Tarea 2-2

UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
AUTÓNOMA DE HONDURAS Procesos de evaluación
DEPARTAMENTO DE
INGENIERÍA EN SISTEMAS Catedrático: Ing. Rafael E. Diaz del Valle O.
III PAC 2021
Informe sobre lista de procesos que permiten la evaluación de cada uno de los controles
descritos en el estándar ISO 27002
Elaborado por:
Karen Mariela Melendes Aguilar 20151002526
Catedrático: Ing. Rafael E. Diaz del Valle O.
Lugar y fecha:
CU, Tegucigalpa, 20 de octubre de 2021
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 1 de 32
UNAH
DEPARTAMENTO DE
Índice
Introducción.................................................................................................................................. 3
Objetivos....................................................................................................................................... 4
Lista de procesos para evaluación de controles descritos en estándar ISO 27002....................................5
Variables de estudio..................................................................................................................... 33
Conclusiones............................................................................................................................... 33
Referencias.................................................................................................................................. 33
Página 2 de 32
UNAH
DEPARTAMENTO DE
Introducción
En el siguiente informe se hace un listado de los procesos que permitan la evaluación de cada
uno de los controles descritos en el estándar ISO 27002 cada uno con su código y mostrando en
síntesis cada uno con una pequeña descripción y nombre, ISO 27002 son normas internaciones
que establecen prácticas para apoyar la implantación del sistema de gestión de seguridad, que
nos ayudaran a tener un conocimiento general y mas amplio de estos procesos de seguridad que
serán de suma importancia para afrontan mejor posibles fallas de los sistemas en un futuro.
Página 3 de 32
UNAH
DEPARTAMENTO DE
Objetivos
Objetivo General
 Comprender la importancia de cada control del estándar ISO 27002
Objetivo Especifico
 Diferenciar los controles y procesos de cada uno para que se cumplan en su totalidad.
 Conocer que procesos son necesarios en cada control del estándar ISO 27002.
Página 4 de 32
UNAH
DEPARTAMENTO DE
Lista de procesos para evaluación de controles descritos en estándar ISO 27002
5. POLÍTICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información.
Operacionalización de este control:
 En la empresa se cuenta con política de información Si/ No
 En la empresa se cuenta con política de Seguridad Si/ No
 En la empresa se cuenta con política de uso Si/ No
 En la empresa se cuenta con política de respaldo Si/ No
5.1.2 Revisión de las políticas para la seguridad de la información
 En la empresa se cuenta con evaluación de política de información Si/ No
 En la empresa se cuenta con evaluación de política de Seguridad Si/ No
 En la empresa se cuenta con evaluación política de uso Si/ No
 En la empresa se cuenta con evaluación política de respaldo Si/ No
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.
Página 5 de 32
UNAH
DEPARTAMENTO DE
6.1 Organización interna.
6.1.1 Asignación de responsabilidades para la segur. de la información.
 En la empresa se cuenta con política de organización Si/No
 En la empresa se cuenta con política de trabajo en equipo Si/No
6.1.2 Segregación de tareas.
 En la empresa se cuenta con política de tiempo para realizar las tareas
Si/No
 En la empresa se cuenta con política de suplente en la asignación de tareas
Si/No
6.1.3 Contacto con las autoridades.
 En la empresa se cuenta con política de registro de información de
contacto Si/No
 En la empresa se cuenta con política de autorización para contactar a las
autoridades Si/No.
Página 6 de 32
UNAH
DEPARTAMENTO DE
6.1.4 Contacto con grupos de interés especial.
 En la empresa se cuenta con política de registro de información de
contacto de grupos externos Si/No
 En la empresa se cuenta con política de autorización para contactar a los
grupos externos. Si/No.
6.1.5 Seguridad de la información en la gestión de proyectos.
 En la empresa se cuenta con política de seguridad controlada por niveles
de acceso a la información para la gestión de proyectos Si/No
 En la empresa se cuenta con política de confidencialidad de la información
relacionada a la gestión del proyecto. Si/No.
6.2 Dispositivos para movilidad y teletrabajo.
6.2.1 Política de uso de dispositivos para movilidad.
 En la empresa se cuenta con política de seguridad por claves de
autentificación para cada dispositivo móvil. Si/No
 En la empresa se cuenta con política de respaldo de la de la información
Página 7 de 32
UNAH
DEPARTAMENTO DE
de los dispositivos móviles en caso de hurto o perdida. Si/No.
6.2.2 Teletrabajo.
 En la empresa se cuenta con política de uso del hardware fuera de las
instalaciones. Si/No
 En la empresa se cuenta con política de uso de otras redes de conexión a
internet ajenas a las instalaciones Si/No.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
7.1 Antes de la contratación.
7.1.1 Investigación de antecedentes.
 En la empresa se cuenta con política uso de hoja de antecedentes penales
al momento de presentar el curriculum. Si/ No
 En la empresa se cuenta con política de confidencialidad de la información
referente a los antecedentes de cada empleado Si/ No.
7.1.2 Términos y condiciones de contratación.
Página 8 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de uso de contratos detallado según el
empleo cada vacante. Si/ No
 En la empresa se cuenta con política de información respecto a los
términos que se establecen en el contrato de empleo. Si/ No
7.2 Durante la contratación.
7.2.1 Responsabilidades de gestión.
 En la empresa se cuenta con política de gestión de horarios de trabajo
establecidos en el contrato con previo aviso de que sean flexibles a
cambios. Si/ No
 En la empresa se cuenta con política de gestión de hora de entrada y salida
del empleado. Si/ No
7.2.2 Concienciación, educación y capacitación en segur. de la informac.
 En la empresa se cuenta con política de capacitación inicial al momento de
empezar a desempeñarse en un determinado puesto de trabajo Si/ No
 En la empresa se cuenta con política de formación continua en nuevas
tecnologías. Si/ No
Página 9 de 32
UNAH
DEPARTAMENTO DE
7.2.3 Proceso disciplinario.
 En la empresa se cuenta con política de información de reglamento interno
y externo de la organización. Si/ No
 En la empresa se cuenta con política de sanciones al infringir el
reglamento. Si/ No
7.3 Cese o cambio de puesto de trabajo.
7.3.1 Cese o cambio de puesto de trabajo.
 En la empresa se cuenta con política de suspensión de contrato al terminar
un cargo o ser despedido de este. Si/ No
 En la empresa se cuenta con política de actualización de contrato al
cambiar de puesto de trabajo. Si/ No
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
Página 10 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de información de activos disponibles
para uso inmediato. Si/ No.
 En la empresa se cuenta con política de revisión de activos cada
determinado tiempo. Si/ No.
8.1.2 Propiedad de los activos.
 En la empresa se cuenta con política de información sobre la adquisición
de nuevos activos. Si/ No.
 En la empresa se cuenta con política de información sobre la venta de
activos. Si/ No.
8.1.3 Uso aceptable de los activos.
 En la empresa se cuenta con política de uso de activos para una actividad
concreta relacionada a la organización. Si/ No.
 En la empresa se cuenta con política de supervisión del buen uso de los
activos disponibles. Si/ No.
8.1.4 Devolución de activos.
Página 11 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de rembolso por activos devueltos.
Si/ No.
 En la empresa se cuenta con política de inspección de activos en los que se
considera aplicar una devolución. Si/ No.
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación.
 En la empresa se cuenta con política de información sobre los roles de
cada empleado en el sistema de información. Si/ No.
 En la empresa se cuenta con política de actualización constante de la
información disponible al usuario y empleados. Si/ No.
8.2.2 Etiquetado y manipulado de la información.
 En la empresa se cuenta con política de clasificación de la información
según su nivel de confidencialidad. Si/ No.
 En la empresa se cuenta con política de solicitud por parte del empleado a
Página 12 de 32
UNAH
DEPARTAMENTO DE
información confidencial si este la necesita para completar sus tareas. Si/
No.
8.2.3 Manipulación de activos.
 En la empresa se cuenta con política de solicitud de activos en caso de ser
necesario. Si/ No.
 En la empresa se cuenta con política de protección al brindar activos
importantes a un empleado. Si/ No.
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles.
 En la empresa se cuenta con política de seguridad al ingresar solo soportes
extraíbles autorizados por la organización. Si/ No.
 En la empresa se cuenta con política de seguridad al mantener libre de
malware los soportes extraíbles. Si/ No.
8.3.2 Eliminación de soportes.
 En la empresa se cuenta con política de seguridad al eliminar la
Página 13 de 32
UNAH
DEPARTAMENTO DE
información en los soportes que serán descartados. Si/ No.
 En la empresa se cuenta con política de inspección del contenido de
soportes eliminados para evitar que se filtre información confidencial. Si/
No.
8.3.3 Soportes físicos en tránsito.
 En la empresa se cuenta con política de mantenimiento de los soportes
físicos de la organización. Si/ No.
 En la empresa se cuenta con política de seguridad de acceso a los soportes
físicos en tránsito. Si/ No.
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
 En la empresa se cuenta con política de seguridad con debida
identificación del empleado para poder consultar información disponible
según su rol. Si/ No.
Página 14 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad al no permitir sacar
información fuera de las instalaciones. Si/ No.
9.1.2 Control de acceso a las redes y servicios asociados.
 En la empresa se cuenta con política de seguridad de las redes internas y
externas de la organización mediante claves solo conocidas por los
empleados. Si/ No.
 En la empresa se cuenta con política de registro sobre las actividades que
realizan los empleados al acceder a la red. Si/ No.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
 En la empresa se cuenta con política de inspección de los usuarios más
activos. Si/ No.
 En la empresa se cuenta con política de eliminación de los usuarios con
cero actividad. Si/ No.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
Página 15 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad estableciendo un límite
de tiempo para que un usuario esté conectado al sistema. Si/ No.
 En la empresa se cuenta con política de información a la que el usuario
tiene permitido visualizar según su nivel de acceso. Si/ No.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
 En la empresa se cuenta con política de información sobre usuarios con
privilegios especiales. Si/ No.
 En la empresa se cuenta con política de registro cada vez que un usuario
con privilegios especiales accede al sistema. Si/ No.
9.2.4 Gestión de información confidencial de autenticación de usuarios.
 En la empresa se cuenta con política de seguridad al tener credenciales
especiales para acceder a información confidencial. Si/ No.
 En la empresa se cuenta con política de uso de la información confidencial
solo dentro de las instalaciones. Si/ No.
9.2.5 Revisión de los derechos de acceso de los usuarios.
Página 16 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de supervisión constante a los niveles
de acceso que tienen permitidos los usuarios. Si/ No.
 En la empresa se cuenta con política de inspección en la cantidad de
derechos de acceso que tiene cada usuario. Si/ No.
9.2.6 Retirada o adaptación de los derechos de acceso
 En la empresa se cuenta con política de seguridad al eliminar los derechos
de acceso a los usuarios que infringen las normas de la organización. Si/
No.
 En la empresa se cuenta con política de actualización de los niveles de
acceso de un determinado usuario al ser este promovido a un ascenso. Si/
No.
9.3 Responsabilidades del usuario.
9.3.1 Uso de información confidencial para la autenticación.
 En la empresa se cuenta con política de uso de la información confidencial
para autentificar el nivel de acceso que posee el usuario. Si/ No.
Página 17 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad de información
confidencial que solo manejan usuarios con privilegios especiales. Si/ No.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
 En la empresa se cuenta con política de seguridad al limitar la información
que puede ver un usuario según su nivel de acceso. Si/ No.
 En la empresa se cuenta con política de bloqueo a usuarios que intentan
acceder a información a la cual su nivel de acceso no les permite
visualizar. Si/ No.
9.4.2 Procedimientos seguros de inicio de sesión.
 En la empresa se cuenta con política de seguridad al emplear la
autentificación de dos pasos. Si/ No.
 En la empresa se cuenta con política de seguridad al reconocer un inicio
de sesión desde un equipo no autorizado. Si/ No.
9.4.3 Gestión de contraseñas de usuario.
Página 18 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad al crear contraseñas que
sean complejas. Si/ No.
 En la empresa se cuenta con política de seguridad al cambiar las
contraseñas cada determinado tiempo. Si/ No.
9.4.4 Uso de herramientas de administración de sistemas.
 En la empresa se cuenta con política de uso de herramientas autorizadas
para facilitar la administración del sistema. Si/ No.
 En la empresa se cuenta con política de capacitación en el uso de las
herramientas autorizadas para administrar el sistema. Si/ No.
9.4.5 Control de acceso al código fuente de los programas.
 En la empresa se cuenta con política de confidencialidad al permitir que
solo ciertos usuarios con privilegios especiales puedan visualizar el código
fuente. Si/ No.
 En la empresa se cuenta con política de confidencialidad al permitir que
solo ciertos usuarios con privilegios especiales puedan modificar el código
fuente. Si/ No.
Página 19 de 32
UNAH
DEPARTAMENTO DE
10. CIFRADO.
10.1 Controles criptográficos.
10.1.1 Política de uso de los controles criptográficos.
 En la empresa se cuenta con política de seguridad de cifrado de
información confidencial. Si/ No.
 En la empresa se cuenta con política de información cifrada accesible solo
a usuarios con permisos especiales y herramientas para descifrarla. Si/ No.
10.1.2 Gestión de claves.
 En la empresa se cuenta con política de seguridad al brindar una clave
única a cada usuario del sistema. Si/ No.
 En la empresa se cuenta con política de uso de claves que se actualizan
constantemente. Si/ No.
11. SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
Página 20 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad al laborar en un
ambiente libre de personas y objetos que puedan causar un daño físico a
los empleados. Si/ No.
 En la empresa se cuenta con política de seguridad al brindar protección a
los equipos utilizados en el trabajo. Si/ No.
11.1.2 Controles físicos de entrada.
 En la empresa se cuenta con política de seguridad al utilizar tarjetas de
acceso para las respectivas áreas de la organización. Si/ No.
 En la empresa se cuenta con política de uso de autentificación biométrica
para registrar que un empleado asiste y cumple su jornada laboral. Si/ No.
11.1.3 Seguridad de oficinas, despachos y recursos.
 En la empresa se cuenta con política de uso de etiquetas en cada oficina
para diferenciarlas y evitar confusiones entre empleados. Si/ No.
 En la empresa se cuenta con política de uso de recursos como cerraduras
eléctricas para evitar el acceso a áreas restringidas. Si/ No.
Página 21 de 32
UNAH
DEPARTAMENTO DE
11.1.4 Protección contra las amenazas externas y ambientales.
 En la empresa se cuenta con política de precaución ante desastres
naturales. Si/ No.
 En la empresa se cuenta con política de precaución ante daños causados
por accidentes en el que se involucre el factor humano. Si/ No.
11.1.5 El trabajo en áreas seguras.
 En la empresa se cuenta con política de uso de espacios debidamente
adecuados para evitar incidentes. Si/ No.
 En la empresa se cuenta con política de bioseguridad al momento de
ingresar a las áreas de trabajo. Si/ No.
11.1.6 Áreas de acceso público, carga y descarga.
 En la empresa se cuenta con política de bioseguridad en las áreas de
acceso público con el fin de evitar la aglomeración de personas. Si/ No.
 En la empresa se cuenta con política de uso en tiempo establecido de las
áreas de carga y descarga. Si/ No.
Página 22 de 32
UNAH
DEPARTAMENTO DE
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.
En la empresa se cuenta con política de seguridad de hardware. Si/ No.
En la empresa se cuenta con política de uso adecuado de hardware para las tareas
que está destinado. Si/ No.
11.2.2 Instalaciones de suministro.
 En la empresa se cuenta con política de implementación de un suministro
alterno en caso de fallo del suministro principal. Si/ No.
 En la empresa se cuenta con política de mantenimiento del suministro. Si/
No.
11.2.3 Seguridad del cableado.
 En la empresa se cuenta con política de mantenimiento constante del
cableado. Si/ No.
 En la empresa se cuenta con política de seguridad al seguir las normas
correspondientes para la instalación del cableado nuevo o reparación del
Página 23 de 32
UNAH
DEPARTAMENTO DE
existente. Si/ No.
11.2.4 Mantenimiento de los equipos.
 En la empresa se cuenta con política de mantenimiento constante de los
equipos. Si/ No.
 En la empresa se cuenta con política de uso de etiquetas para aquellos
equipos que necesitan mantenimiento o reparación. Si/ No.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
 En la empresa se cuenta con política de supervisión de activos fuera de las
dependencias de la empresa. Si/ No.
 En la empresa se cuenta con política de suspensión de activos en caso de
uso no adecuado fuera de la empresa. Si/ No.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
 En la empresa se cuenta con política de supervisión de activos fuera de las
instalaciones de la empresa. Si/ No.
Página 24 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de suspensión de uso de equipo y
activos en caso de uso no adecuado fuera de la empresa. Si/ No.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
 En la empresa se cuenta con política de uso de dispositivos de
almacenamiento previamente reparados y certificados para reutilización.
Si/ No.
 En la empresa se cuenta con política de seguridad al suspender el uso de
un dispositivo de almacenamiento en mal estado. Si/ No.
11.2.8 Equipo informático de usuario desatendido.
 En la empresa se cuenta con política de seguridad al sancionar a los
empleados que dejan el equipo desatendido y con una sesión activa. Si/
No.
 En la empresa se cuenta con política de seguridad al programar un bloqueo
automático en los equipos que no están en uso después de un tiempo
determinado. Si/ No.
Página 25 de 32
UNAH
DEPARTAMENTO DE
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla.
 En la empresa se cuenta con política de seguridad al programar un bloqueo
de pantalla automático en los equipos que no están en uso después de un
tiempo determinado. Si/ No.
 En la empresa se cuenta con política de seguridad al sancionar a los
empleados que dejan el puesto de trabajo despejado y con una sesión
activa en su equipo. Si/ No.
12. SEGURIDAD EN LA OPERATIVA.
12.1 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación.
 En la empresa se cuenta con política de inspección de documentación
antes de realizar una operación. Si/ No.
 En la empresa se cuenta con política de sellar la documentación después
de realizar la operación. Si/ No.
12.1.2 Gestión de cambios.
Página 26 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de documentar cualquier cambio
realizado por el empleado. Si/ No.
 En la empresa se cuenta con política de registrar el nombre de los
empleados que realicen un cambio. Si/ No.
12.1.3 Gestión de capacidades.
 En la empresa se cuenta con política de evaluar continuamente las
capacidades de los empleados en las tecnologías utilizadas. Si/ No.
 En la empresa se cuenta con política de desarrollar las capacidades de los
empleados con el uso de capacitaciones interactivas. Si/ No.
12.1.4 Separación de entornos de desarrollo, prueba y producción.
 En la empresa se cuenta con política de uso de equipos de trabajo para
separar los entornos y asignar a cada equipo los procesos que conlleva
cada uno. Si/ No.
 En la empresa se cuenta con política de uso de una clasificación de los
entornos con el fin de mejorar la eficacia y eficiencia del ciclo de
desarrollo. Si/ No.
Página 27 de 32
UNAH
DEPARTAMENTO DE
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso.
 En la empresa se cuenta con política de uso de antivirus para la detección
de malware. Si/ No.
 En la empresa se cuenta con política de actualización de las distintas
herramientas de protección entre ellas el antivirus. Si/ No.
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la información.
 En la empresa se cuenta con política de uso de respaldos de la información
en la nube. Si/ No.
 En la empresa se cuenta con política de uso de respaldos para mantener la
información integral en caso de un fallo en el sistema. Si/ No.
12.4 Registro de actividad y supervisión.
12.4.1 Registro y gestión de eventos de actividad.
Página 28 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de registro de eventos en el sistema.
Si/ No.
 En la empresa se cuenta con política de inspección de actividad en el
sistema. Si/ No.
12.4.2 Protección de los registros de información.
 En la empresa se cuenta con política de respaldo de los registros de
información. Si/ No.
12.4.3 Registros de actividad del administrador y operador del sistema.
 En la empresa se cuenta con política de registro de los cambios efectuados
por el administrador y operador del sistema. Si/ No.
12.4.4 Sincronización de relojes.
 En la empresa se cuenta con política de configuración en los relojes de
cada equipo para que todos estén coordinados y evitar malentendidos. Si/
No.
Página 29 de 32
UNAH
DEPARTAMENTO DE
12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en producción.
 En la empresa se cuenta con política de uso de software especializado para
los sistemas de producción. Si/ No.
 En la empresa se cuenta con política de actualización del software
previamente instalado. Si/ No.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
 En la empresa se cuenta con política de detección de vulnerabilidades
técnicas haciendo ataques en un entorno controlado. Si/ No.
 En la empresa se cuenta con política de seguridad al corregir las
vulnerabilidades detectadas lo más pronto posible. Si/ No.
12.6.2 Restricciones en la instalación de software.
 En la empresa se cuenta con política de seguridad el prohibir la instalación
de software no autorizado. Si/ No.
Página 30 de 32
UNAH
DEPARTAMENTO DE
 En la empresa se cuenta con política de seguridad al inspeccionar que los
equipos solo contengan el software autorizado. Si/ No.
12.7 Consideraciones de las auditorías de los sistemas de información.
12.7.1 Controles de auditoría de los sistemas de información.
En la empresa se cuenta con política de uso de herramientas especializadas para
realizar auditorías informáticas de los sistemas. Si/ No.
Variables de estudio
• Estándares ISO 27002
Página 31 de 32
UNAH
DEPARTAMENTO DE
Conclusiones
 ISO 27002 nos brinda 114 controles de seguridad para que nuestros sistemas de gestión
de seguridad de la información estén libres de riesgo.
 Para que cada control se cumpla en su totalidad es necesario que cada uno de sus
procesos se lleve a cabo sin contratiempos.
Referencias
 ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114
CONTROLES.
Página 32 de 32

Tarea 2-2

Cargado por

Copyright:

Formatos disponibles

Tarea 2-2

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tarea 2-2

Cargado por

Copyright:

Formatos disponibles

UNAH

IS-811 Seguridad Informática

III PAC 2021

descritos en el estándar ISO 27002

Karen Mariela Melendes Aguilar 20151002526

Catedrático: Ing. Rafael E. Diaz del Valle O.

CU, Tegucigalpa, 20 de octubre de 2021

Lista de procesos para evaluación de controles descritos en estándar ISO 27002

5.1 Directrices de la Dirección en seguridad de la información.

5.1.1 Conjunto de políticas para la seguridad de la información.

Operacionalización de este control:

 En la empresa se cuenta con política de información Si/ No

 En la empresa se cuenta con política de Seguridad Si/ No

 En la empresa se cuenta con política de uso Si/ No

 En la empresa se cuenta con política de respaldo Si/ No

5.1.2 Revisión de las políticas para la seguridad de la información

Operacionalización de este control:

 En la empresa se cuenta con evaluación de política de información Si/ No

 En la empresa se cuenta con evaluación de política de Seguridad Si/ No

 En la empresa se cuenta con evaluación política de uso Si/ No

 En la empresa se cuenta con evaluación política de respaldo Si/ No

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.

6.1 Organización interna.

6.1.1 Asignación de responsabilidades para la segur. de la información.

Operacionalización de este control:

 En la empresa se cuenta con política de organización Si/No

 En la empresa se cuenta con política de trabajo en equipo Si/No

6.1.2 Segregación de tareas.

Operacionalización de este control:

 En la empresa se cuenta con política de tiempo para realizar las tareas

 En la empresa se cuenta con política de suplente en la asignación de tareas

6.1.3 Contacto con las autoridades.

Operacionalización de este control:

 En la empresa se cuenta con política de registro de información de

 En la empresa se cuenta con política de autorización para contactar a las

6.1.4 Contacto con grupos de interés especial.

Operacionalización de este control:

 En la empresa se cuenta con política de registro de información de

contacto de grupos externos Si/No

 En la empresa se cuenta con política de autorización para contactar a los

grupos externos. Si/No.

6.1.5 Seguridad de la información en la gestión de proyectos.

Operacionalización de este control:

 En la empresa se cuenta con política de seguridad controlada por niveles

de acceso a la información para la gestión de proyectos Si/No

 En la empresa se cuenta con política de confidencialidad de la información

relacionada a la gestión del proyecto. Si/No.

6.2 Dispositivos para movilidad y teletrabajo.

6.2.1 Política de uso de dispositivos para movilidad.

Operacionalización de este control:

 En la empresa se cuenta con política de seguridad por claves de

autentificación para cada dispositivo móvil. Si/No

 En la empresa se cuenta con política de respaldo de la de la información

de los dispositivos móviles en caso de hurto o perdida. Si/No.

Operacionalización de este control:

 En la empresa se cuenta con política de uso del hardware fuera de las

 En la empresa se cuenta con política de uso de otras redes de conexión a

internet ajenas a las instalaciones Si/No.

7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.