Esta herramienta puede servir para conocer el estado de madurez de su organización con respecto a la norma ISO 27001:2013. Toda la información suministrada será tratada de manera confidencial y será borrada una vez realizada la prueba.
SCS
GAP ISO 27001:2013
Quiz-summary
0 of 70 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
Information
Este GAP (quiz) le permite conocer su estado de madurez con respecto a la norma ISO 27001:2013. Toda la información que ingrese se mantendrá confidencial y será borrado una vez realizado el gap (quiz):
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
Time has elapsed
You have reached 0 of 0 points, (0)
Average score |
|
Your score |
|
Categories
- A.10 Controles criptográficos 0%
- A.11 Seguridad física 0%
- A.12 Seguridad en las operaciones 0%
- A.9: Política de control de acceso 0%
- A5 Políticas de Seguridad de la información 0%
- A6 Organización seguridad 0%
- A7: Seguridad talento humano 0%
- Gestión de activos 0%
-
Usted ha realizado con éxito el Análisis GAP. Esta información le servirá para conocer su estado de madurez en seguridad de la información. La información no es almacenada en nuestros servidores por temas de seguridad y privacidad.
SI desea mayor información contactarnos a info@sisteseg.com para ayudarle a complementar este estudio con nuestra experencia.
También puede contactarnos al 57 310 2234533.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- Answered
- Review
-
Question 1 of 70
1. Question
Category: A5 Políticas de Seguridad de la informaciónA.5.1.1: ¿Se cuenta con políticas de seguridad de la información debidamente aprobadas, socializadas y documentadas?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados.
-
Question 2 of 70
2. Question
Category: A5 Políticas de Seguridad de la informaciónA.5.1.2: ¿Se revisan de manera periódica y formal las políticas de seguridad de la información?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados.Las políticas deben ser revisadas al menos una vez al año para que reflejen el estado actual de la organización.
-
Question 3 of 70
3. Question
Category: A6 Organización seguridadA.6.1.1: ¿Se tienen asignados los roles y responsabilidades en seguridad de la información?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados. Junto con las políticas se debe definir los roles y responsabilidades en seguridad de la información.
-
Question 4 of 70
4. Question
Category: A6 Organización seguridadA.6.1.2 ¿Se cuenta con segregación de tareas?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados. Es importante además segregar tareas para evitar algún tipo de alteración a la información.
-
Question 5 of 70
5. Question
Category: A6 Organización seguridad¿Se realizan contactos con autoridades que se relacionen el tema de seguridad de la información?
Hint
Se deben establecer puntos de contacto con autoridades reguladoras y de supervisión dependiendo del sector específico en que esté la organización. Otro tipo de ejemplos de entidades reguladoras son las empresas de servicio público, los servicios de emergencia, proveedores de electricidad y salud, entre otros.
-
Question 6 of 70
6. Question
Category: A6 Organización seguridad¿Se establecen contactos con grupos de interés especial?
Hint
Se deben establecer relaciones con diferentes grupos de interés con el fin de estar enterados de nuevas tecnologías en la seguridad de la información así como conocer con antelación posibles ataques y técnicas de fraude electrónico.
-
Question 7 of 70
7. Question
Category: A6 Organización seguridad¿Se deben considerar los objetivos de la seguridad de la información en la gestión de proyectos de todo tipo que emprenda la organización?
Hint
En los proyectos que realice la organización se deben considerar la preservación de la confidencialidad, la integridad y la disponibilidad. También se debe incluir una valoración de riesgos sobre los activos de información.
-
Question 8 of 70
8. Question
Category: A6 Organización seguridad¿Se debe establecer una política y las respectivas medidas de seguridad para gestionar los riesgos en los dispositivos móviles?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados. Por otra parte, cuando se utilizan dispositivos móviles se debe poner especial atención a que la información sensible del negocio no sea expuesta a riesgos por parte de estas tecnologías. Los dispositivos móviles deben ser registrados, proteger físicamente, restricciones para la instalación de software, técnicas de cifrado, protección contra malware, respaldo, entre otros aspectos.
-
Question 9 of 70
9. Question
Category: A6 Organización seguridad¿Se debe contar con una política para proteger la información almacenada y procesada en los sitios de teletrabrajo?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. El tele-trabajo puede conllevar a ciertos riesgos sobre la información ya que es posible que las medidas de seguridad en estos sitios no sean las mismas que al interior de la organización. Por esto es necesario implementar una política, procedimientos y estándares de configuración.
-
Question 10 of 70
10. Question
Category: A7: Seguridad talento humano¿Se revisan antecedentes y hojas de vida de los futuros empleados?
Hint
La verificación de antecedentes es parte importante del proceso de seguridad dado que los empleados poseen acceso a los activos de información.
-
Question 11 of 70
11. Question
Category: A7: Seguridad talento humano¿Los contratos de trabajo consideran sus responsabilidades con respecto a la seguridad de la información?
Hint
Formalizar el uso de la información por parte de los empleados es un aspecto muy importante dentro de todo el escenario de seguridad de la información.
-
Question 12 of 70
12. Question
Category: A7: Seguridad talento humano¿Las directivas de la organización propenden por el cumplimiento de las políticas y procedimientos estipulados por la organización?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados. Las directivas deben involucrarse a alto nivel para que el establecimiento del SGSI sea implementado de manera éxito y la cultura de seguridad se propague transversalmente a la organización.
-
Question 13 of 70
13. Question
Category: A7: Seguridad talento humano¿Se cuenta con un programa anual de sensibilización para todos los empleados y contratistas?
Hint
El programa de sensibilización propaga dentro de la organización la cultura de seguridad de la información.
-
Question 14 of 70
14. Question
Category: A7: Seguridad talento humano¿Existe un proceso formal para cuando se produzca una violación a las políticas de seguridad de la información?
Hint
La famosa frase: zanahoria y garrote debe ser aquí aplicada no solo la parte disciplinaria y punitiva sino que por medio del proceso de sensibilización se debe modelar la conducta de los funciones y contratistas para que protejan la información.
-
Question 15 of 70
15. Question
Category: A7: Seguridad talento humano¿Existe un política que estipule la responsabilidad de los empleados con respecto a la información durante la terminación de su contrato o cambio de rol o cargo?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir responsabilidades que tengan que ser válidas aún después de que el empleado se retire de la compañía o cambie su cargo.
-
Question 16 of 70
16. Question
Category: Gestión de activos¿Se cuenta con un inventario de activos de información y es actualizado al menos una vez al año?
Hint
Un activo de información posee valor para la organización. Una forma de iniciar el proceso de protección es mantener un inventario actualizado de manera manual o por medio del uso de una herramienta que automatice estas actividades.
-
Question 17 of 70
17. Question
Category: Gestión de activos¿Se definen los propietarios de los activos de información de manera formal?
Hint
La responsabilidad debe asignarse para el cuidado de los activos de información.
-
Question 18 of 70
18. Question
Category: Gestión de activos¿Se cuentan con reglas, guías y políticas documentadas para el uso de correcto de los activos de información y tecnologías relacionadas?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados. Ademas se deben estipular reglas para el uso correcto de tecnologías de la información. Por ejemplo: uso correcto de Internet y el correo electrónico.
-
Question 19 of 70
19. Question
Category: Gestión de activos¿Se cuenta con una política y procedimiento para realizar la correcta y segura devolución de los activos de información cuando se termina el contrato?
Hint
Empleados y contratistas en sus equipos pueden contener información confidencial de la organización la cual debe ser devuelta o borrada una vez se termine el acuerdo.
-
Question 20 of 70
20. Question
Category: A5 Políticas de Seguridad de la información¿Se cuenta con un procedimiento formal y actualizado para clasificar los activos de información?
Hint
Si la información no es clasificada no existirá método efectivo de protegerla, por ejemplo, por medio de técnicas criptográficas.
-
Question 21 of 70
21. Question
Category: Gestión de activos¿Se cuenta con un procedimiento formal para el etiquetado de la información según su nivel de clasificación?
Hint
El etiquetado permite proteger la información acorde con su valor de confidencialidad, integridad y disponibilidad.
-
Question 22 of 70
22. Question
Category: Gestión de activos¿Se cuenta con procedimientos para el manejo y trato de los activos según su nivel de clasificación?
Hint
Se deben proteger e interactuar con los activos según su nivel de clasificación.
-
Question 23 of 70
23. Question
Category: Gestión de activos¿Se cuenta con procedimientos para el manejo de medios según su nivel de clasificación?
Hint
Los medios pueden ser cintas, discos duros removibles o USBs.
-
Question 24 of 70
24. Question
Category: Gestión de activos¿Se cuenta con un procedimiento formal para la destrucción de los medios?
Hint
Puede existir información sensible en los medios por eso es necesario su correcta destrucción o borrado.
-
Question 25 of 70
25. Question
Category: A5 Políticas de Seguridad de la información¿Se protegen los medios de manera formal durante su transporte?
Hint
Los medios deben ser protegidos durante su transporte de que alguien no autorizados los modifiquen o se dañen por el movimiento.
-
Question 26 of 70
26. Question
Category: A.9: Política de control de acceso¿Se cuenta con un política de control de acceso formal?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados.
-
Question 27 of 70
27. Question
Category: A.9: Política de control de acceso¿Se cuenta con un política de control de acceso a las redes, documentada y revisada según los requerimientos de seguridad de la información?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados.
-
Question 28 of 70
28. Question
Category: A.9: Política de control de acceso¿Se cuenta con un proceso formal para registrar a los usuarios antes de darle acceso a la información?
Hint
Los controles de acceso permiten proteger la información. Sólo se debe permitir acceso de usuarios formalmente registrados.
-
Question 29 of 70
29. Question
Category: A.9: Política de control de acceso¿Se cuenta con un sistema formal de aprovisionamiento para asignar o revocar derechos de acceso para todo tipo de sistema?
Hint
Los sistemas deben ser protegidos por un sistema de control de acceso para evitar amenazas contra la información.
-
Question 30 of 70
30. Question
Category: A.9: Política de control de acceso¿Se cuenta con un sistema formal para controlar los accesos privilegiados?
Hint
Los usuarios privilegiados son potencialmente más peligros que los usuarios normales, por esto especial protección se les debe prestar y monitorizar sus actividades.
-
Question 31 of 70
31. Question
Category: A.9: Política de control de acceso¿Se cuenta con un proceso formal para controlar la información de autenticación secreta?
Hint
La información que nos sirve para autenticarla debe ser protegida y para ello debe existir un procedimiento y realizarse de manera formal.
-
Question 32 of 70
32. Question
Category: A.9: Política de control de acceso¿Los dueños de los activos revisan los derechos de acceso de manera periódica y formal?
Hint
Los derechos de acceso regularmente cambian con el tiempo, por esta razón deben ser revisados de manera formal y periódica.
-
Question 33 of 70
33. Question
Category: A.9: Política de control de acceso¿Se deshabilitan o se borran las cuentas de usuarios que han terminado sus labores con la organización?
Hint
Sucede en algunas organizaciones que empleados retirados hace mucho tiempo todavía pueden acceder ya sea lógica o físicamente a la organización, lo cual representa un riesgo muy grande.
-
Question 34 of 70
34. Question
Category: A.9: Política de control de acceso¿Siguen todos los usuarios las prácticas de la organización par el uso de información de autenticación secreta?
Hint
La información de autenticación secreta como contraseñas debe ser protegida según lo estipulado por la organización, por ejemplo en sus políticas.
-
Question 35 of 70
35. Question
Category: A.9: Política de control de acceso¿Se controla el acceso a los sistemas y a la información se realiza de acuerdo con la política de control de acceso?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto al acceso a los activos de información. Dependiendo de la clasificación de los activos de la misma manera se deben controlar los accesos.
-
Question 36 of 70
36. Question
Category: A.9: Política de control de acceso¿Se realizan las entradas (log-on) a los sistemas y la información con base en un procedimiento autenticación y una autorización?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Los procedimientos implementan la política. Se requiere un procedimiento para la entrada segura a la información y a los sistemas.
-
Question 37 of 70
37. Question
Category: A.9: Política de control de acceso¿Se cuenta con un sistema de gestión que garantice su calidad?
Hint
Las contraseñas son un punto crítico dentro de la seguridad de la información. Deben ser creadas con suficiente complejidad para que no sean fácilmente adivinables por parte de un atacante.
-
Question 38 of 70
38. Question
Category: A.9: Política de control de acceso¿Se controla y se restringe el uso de programas utilitarios?
Hint
Programas utilitarios cumplen funciones administrativas dentro de un equipo, por ejemplo, en caso de fallas son estos utilizados.Estos programas normalmente requieren privilegios y por eso deben restringirse su uso y deben ser monitorizados.
-
Question 39 of 70
39. Question
Category: A.9: Política de control de acceso¿Se restringe el acceso a los códigos fuentes?
Hint
Los programas son encargados de realizar muchas de las operaciones de un negocio. Por esta razón deben ser protegidos ya que un ataque a uno de ellos puede tener un impacto grande tanto a nivel de reputación como desde el punto de vista financiero.
-
Question 40 of 70
40. Question
Category: A.10 Controles criptográficos¿Se tiene un política debidamente documentada para el uso de controles criptográficos?
Hint
Las tecnologías criptográficas preservan la confidencialidad y la integridad de la información.
-
Question 41 of 70
41. Question
Category: A.10 Controles criptográficos¿Se cuenta con políticas para el uso y protección de las llaves criptográficas?
Hint
Las llaves criptográficas deben ser protegidas y se debe contar con un procedimiento de gestión de llaves y estas deben poseer un criptoperiodo.
-
Question 42 of 70
42. Question
Category: A.11 Seguridad física¿Se ha establecido un perímetro de seguridad para proteger la información de servidores y centros de cómputo?
Hint
Se debe controlar el acceso a las instalaciones y proteger los datacenter de condiciones ambientales adversas y de accesos no autorizados.
-
Question 43 of 70
43. Question
Category: A.11 Seguridad física¿Se tienen controles para evitar el acceso no autorizado a ciertas áreas donde resida información crítica?
Hint
Controles como puertas y candados protegen del acceso no autorizados.
-
Question 44 of 70
44. Question
Category: A.11 Seguridad física¿Se aseguran las áreas con información sensible?
Hint
Las áreas que contengan información tanto física como electrónica deben ser asegurada.
-
Question 45 of 70
45. Question
Category: A.11 Seguridad física¿Se poseen mecanismos para proteger la información de amenazas naturales, ataques maliciosos o accidentales?
Hint
Debemos proteger nuestra información de eventos naturales, terrorismo o simplemente de errores que se comentan durante un mantenimiento.
-
Question 46 of 70
46. Question
Category: A.11 Seguridad física¿Se cuenta con procedimientos para trabajar en áreas seguras?
Hint
Los procedimientos para trabajar en áreas seguras son necesarios para que no se comentan errores que afecten información sensible.
-
Question 47 of 70
47. Question
Category: A.11 Seguridad física¿Se controlan las áreas de mensajería y entrega de objetos y equipos?
Hint
A través de las áreas de carga se podría ejecutar un acto de vandalismo o terrorismo.
-
Question 48 of 70
48. Question
Category: A.11 Seguridad física¿Se protegen los equipos físicamente?
Hint
Los equipos deben protegerse contra malas condiciones ambientales, accidentes o acciones intencionadas.
-
Question 49 of 70
49. Question
Category: A.11 Seguridad física¿Se protegen los equipos contra fallas de potencia y otros servicios necesarios para que funcionen?
Hint
La energía, las condiciones ambientales, entre otros se deben proteger o contar con respaldos.
-
Question 50 of 70
50. Question
Category: A.11 Seguridad física¿Se protegen los rack de cableado y el cableado en general de daño o interceptación?
Hint
Si se puede acceder a los puntos de cableado de manera no autorizada es posible divulgar o modificar la información.
-
Question 51 of 70
51. Question
Category: A.11 Seguridad física¿Se realizan mantenimiento a los equipos de manera preventiva para preservar su disponibilidad e integridad?
Hint
Los mantenimientos proteger los equipos de fallas y de pérdida de información.
-
Question 52 of 70
52. Question
Category: A.11 Seguridad física¿Se sacan de la organización equipos, software o información sin la autorización formal respectiva?
Hint
Se debe contar con un procedimiento y un formato para sacar los equipos.
-
Question 53 of 70
53. Question
Category: A.11 Seguridad física¿Se protegen los equipos cuando se usan fuera de la organización?
Hint
La pérdida de portátiles y celulares es un ejemplo de lo que puede suceder con la respectiva pérdida de información.
-
Question 54 of 70
54. Question
Category: A.11 Seguridad física¿En la disposición de equipos o re-uso se borra la información o se re-escribe?
Hint
Muchas veces ocurre que nos deshacemos de los equipos y dejamos en ellos la información. Con sólo decirle al sistema operativo que borre un archivo no es suficiente, se requiere realizar un borrado seguro.
-
Question 55 of 70
55. Question
Category: A.11 Seguridad física¿Se protegen los equipos cuando no estamos trabajando en ellos?
Hint
Después de un cierto tiempo se le puede configurar al equipo que se bloquee automáticamente.
-
Question 56 of 70
56. Question
Category: A.11 Seguridad física¿Se cuenta con una política de escritorio, pantalla y medios remisibles limpios?
Hint
Papeles con información sensible no deben estar en el escritorio como tampoco USB conectadas y desatendidas.
-
Question 57 of 70
57. Question
Category: A.12 Seguridad en las operaciones¿Se cuenta con procedimientos documentados para la operación y son usados de manera formal?
Hint
Las políticas son directrices de alto nivel para establecer el comportamiento con respecto a los activos de información. Pueden existir políticas de alto nivel, políticas de tecnología y un manual de políticas para lectura y cumplimiento de todos los empleados.Los procedimientos instrumentalizan las políticas y son el paso a paso que nos permite realizar ciertas actividades sin afectar la información.
-
Question 58 of 70
58. Question
Category: A.12 Seguridad en las operaciones¿Se cuenta con un proceso o procedimiento de gestión de cambios documentado y revisado de manera formal?
Hint
Los cambios dentro de una organización pueden conllevar a pérdidas de información o a indisponibilidades.
-
Question 59 of 70
59. Question
Category: A.12 Seguridad en las operaciones¿Se cuenta con procedimiento o proceso de gestión de la capacidad?
Hint
La gestión de la capacidad está relacionada con espacio en disco, capacidad en Internet, velocidad en las redes, transacciones procesadas, entre otros.
-
Question 60 of 70
60. Question
Category: A.12 Seguridad en las operaciones¿Están separados los ambientes de desarrollo, pruebas y producción?
Hint
La separación de ambientes contribuye a la protección de la información sensible de las organizaciones.
-
Question 61 of 70
61. Question
Category: A.12 Seguridad en las operaciones¿Se detectan, se previenen y se responde ante un malware de manera formal?
Hint
Contar con antivirus es una forma de prevenir el malware más no es la única técnica.
-
Question 62 of 70
62. Question
Category: A5 Políticas de Seguridad de la información¿Se realizan respaldos de información, software e imágenes de los sistemas de manera formal?
Hint
Los respaldos mejoran los niveles de disponibilidad de la información.
-
Question 63 of 70
63. Question
Category: A.12 Seguridad en las operaciones¿Se activan la generación de registros (los) de los diferentes componentes?
Hint
Contar con un servidor centralizado de logs puede ayudar en esta tarea.
-
Question 64 of 70
64. Question
Category: A.12 Seguridad en las operaciones¿Se protegen los registros o logs que generan los diferentes componentes?
Hint
Para realizar análisis forense esto es requerido.
-
Question 65 of 70
65. Question
Category: A.12 Seguridad en las operaciones¿Se monitorizan o registran las actividades de los administradores y se revisan de manera formal?
Hint
Los administradores en algunos casos pueden comprometer la información.
-
Question 66 of 70
66. Question
Category: A.12 Seguridad en las operaciones¿Se sincronizan los relojes de todos los componentes del sistema?
Hint
Network Time Protocol NTP es lo más usado para esta funcionalidad.
-
Question 67 of 70
67. Question
Category: A.12 Seguridad en las operaciones¿Se cuenta con procedimientos formalizados para controlar la instalación de software?
Hint
La instalación de software no autorizado conlleva altos riesgos de seguridad.
-
Question 68 of 70
68. Question
Category: A.12 Seguridad en las operaciones¿Se realizan análisis de vulnerabilidad y son estas gestionadas de manera formal y periódica?
Hint
Las debilidades en el software ya sea in house o externo, deben ser gestionadas para evitar compromisos de la información.
-
Question 69 of 70
69. Question
Category: A.12 Seguridad en las operaciones¿La instalación de software por parte de los usuarios debe estar controlada?
Hint
Si cada usuario se pone a instalar software sin control el riesgo de instalar un virus será muy alta.
-
Question 70 of 70
70. Question
Category: A.12 Seguridad en las operaciones¿Son los procesos de auditoría a los sistemas controlados, autorizados y planeados?
Hint
Los procesos de auditoría conllevan sus riesgos inherentes por esta razón deben ser planeados y autorizados por los dueños de la información.