CRITERIOS DE EVALUACIÓN

Para establecer el porcentaje de cumplimiento de cada uno de los controles presentes en el checklist,
se tendra en cuenta los niveles de madurez de procesos establecidos en la norma ISO 27000 y los
cuales se describen en la siguiente tabla :

Porcentaje Criterio
0% No realizado

20% Realizado informalmente

40% Planificado

60% Bien definido

80% Cuantitativamente controlado

100% Mejora continua

DE EVALUACIÓN
e cada uno de los controles presentes en el checklist,
rocesos establecidos en la norma ISO 27000 y los

Descripción
No hay controles de seguridad de la
información establecidos.

Existen procedimientos para llevar a

cabo ciertas acciones en determinado
momento. Estas prácticas no se
adoptaron formalmente y/o no se les
hizo seguimiento y/o no se informaron
adecuadamente.
Los controles de seguridad de la
información establecidos son
planificados, implementados y
repetibles.
Los controles de seguridad de la
información además de planificados
son documentados, aprobados e
implementados en toda la
organización.
Los controles de seguridad de la
información estan sujetos a
verificación para establecer su nivel
de efectividad.

Los controles de seguridad de la

información definidos son
periodicamente revisados y
actualizados. Estos reflejan una
mejora al momento de evaluar el
impacto.
 Criterio Porcentaje
No realizado 0%
Realizado informalmente 20%
Planificado 40%
Bien definido 60%
Cuantitativamente controlado 80%
Mejora continua 100%
 CRITERIOS DE EVALUACIÓN

AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN

No realizado
Realizado informalmente
Planificado
Herramienta de Evaluacion y Diagnostico bajo la Norma ISO/IEC 27002:2013 Bien definido
Cuantitativamente controlado
Mejora continua
# Dominio / Objetivos de Control / Controles Cumplimiento
5 POLITICAS DE SEGURIDAD 0%
5.1 Directrices de la Dirección en seguridad de la información 0%
5.1.1 Conjunto de políticas para la seguridad de la información No realizado
5.1.2 Revisión de las políticas para la seguridad de la información No realizado
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 0%
6.1 Organización interna. 0%
6.1.1 Asignación de responsabilidades para la segur de la información No realizado
6.1.2 Segregación de tareas No realizado
6.1.3 Contacto con las autoridades No realizado
6.1.4 Contacto con grupos de interés especial No realizado
6.1.5 Seguridad de la información en la gestión de proyectos No realizado
6.1 Dispositivos para movilidad y teletrabajo. 0%
6.2.1 Política de uso de dispositivos para movilidad No realizado
6.2.2 Teletrabajo No realizado
7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 0%
7.1 Antes de la contratación 0%
7.1.1 Investigación de antecedentes No realizado
7.1.2 Términos y condiciones de contratación No realizado
7.2 Durante la contratación 0%
7.2.1 Responsabilidades de gestión No realizado
7.2.2 Concienciación, educación y capacitación en segur de la informac No realizado
7.2.3 Proceso disciplinario No realizado
7.3 Organización interna. 0%
7.3.1 Cese o cambio de puesto de trabajo No realizado
8 GESTION DE ACTIVOS 0%
8.1 Responsabilidad sobre los Activos 0%
8.1.1 Inventario de activos. No realizado
8.1.2 Propiedad de los activos. No realizado
8.1.3 Uso aceptable de los activos. No realizado
8.1.4 Devolución de activos. No realizado
8.2 Clasificacion de la Informacion 0%
8.2.1 Directrices de clasificación. No realizado
8.2.2 Etiquetado y manipulado de la información. No realizado
8.2.3 Manipulación de activos No realizado
8.3 Manejo de los soportes de almacenamiento 0%
8.3.1 Gestión de soportes extraíbles. No realizado
8.3.2 Eliminación de soportes. No realizado
8.3.3 Soportes físicos en tránsito No realizado
9 CONTROL DE ACCESO 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.1.1 Política de control de accesos. No realizado
9.1.2 Control de acceso a las redes y servicios asociados. No realizado
9.2 Gestión de acceso de usuario. 0%
9.2.1 Gestión de altas/bajas en el registro de usuarios. No realizado
9.2.2 Gestión de los derechos de acceso asignados a usuarios. No realizado
9.2.3 Gestión de los derechos de acceso con privilegios especiales. No realizado
9.2.4 Gestión de información confidencial de autenticación de usuarios No realizado
9.2.5 Revisión de los derechos de acceso de los usuarios. No realizado
9.2.6 Retirada o adaptación de los derechos de acceso No realizado
9.3 Responsabilidades del usuario 0%
9.3.1 Uso de información confidencial para la autenticación No realizado
9.4 Control de acceso a sistemas y aplicaciones 0%
9.4.1 Restricción del acceso a la información. No realizado
9.4.2 Procedimientos seguros de inicio de sesión. No realizado
9.4.3 Gestión de contraseñas de usuario. No realizado
9.4.4 Uso de herramientas de administración de sistemas. No realizado
9.4.5 Control de acceso al código fuente de los programas No realizado
 10 CIFRADO 0%
10.1 Controles criptográficos 0%
10.1.1 Política de uso de los controles criptográficos No realizado
10.1.2 Gestión de claves No realizado
11 SEGURIDAD FISICA Y AMBIENTAL 0%
11.1 Areas Seguras 0%
11.1.1 Perímetro de seguridad física. No realizado
11.1.2 Controles físicos de entrada. No realizado
11.1.3 Seguridad de oficinas, despachos y recursos. No realizado
11.1.4 Protección contra las amenazas externas y ambientales. No realizado
11.1.5 El trabajo en áreas seguras. No realizado
11.1.6 Áreas de acceso público, carga y descarga No realizado
11.2 Seguridad de los Equipos 0%
11.2.1 Emplazamiento y protección de equipos. No realizado
11.2.2 Instalaciones de suministro. No realizado
11.2.3 Seguridad del cableado. No realizado
11.2.4 Mantenimiento de los equipos. No realizado
11.2.5 Salida de activos fuera de las dependencias de la empresa. No realizado
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. No realizado
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. No realizado
11.2.8 Equipo informático de usuario desatendido. No realizado
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla No realizado
12 SEGURIDAD EN LA OPERATIVA 0%
12.1 Responsabilidades y procedimientos de operación 0%
12.1.1 Documentación de procedimientos de operación No realizado
12.1.2 Gestión de cambios No realizado
12.1.3 Gestión de capacidades No realizado
12.1.4 Separación de entornos de desarrollo, prueba y producción No realizado
12.2 Protección contra código malicioso 0%
12.2.1 Controles contra el código malicioso. No realizado
12.3 Copias de seguridad 0%
12.3.1 Copias de seguridad de la información No realizado
12.4 Registro de actividad y supervisión 0%
12.4.1 Registro y gestión de eventos de actividad No realizado
12.4.2 Protección de los registros de información No realizado
12.4.3 Registros de actividad del administrador y operador del sistema No realizado
12.4.4 Sincronización de relojes No realizado
12.5 Control del software en explotación 0%
12.5.1 Instalación del software en sistemas en producción No realizado
12.6 Gestión de la vulnerabilidad técnica 0%
12.6.1 Gestión de las vulnerabilidades técnicas No realizado
12.6.2 Restricciones en la instalación de software No realizado
12.7 Consideraciones de las auditorías de los sistemas de información 0%
12.7.1 Controles de auditoría de los sistemas de información No realizado
13 SEGURIDAD EN LAS TELECOMUNICACIONES 0%
13.1 Gestión de la seguridad en las redes. 0%
13.1.1 Controles de red. No realizado
13.1.2 Mecanismos de seguridad asociados a servicios en red. No realizado
13.1.3 Segregación de redes. No realizado
13.2 Intercambio de información con partes externas. 0%
13.2.1 Políticas y procedimientos de intercambio de información. No realizado
13.2.2 Acuerdos de intercambio. No realizado
13.2.3 Mensajería electrónica. No realizado
13.2.4 Acuerdos de confidencialidad
ADQUISICION, y secreto
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS No realizado
14 DE INFORMACION 0%
14.1 Requisitos de seguridad de los sistemas de información 0%
14.1.1 Análisis y especificación de los requisitos de seguridad No realizado
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas No realizado
14.1.3 Protección de las transacciones por redes telemáticas No realizado
14.2 Seguridad en los procesos de desarrollo y soporte 0%
14.2.1 Política de desarrollo seguro de software No realizado
14.2.2 Procedimientos de control de cambios en los sistemas No realizado
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo No realizado
14.2.4 Restricciones a los cambios en los paquetes de software No realizado
14.2.5 Uso de principios de ingeniería en protección de sistemas No realizado
14.2.6 Seguridad en entornos de desarrollo No realizado
14.2.7 Externalización del desarrollo de software No realizado
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas No realizado
14.2.9 Pruebas de aceptación No realizado
14.3 Datos de Prueba 0%
14.3.1 Protección de los datos utilizados en pruebas No realizado
15 RELACIONES CON SUMINISTRADORES 0%
15.1 Seguridad de la información en las relaciones con suministradores 0%
15.1.1 Política de seguridad de la información para suministradores No realizado
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores No realizado
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones No realizado
15.2 Gestión de la prestación del servicio por suministradores 0%
15.2.1 Supervisión y revisión de los servicios prestados por terceros No realizado
15.2.2 Gestión de cambios en los servicios prestados por terceros No realizado
16 GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN 0%
16.1 Gestión de incidentes de seguridad de la información y mejoras 0%
16.1.1 Responsabilidades y procedimientos No realizado
16.1.2 Notificación de los eventos de seguridad de la información No realizado
16.1.3 Notificación de puntos débiles de la seguridad No realizado
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones No realizado
16.1.5 Respuesta a los incidentes de seguridad No realizado
16.1.6 Aprendizaje de los incidentes de seguridad de la información No realizado
16.1.7 Recopilación de evidencias No realizado
17 ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO 0%
17.1 Continuidad de la seguridad de la información 0%
17.1.1 Planificación de la continuidad de la seguridad de la información No realizado
17.1.2 Implantación de la continuidad de la seguridad de la información No realizado
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información No realizado
17.2 Redundancias 0%
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información No realizado
18 CUMPLIMIENTO 0%
18.1 Cumplimiento de los requisitos legales y contractuales 0%
18.1.1 Identificación de la legislación aplicable No realizado
18.1.2 Derechos de propiedad intelectual (DPI) No realizado
18.1.3 Protección de los registros de la organización No realizado
18.1.4 Protección de datos y privacidad de la información personal No realizado
18.1.5 Regulación de los controles criptográficos No realizado
 18.2 Revisiones de la seguridad de la información 0%
18.2.1 Revisión independiente de la seguridad de la información No realizado
18.2.2 Cumplimiento de las políticas y normas de seguridad No realizado
18.2.3 Comprobación del cumplimiento No realizado
VALUACIÓN

0%
20%
40%
60%
80%
100%
ento

0%
0%

0%
0%
0%
0%
0%

0%
0%

0%
0%

0%
0%
0%
0%

0%
0%
0%
0%

0%
0%
0%

0%
0%
0%

0%
0%

0%
0%
0%
0%
0%
0%

0%

0%
0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%

0%
0%
0%
0%
0%
0%
0%
0%
0%

0%
0%
0%
0%

0%

0%

0%
0%
0%
0%

0%

0%
0%

0%

0%
0%
0%

0%
0%
0%
0%

0%
0%
0%

0%
0%
0%
0%
0%
0%
0%
0%
0%

0%

0%
0%
0%

0%
0%

0%
0%
0%
0%
0%
0%
0%

0%
0%
0%

0%

0%
0%
0%
0%
0%
0%
0%
0%
Total: 14 Dominios

# Dominios
5 POLITICAS DE SEGURIDAD
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8 GESTION DE ACTIVOS
9 CONTROL DE ACCESO
10 CIFRADO
11 SEGURIDAD FISICA Y AMBIENTAL
12 SEGURIDAD EN LA OPERATIVA
13 SEGURIDAD EN LAS TELECOMUNICACIONES
ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
14 DE INFORMACION
15 RELACIONES CON SUMINISTRADORES
16 GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
17 ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
18 CUMPLIMIENTO

Cumplimiento General
Estado Dominios
0% POLITICAS DE SEGURIDAD
0% ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
0% SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
0% GESTION DE ACTIVOS
0% CONTROL DE ACCESO
0% CIFRADO
0% SEGURIDAD FISICA Y AMBIENTAL
0% SEGURIDAD EN LA OPERATIVA
0% SEGURIDAD EN LAS TELECOMUNICACIONES
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
0% DE INFORMACIÓN.
0% RELACIONES CON SUMINISTRADORES
0% GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
0% ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
0% CUMPLIMIENTO

0%
Bajo Medio Alto
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
0% 0% 0%
Total: 35

Norma Objetivos de Control Estado

5.1 Directrices de la Dirección en seguridad de la información 0%

6.1 Organización interna. 0%

6.1 Dispositivos para movilidad y teletrabajo. 0%
7.1 Antes de la contratación 0%
7.2 Durante la contratación 0%
7.3 Organización interna. 0%
8.1 Responsabilidad sobre los Activos 0%
8.2 Clasificacion de la Informacion 0%
8.3 Manejo de los soportes de almacenamiento 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.2 Gestión de acceso de usuario. 0%
9.3 Responsabilidades del usuario 0%
9.4 Control de acceso a sistemas y aplicaciones 0%
10.1 Controles criptográficos 0%
11.1 Areas Seguras 0%
11.2 Seguridad de los Equipos 0%
12.1 Responsabilidades y procedimientos de operación 0%
12.2 Protección contra código malicioso 0%
12.3 Copias de seguridad 0%
12.4 Registro de actividad y supervisión 0%
12.5 Control del software en explotación 0%
12.6 Gestión de la vulnerabilidad técnica 0%

12.7 Consideraciones de las auditorías de los sistemas de información 0%

13.1 Gestión de la seguridad en las redes. 0%

13.2 Intercambio de información con partes externas. 0%

14.1 Requisitos de seguridad de los sistemas de información 0%

14.2 Seguridad en los procesos de desarrollo y soporte 0%

14.3 Datos de Prueba 0%

15.1 Seguridad de la información en las relaciones con suministradores 0%

15.2 Gestión de la prestación del servicio por suministradores 0%

16.1 Gestión de incidentes de seguridad de la información y mejoras 0%

17.1 Continuidad de la seguridad de la información 0%

17.2 Redundancias 0%

18.1 Cumplimiento de los requisitos legales y contractuales 0%

18.2 Revisiones de la seguridad de la información 0%

Cumplimiento 0%
 Objetivos de Control Bajo Medio Alto

Directrices de la Dirección en seguridad de la información 0% 0% 0%

Organización interna. 0% 0% 0%
Dispositivos para movilidad y teletrabajo. 0% 0% 0%
Antes de la contratación 0% 0% 0%
Durante la contratación 0% 0% 0%
Organización interna. 0% 0% 0%
Responsabilidad sobre los Activos 0% 0% 0%
Clasificacion de la Informacion 0% 0% 0%
Manejo de los soportes de almacenamiento 0% 0% 0%
Requisitos de negocio para el control de accesos 0% 0% 0%
Gestión de acceso de usuario. 0% 0% 0%
Responsabilidades del usuario 0% 0% 0%
Control de acceso a sistemas y aplicaciones 0% 0% 0%
Controles criptográficos 0% 0% 0%
Areas Seguras 0% 0% 0%
Seguridad de los Equipos 0% 0% 0%
Responsabilidades y procedimientos de operación 0% 0% 0%
Protección contra código malicioso 0% 0% 0%
Copias de seguridad 0% 0% 0%
Registro de actividad y supervisión 0% 0% 0%
Control del software en explotación 0% 0% 0%
Gestión de la vulnerabilidad técnica 0% 0% 0%
Consideraciones de las auditorías de los sistemas de 0% 0% 0%
información
Gestión de la seguridad en las redes. 0% 0% 0%
Intercambio de información con partes externas. 0% 0% 0%

Requisitos de seguridad de los sistemas de información 0% 0% 0%

Seguridad en los procesos de desarrollo y soporte 0% 0% 0%

Datos de Prueba 0% 0% 0%
Seguridad de la información en las relaciones con 0% 0% 0%
suministradores

Gestión de la prestación del servicio por suministradores 0% 0% 0%

Gestión de incidentes de seguridad de la información y mejoras 0% 0% 0%

Continuidad de la seguridad de la información 0% 0% 0%

Redundancias 0% 0% 0%

Cumplimiento de los requisitos legales y contractuales 0% 0% 0%

Revisiones de la seguridad de la información 0% 0% 0%
 Nivel N° controles
No realizado 114
Realizado informalmente 0
Planificado 0
Bien definido 0
Cuantitativamente controlado 0
Mejora continua 0

Total de Controles 114

 NIVEL DE CUMPLIMIENTO POR DOMINIO
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

AD
ID ÓN S
U R ACI NO OS O
G A IV ES O
SE R M M CT C AD AL VA
E O HU A AC R NT TI S
S D
I N F
O S DE
DE CI F
B I E
R A O NE AS
A A S N L M E I M
IT C L R O RO P C E
LI DE U TI YA O IC
A ST
O D REC
GES
O NT C A LA N S SI
P DA S C SI EN U O
U RI A
LO
D
FI
A D C OM DEL
G A A I D LE
SE AD RI
D
UR
E
NT
O
LA I G U EG A ST I E
E L G S L
SD D SE EN NI
M
O I DA D T E
V R A
TI GU ID AN
I ZA E R M
N S GU Y
RGA SE LLO
O O
OS A RR
C T ES
SPE , D N.
A N Ó
I Ó CI
IS C MA
I R
DQU NFO
A E I
D

ESTADO DE MADUREZ DE LOS CONTROLES

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controla
Mejora continua

114
100.00%
 Bien definido
Cuantitativamente controla
Mejora continua

114
100.00%
 100%
NIO 90%
80%
70%
60%
50%
40%
30%
20%
10%
Alto 0%
ES Medio
ON AS Bajo
CI EM
I CA I ST
UN SS
LO
DE
O
NT
IE
M

No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
Bien definido
Cuantitativamente controlado
Mejora continua
Alto
Medio
Bajo