/e ser realizada

inmediatamente ;aa inalizado su relación contractual del usuario conO")9$O% $)$.

-a asignación el uso de riilegios de acceso de/era estar restringida controlada.se de/en generar las olticas los roles de acceso a cada usuario

-a asignación de la inormación secreta se de/era controlar or medio de un roceso de gestión ormal se de/e actualizar contumuamente.

se de/en generar las olticas de acceso los cuales de/en ermitir reisar los derec;osde acceso de usuario a interalos regulares incluendo medios tecnicos 8ue garanticen8ue se cumlan.

or medios t>cnicos se ;a/ilitan o des;a/ilitan los accesos su roles de accesi/ilidadal tratamiento de la inormación

$e de/era eigir a los usuarios 8ue cumlan las rcticas de la organización ara eluso de inormación de autenticación secreta

#itar el acceso no autorizado a sistemas alicaciones, controlando dic;os accesosmediante mecanismos de tecnologia 8ue ermitan deanr trazas 8ue ermitan ;acerseguimiento a los accesos allidos.


20/20

si

si

si

si

si

$e de/e restringir el acceso a la inormación a las unciones del sistema de alicaciónor arte de los usuarios del ersonal de soorte, de acuerdo con la oltica deinidade control de acceso.

#l acceso a los sericios de inormación sólo ser osi/le a tra>s deun roceso de coneión seguro.

-os sistemas de gestión de contrase

matriz ivan

Documents