38 ¿El cableado que existe es de alto nivel de seguridad? ¿Se realiza el mantenimiento de los equipos periódicamente? ¿Cuándo se retiran los activos informáticos se registra algún tipo de documentación para la misma? ¿Existe algún tipo de norma para la seguridad de los activos que salen de la institución? ¿Hay algún tipo de normativa para el borrado de información sensible que contengan medios de almacenamiento? ¿Existe alguna normativa para los equipos de los usuarios desatendidos? ¿La entidad cuenta con alguna política de escritorio limpio y pantalla limpia? Total Porcentaje
5 4 3 4 4 4 3 39 65%
Nota. Fuente: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/. Adaptado por: El autor
El objetivo de control tiene un estado de fase intermedia con el 65%, es necesario establecer lineamiento que permitan mejorar los procedimientos de los equipos mencionados en cada control.
4.1.1.8.
Resultado e interpretación de controles en Seguridad de las operaciones
Tabla 19 Objetivo de control Procedimientos operacionales y responsabilidades Control:
1.1 1.2 1.3 1.4 II-2020
Procedimientos de operación documentados Gestión de cambios Gestión de capacidad Separación de los ambientes desarrollados, pruebas y operación Periodo: Ponderación No Preguntas 1 ¿Existe documentación sobre los procedimientos de operación? ¿Han sido socializados los procedimientos de operación con el personal de la institución? ¿Existe algún tipo de control en la gestión de cambios de los medios de procesamiento de la información? ¿Se controla periódicamente el rendimiento de la infraestructura informática? Total Porcentaje
2
3
24 Si 4 4
5
6
3 4 4 15 58.33%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control tiene una aplicación de fase intermedia con un 58.33%, se debe documentar periódicamente el rendimiento de la infraestructura informática, socializar los procedimientos de temas de TI a los docentes de la institución.
