Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EMPRESA: TECHNISUPPORT
ELABORADO
Liliana Corrales Rhenals
POR:
REQUISITO DETALLE
A.6.2.2. Teletrabajo
A.7.1.1. Selección
A.7.1.2. Términos y condiciones del empleo
Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus respo
SITUACIÓN ACTUAL
FORMACIÓN
gestión de la seguridad de la información
pate de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y
MANOS
tratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.
l de acceso.
instalaciones de procesamiento de información.
La organización no cuenta con política de acceso
cada empleados tiene su usuario y contraseña
para acceso a los computadores físicos y virtuales
El acceso físico se aplica según los controles del
edificio y a través de acceso biométrico a las
instalaciones
icaciones
stemas y aplicaciones.
La organización tiene los roles definidos para el
acceso a la información en los servidores virtuales
y a las funciones de los sistemas de las
aplicaciones, con permisos definidos, según la
instancia
no aplica
S
esponsabilidades
s y seguras de las instalaciones de procesamiento de información
cia.
sistemas operacionales
En los computadores del personal el responsable
puede instalar el software requerido
En los computadores de la empresa según la
necesidad, no se cuentan con procedimiento
documentado para el control de la instalación de
software en sistema operativos
ca
s vulnerabilidades técnicas
La organización dispone del Servicio fail2ban,
identifica los intentos de afectación , los bloquea,
proporcionado por un servicio antes de la
instalación en AWS -
LARAVEL FORGE servicio contratado con un
tercero
de sistemas de información.
ades de auditoría sobre los sistemas operativos
La organización dispone de servicio de auditoria
inmerso en el producto, de cara al cliente,
desarrollo propio en las instancias del cliente,
Log de auditoria automático desde el aplicativo.
Se dispone de acuerdo de nivel de servicios con
Amazon, monitoreo de los servicios con las
mismas herramientas proporcionadas por el
proveedor
ONES
des.
ación en las redes y sus instalaciones de procesamiento de información de soporte.
La organización no dispone de controles a la red,
abierta completamente, para acceso y navegación,
al disponer de computadores personales
red de internet
red de la empresa,
control de los servidores cloud - Administradores
no se tiene documentado los mecanismo de
seguridad de los servicios de red
servicios contratados externamente: servidores
cloud AWS, proveedor de WhatsApp negocio,
mensajes de texto, servicios de internet, proveedor
de celulares
NTENIMIENTO DE SISTEMAS
stemas de información.
ormación sea una parte integral de los sistemas de información durante todo el ciclo de vida. Esto incluye también lo
prestan servicios sobre redes públicas.
La organización cuenta con Acuerdo de nivel de
servicios con AMAZON
La transmisión de la información se hace de
manera cifrada certificado de transmisión cifrada
SSL
arrollo y de soporte
ormación esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información
no aplica
ios de proveedores
de prestación del servicio en línea con los acuerdos con los proveedores
URIDAD DE LA INFORMACIÓN
n la seguridad de la información
eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de segur
s y contractuales
gaciones legales, estatutarias de reglamentación o contractuales relacionadas con seguridad de la información y de
NO
AP PARCIA
RECOMENDACIONES COMPLETO
LIC L
A
0%
0 0
ción de acuerdo con los requisitos del negocio y con las leyes y
15%
0 3
n y la operación de la seguridad de la información dentro de la
0 0
0 0
14%
0 2
ropiadas
Revisar todos los equipos incluidos en el inventario.
0 0
0 1
7%
0 0
Diseñar política de control de acceso con base en los
requisitos del negocio y de seguridad de la información,
servidores virtuales e instalaciones físicas y limitar los
espacios de procesamiento de la información.
0 1
mas y servicios
0%
0 0
la autenticidad y/o la integridad de la información
14%
0 2
as instalaciones de procesamiento de información de la organización.
20%
0 2
e información
0 0
estén protegidas contra códigos maliciosos
Implementar controles de detección, de prevención y de
recuperación y fortalecer la toma de conciencia apropiada
de los usuarios, para proteger contra códigos maliciosos.
0 0
0 3
0 0
Definir el procedimiento para controlar la instalación de
software en sistemas operativos.
0 1
0 1
27%
0 1
iento de información de soporte.
0 8
ciclo de vida de desarrollo de los sistemas de información
0 1
0 2
s con los proveedores
14%
0 2
la información, incluida la comunicación sobre eventos de seguridad
10%
0 2
0 0
s políticas y procedimientos organizacionales.
Definir los objetivos de control, los controles, la políticas,
los procesos y los procedimientos para seguridad de la
información, revisar independientemente a intervalos
planificados o cuando ocurran cambios significativos.
NINGUNO
0% 0%
2
X
15% 15%
2
X
X
8% 8%
1
X
3
14% 14%
2
X
X
X
7% 7%
2
X
X
X
X
X
0% 0%
2
14% 14%
3
X
X
X
X
20% 20%
2
1
X
X
1
X
27% 27%
2
X
X
48% 48%
0
1
X
0
42% 42%
1
0
14% 14%
5
X
X
33% 33%
2
X
0
10% 10%
3
3
X
X
INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
EQUIPOS DE COMPUTO
RESPONSABLE DEL USO ACEPTABLE DEL
ID O SERIAL CLASIFICACION TIPO DE ACTIVO
ACTIVO ACTIVO
disposisitivo de la
NA Archivo de hardware cargos del organigrama Consulta del activo
red
Equipo de computo Diligenciamiento y
XY2030 Archivo de software
empresa Consulta del Activo
informacion
Infraestructura funcionamiento del activo
confidencial
Instalacion en equipos
Datos / Información
para proteccion
Aplicaciones instalaciones fisicas
comunicaciones licencimiento
servicios terceros Llamadas telefonicas
soporte Programacion
Scaneo de documentos
Uso en la red
empresarial
Servicios de
comunicaciones
Servicios de aplicaciones
y base de datos
GRADO DE GRADO DE INFORMACION
SENSIBILIDAD CRITICIDAD PUBLICABLE
secreto alto si
confidencial medio no
público bajo
restringido
otros