Ejemplo Estructura Informe SEIS

Anuncio
EJEMPLO ESTRUCTURA INFORME SEIS
1 Indice
1
INDICE..................................................................................................... 2
2
CONCLUSIONES: RESUMEN EJECUTIVO.................................................... 3
3
INTRODUCCIÓN ....................................................................................... 4
4
DESCRIPCIÓN DEL ESTADO ACTUAL ........................................................ 4
4.1
4.2
4.2.1
4.2.2
4.2.3
WAN ........................................................................................................ 4
LAN ......................................................................................................... 4
WLAN....................................................................................................... 4
4.3.1
4.3.2
4.3.3
4.3.4
Servidores ................................................................................................ 4
Estaciones de Trabajo ................................................................................ 4
Electrónica de Red ..................................................................................... 4
Firewalls , UTMs, Dispositivos de Seguridad .................................................. 5
4.4.1
4.4.2
Públicos.................................................................................................... 5
Privados ................................................................................................... 5
4.3
4.4
5
ORGANIZACIÓN ........................................................................................ 4
TOPOLOGÍA ............................................................................................. 4
SISTEMAS ............................................................................................... 4
SERVICIOS .............................................................................................. 5
ANÁLISIS Y RECOMENDACIONES TÉCNICAS ............................................ 5
5.1
5.2
ORGANIZACIÓN ........................................................................................ 5
TOPOLOGÍA ............................................................................................. 5
5.2.1
5.2.2
5.2.3
WAN ........................................................................................................ 5
LAN ......................................................................................................... 5
WLAN....................................................................................................... 5
5.3.1
5.3.2
5.3.3
Servidores ................................................................................................ 5
Estaciones de trabajo ................................................................................. 6
Firewalls, UTMs, Dispositivos de Seguridad ................................................... 6
5.4.1
5.4.2
Públicos.................................................................................................... 6
Privados ................................................................................................... 6
5.3
5.4
SISTEMAS ............................................................................................... 5
SERVICIOS .............................................................................................. 6
6
MEDIDAS DE SEGURIDAD Y CONTROLES RECOMENDADOS ...................... 6
7
RESUMEN ACCIONES RECOMENDADAS..................................................... 8
7.1
7.2
7.3
7.4
8
ACCIONES INMEDIATAS ............................................................................... 8
ACCIONES A CORTO PLAZO .......................................................................... 8
ACCIONES A MEDIO PLAZO........................................................................... 8
ACCIONES A LARGO PLAZO........................................................................... 8
GLOSARIO................................................................................................ 9
2 Conclusiones: Resumen Ejecutivo
Incluir un resumen ejecutivo del informe de unas pocas páginas (cuantas menos, mejor).
3 Introducción
4 Descripción del Estado Actual
En el presente apartado se describirán los hallazgos encontrados durante la realización del
estudio, así como el estado actual de las redes y sistemas de información de la organización.
La información incluida en este apartado se basa en la información recopilada durante
entrevistas con los interlocutores autorizados por la organización, así como en el resultado de
diversas pruebas realizadas sobre el campo.
4.1
Organización
4.2
Topología
4.2.1 WAN
4.2.2 LAN
4.2.3 WLAN
4.3
Sistemas
4.3.1 Servidores
4.3.1.1
4.3.1.1.1
Análisis de Vulnerabilidades de sistemas de la organización
Resumen de resultados
4.3.2 Estaciones de Trabajo
4.3.3 Electrónica de Red
4.3.4 Firewalls , UTMs, Dispositivos de Seguridad
4.4
Servicios
4.4.1 Públicos
Análisis de vulnerabilidades de servicios públicos
4.4.2 Privados
5 Análisis y Recomendaciones Técnicas
Tras describir el estado actual de la organización en lo que a sus sistemas de información y
comunicaciones se refiere, en este apartado se pasará a revisar uno a uno los apartados
abordados en el punto anterior exponiendo las distintas recomendaciones resultantes del
análisis y estudio de la información recolectada.
5.1
Organización
5.2
Topología
5.2.1 WAN
5.2.2 LAN
5.2.3 WLAN
5.3
Sistemas
En este apartado se recogen las principales modificaciones que la Organización debería
realizar en sus sistemas, ya sean informáticos o de comunicaciones para disponer de una red
más eficiente y sobre todo, segura.
5.3.1 Servidores
5.3.2 Estaciones de trabajo
5.3.3 Firewalls, UTMs, Dispositivos de Seguridad
5.4
Servicios
Incluiremos en este apartado algunas de las recomendaciones y comentarios relativas a los
servicios ofrecidos por la organización, esbozando algunas posibles soluciones que podrían
llevarse a cabo.
5.4.1 Públicos
5.4.2 Privados
6 Medidas de Seguridad y Controles Recomendados
En esta parte del documento se detallarán una a una las medidas de seguridad y controles
recomendados siguiendo la estructura de la norma ISO/IEC 27001 u otra norma de referencia
y su grado de aplicabilidad a la Organización, incluyendo recomendaciones en cuanto a
mejoras, cambios o desarrollo de procedimientos, acciones o prácticas para conseguir los
objetivos perseguidos por dichos controles, además de comentarios orientativos sobre las
posibles formas de abordar o implementar cada control o medida de seguridad y el grado de
implantación de los mismos existentes en la actualidad.
Por ejemplo:
6.1
6.1.1
6.2
6.2.1
6.2.2
6.2.3
6.3
6.3.1
6.3.2
6.4
6.4.1
6.4.2
6.4.3
6.5
6.5.1
6.5.2
6.5.3
6.6
6.6.1
6.6.2
6.6.3
6.6.4
POLÍTICA DE SEGURIDAD
Política de Seguridad de la Información
ORGANIZACIÓN DE LA SEGURIDAD
Infraestructura de Seguridad de la Información
Seguridad frente al acceso por parte de terceros
Externalización (Outsourcing)
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Contabilidad de activos
Clasificación de la información
SEGURIDAD DEL PERSONAL
Seguridad en la definición de puestos de trabajo y la asignación de recursos
Formación de usuarios
Respuesta a incidentes y anomalías en materia de seguridad
SEGURIDAD FÍSICA Y DEL ENTORNO
Áreas seguras
Seguridad del equipamiento
Controles generales
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Procedimientos y responsabilidades operacionales
Planificación y aprobación de sistemas
Protección contra software malicioso
Mantenimiento
6.6.5 Administración de redes
6.6.6 Manejo y seguridad de medios de almacenamiento
6.6.7 Intercambios de información y software
6.7
CONTROL DE ACCESO
6.7.1 Requisitos del negocio acerca del control de acceso
6.7.2 Gestión de accesos de usuarios
6.7.3 Responsabilidades de los usuarios
6.7.4 Control de acceso a redes
6.7.5 Control de acceso a sistemas operativos
6.7.6 Control de acceso a las aplicaciones
6.7.7 Monitorización del acceso y utilización de los sistemas
6.7.8 Computación móvil y trabajo remoto
6.8
MANTENIMIENTO Y DESARROLLO DE SISTEMAS
6.8.1 Requisitos de seguridad de los sistemas.
6.8.2 Seguridad en los sistemas de aplicación
6.8.3 Controles criptográficos
6.8.4 Seguridad de los archivos del sistema
6.8.5 Seguridad de los procesos de desarrollo y soporte
6.9
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
6.9.1 Aspectos de la gestión de la continuidad del negocio
6.10 CUMPLIMIENTO
6.10.1 Cumplimiento de requisitos legales
6.10.2 Revisiones de la política de seguridad y cumplimiento técnico
6.10.3 Consideraciones de auditoría de sistemas
7 Resumen Acciones Recomendadas
Realizado el estudio y análisis de toda la información proporcionada por la organización, puede
concluirse que el estado general de la red y los sistemas de información de la misma, en lo que
a seguridad y funcionalidad se refiere, es xxxxxxx, [ya que existen importantes deficiencias
en los controles de seguridad (tanto técnicos como organizativos)] que hacen que la
organización esté asumiendo un nivel de riesgo XXXXXXX en sus procesos críticos de
negocio.
Existen por tanto, diversos puntos mejorables que permitirían elevar el nivel de seguridad
existente en la organización. A continuación se detallarán las acciones recomendadas para
elevar dicho nivel. Estas acciones han sido clasificadas, según su nivel de criticidad, de la
siguiente forma.




Acciones Inmediatas: Acciones que debido a la importancia del riesgo que están
orientadas a corregir deben ser llevadas a cabo a la mayor brevedad posible.
Acciones a Corto Plazo: Acciones orientadas a corregir problemas levemente menos
importantes que los señalados en la categoría anterior, pero que no deberían ser
descuidados y por tanto sus acciones correctivas deberían ser comenzadas a corto
plazo.
Acciones a Medio Plazo: Acciones correctivas orientadas a solucionar problemas que
si bien no son de extrema urgencia, deberían ser abordados en un plazo razonable de
tiempo.
Acciones a Largo Plazo: Acciones correctivas orientadas a solucionar problemas que
si bien no causan un riesgo inminente, sí pueden ser problemáticos a largo plazo.
7.1
Acciones Inmediatas
7.2
Acciones a Corto Plazo
7.3
Acciones a Medio Plazo
7.4
Acciones a Largo Plazo
8 Glosario
Descargar