Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ORGANIZACION UNIVERSITARIA
1
ISO/IEC
27001
INDICE
INTRODUCCION
1.3. ALCANCE ..
16
16
16
18
18
6. CONCLUSIONES .
20
7. BIBLIOGRAFIA .
21
2
ISO/IEC
27001
INTRODUCCION
4
ISO/IEC
27001
Temtica
Gestin de la seguridad de la informacin ( Fundamentos
y vocabulario)
Especificaciones para un SGSI
Cdigo de buenas prcticas
Gua de implantacin de un SGSI
Sistema de mtricas e indicadores
Gua de anlisis y gestin de riesgos
Especificaciones para Organismos Certificadores de
SGSI.
Gua para auditar un SGSI.
Gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI
Gua para la gestin de la seguridad de la informacin
cuando se comparte entre organizaciones o sectores.
5
ISO/IEC
27001
ANALISIS DIFERENCIAL
Descripcin y entorno de la actividad de la empresa
La empresa seleccionada para la implementacin de la ISO/IEC 27001:2005, es
una universidad de formacin de pregrado y postgrado de modalidad presencial de
orden regional. Posee una estructura jerrquica, donde el rector es la mxima
autoridad despus del consejo superior, quin es el encargado de la toma de
decisiones importantes que involucren aspectos presupuestales, reorganizacin o
cambios estructurales de la institucin, creacin de nuevos programas de
formacin, proyectos de inversin entre otras. La universidad posee dos sedes,
donde ofrece sus programas, ubicados en ciudades diferentes. La empresa se
encuentra organizada operativamente a travs del modelo por procesos, la cual
se esquematiza en el grfico 1.
Grafico No. 1 Organizacin por mapa de procesos
Por ser una entidad universitaria sus clientes son los estudiantes matriculados en
los diferentes programas de formacin de pregrado y postgrado que actualmente
ofrece con 12.285 estudiantes en una sede y en la otra sede 645 estudiantes en
pregrado y 35 estudiantes en postgrado. Tambin posee empleados acadmicos
y administrativos, es decir, acadmicos como el personal docente, que se encarga
de la atencin estudiantil y algunos procesos acadmicos y el personal
6
ISO/IEC
27001
Tipos de empleados
Nmero de empleados
Acadmicos (docentes)
478
Administrativos(
funcionarios)
220
Total empleados
698
7
ISO/IEC
27001
Seccin
C
C.4
C.5
C.6
C.7
C.8
A.5
A.5.1
A.5.1.1
Control
Aplica
Clusulas
Sistemas de Gestin de la Seguridad de
la Informacin
Responsabilidad de la direccin
Auditoras Internas del SG
Revisin por la direccin
Mejora del SG
POLTICA DE SEGURIDAD
Poltica de seguridad de la informacin
Documento de poltica de seguridad de la
informacin
Revisin de la poltica de seguridad de la
informacin
ASPECTOS ORGANIZATIVOS DE LA
SEGURIDAD DE LA INFORMACION
Organizacin interna
Compromiso de la Direccin con la
seguridad de la informacin
Coordinacin de la seguridad de la
informacin
Asignacin de responsabilidades relativas
a la seguridad de la informacin
Estado
Observaciones
No aplica
No aplica
No aplica
No aplica
No aplica
No aplica
No aplica
No aplica
No aplica
No aplica
Le falta la
aprobacin
Aplica
Parcialmente
implementado
Sin implementar
Aplica
Sin implementar
Existe
desconocimiento
Aplica
Sin implementar
Aplica
Parcialmente
implementado
Aplica
Implementado
A.6.1.5
Aplica
Parcialmente
implementado
A.6.1.6
Aplica
A.6.1.7
A.6.1.8
Aplica
Aplica
Parcialmente
implementado
Sin implementar
Parcialmente
implementado
A.6.2
A.6.2.1
Terceros
Identificacin de los riesgos derivados del
acceso de terceros
Tratamiento de la seguridad en la
relacin con los clientes
Tratamiento de la seguridad en contratos
con terceros
A.5.1.2
A.6
A.6.1
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.2.2
A.6.2.3
Aplica
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Responsabilidades
a nivel de
seguridad
perimetral y control
de acceso a SI
PRESUPUESTAL
Solo implementado
parcialmente para
contratistas
Con el equipo
forense del CTI
Contratacin
externa para
seguridad
perimetral con la
firma GLOBALTEK
SECURITY
8
ISO/IEC
27001
A.7
A.7.1
A.7.1.1
A.7.1.2
GESTIN DE ACTIVOS
Responsabilidad sobre los activos
Inventario de activos
Propiedad de los activos
A.7.1.3
A.7.2
A.7.2.1
A.7.2.2
Aplica
Aplica
Implementado
Implementado
Aplica
Implementado
Aplica
Sin implementar
Aplica
Sin implementar
A.8.1
A.8.1.1
Etiquetado y manipulado de la
informacin
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS
Antes del empleo
Funciones y responsabilidades
Aplica
A.8.1.2
Investigacin de antecedentes
Aplica
Parcialmente
implementado
Implementado
A.8.1.3
Aplica
Implementado
Clusulas de
confidencialidad en
contratos cuando
as es requerido.
A.8.2
A.8.2.1
A.8.2.2
Durante el empleo
Responsabilidades de la Direccin
Concienciacin, formacin y capacitacin
en seguridad de la informacin
Aplica
Aplica
Sin implementar
Parcialmente
implementado
A.8.2.3
A.8.3
Aplica
Sin implementar
A.8.3.1
Proceso disciplinario
Cese del empleo o cambio de puesto de
trabajo
Responsabilidad del cese o cambio
Aplica
Parcialmente
implementado
A.8.3.2
Devolucin de activos
Aplica
Implementado
A.8.3.3
Aplica
Parcialmente
implementado
A.8
Responsabilidad de
activos
No existen polticas
de clasificacin de
informacin
Slo para
responsable del
Centro de Cmputo
se ha dado
formacin y
participacin en
eventos de
seguridad
informtica
La responsabilidad
de notificacin es
de la Oficina de
talento humano
Los bienes en
delegacin se
entregan al finalizar
un contrato o un
nombramiento
Para los SI siempre
y cuando la Oficina
de Informtica sea
notificada del retiro
del funcionario o
9
ISO/IEC
27001
contratista.
A.9
A.9.1
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
Aplica
Aplica
Aplica
Implementado
Implementado
Parcialmente
implementado
Aplica
Implementado
Aplica
Aplica
Implementado
Implementado
A.9.2
A.9.2.1
Aplica
A.9.2.2
A.9.2.3
Instalaciones de suministro
Seguridad del cableado
Aplica
Aplica
A.9.2.4
Aplica
Parcialmente
implementado
Sin implementar
Parcialmente
implementado
Parcialmente
implementado
A.9.2.5
No aplica
A.9.1.5
A.9.1.6
A.9.2.6
A.9.2.7
A.10
Aplica
Sin implementar
Aplica
Parcialmente
implementado
Aplica
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
A.10.1.2
GESTIN DE COMUNICACIONES Y
OPERACIONES
Responsabilidades y procedimientos de
operacin
Documentacin de los procedimientos de
operacin
Gestin de cambios
A.10.1.3
Segregacin de tareas
Aplica
A.10.1.4
Aplica
A.10.2
A.10.1
A.10.1.1
A.10.2.1
A.10.2.2
A.10.2.3
A.10.3
Aplica
Aplica
Aplica
Implementado
Implementado
Aplica
Parcialmente
implementado
Algunas oficinas
presentan
deficiencias
Limitaciones para
el mantenimiento
de algunos equipos
Existe deficiencias
en control de la
vigilancia
Existe separacin
de los recursos
para desarrollo de
software
10
ISO/IEC
27001
A.10.3.1
A.10.3.2
A.10.4
Gestin de capacidades
Aceptacin del sistema
Proteccin contra cdigo malicioso y
descargable
Controles contra el cdigo malicioso
Aplica
Aplica
Sin implementar
Sin implementar
Aplica
A.10.4.2
Aplica
Parcialmente
implementado
Parcialmente
implementado
A.10.5
A.10.5.1
A.10.6
A.10.6.1
Copias de seguridad
Copias de seguridad de la informacin
Gestin de la seguridad de las redes
Controles de red
A.10.6.2
A.10.7
A.10.7.1
A.10.7.2
A.10.7.3
A.10.4.1
A.10.7.4
A.10.8
A.10.8.1
Aplica
Implementado
Aplica
Parcialmente
implementado
Parcialmente
implementado
Aplica
No aplica
No aplica
Aplica
Aplica
Parcialmente
implementado
Parcialmente
implementado
Aplica
Parcialmente
implementado
Sin implementar
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
A.10.8.2
A.10.8.3
Acuerdos de intercambio
Soportes fsicos en trnsito
Aplica
Aplica
A.10.8.4
Mensajera electrnica
Aplica
A.10.8.5
Aplica
A.10.9
A.10.9.1
A.10.9.2
A.10.9.3
A.10.10
A.10.10.1
A.10.10.2
Aplica
A.10.10.3
Aplica
A.10.10.4
A.10.10.5
A.10.10.6
Aplica
Aplica
Aplica
Aplica
Implementado
Implementado
Implementado
Aplica
Parcialmente
implementado
Parcialmente
implementado
Implementado
Aplica
Aplica
Proteccin con
antivirus
corporativo y
polticas en el
firewall
Sin implementar
Parcialmente
implementado
Implementado
Los servidores
tiene la hora
11
ISO/IEC
27001
nacional de
Cmara de
comercio.
A.11
A.11.1
A.11.1.1
A.11.2
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.3
A.11.3.1
A.11.3.2
A.11.3.3
CONTROL DE ACCESO
Requisitos de negocio para el control de
acceso
Poltica de control de acceso
Gestin de acceso de usuario
Registro de usuario
Gestin de privilegios
Gestin de contraseas de usuario
Revisin de los derechos de acceso de
usuario
Responsabilidades de usuario
Uso de contrasea
Aplica
Parcialmente
implementado
Aplica
Aplica
Aplica
Aplica
Implementado
Implementado
Implementado
Parcialmente
implementado
Aplica
Parcialmente
implementado
Sin implementar
Parcialmente
implementado
Aplica
Aplica
Aplica
A.11.4.5
Aplica
A.11.4.6
Aplica
A.11.4.7
Aplica
A.11.5.2
A.11.5.3
A.11.5.4
Aplica
A.11.5.5
Aplica
A.11.5.6
Aplica
A.11.6
A.11.4
A.11.4.1
A.11.4.2
A.11.4.3
A.11.4.4
A.11.5
A.11.5.1
A.11.6.1
A.11.6.2
A.11.7
Aplica
Aplica
Aplica
Parcialmente
implementado
Parcialmente
implementado
Implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Aplica
Implementado
Aplica
Aplica
Implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Aplica
Aplica
Implementado
Implementado
12
ISO/IEC
27001
A.11.7.1
Aplica
Sin implementar
No aplica
Sin implementar
Aplica
Parcialmente
implementado
A.12.2
A.12.2.1
Aplica
A.12.2.2
Aplica
A.12.2.3
Aplica
A.12.2.4
Aplica
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
A.12.3
A.12.3.1
A.12.3.2
Controles criptogrficos
Poltica de uso de los controles
criptogrficos
Gestin de claves
A.12.4
A.12.4.1
A.12.4.2
Aplica
Aplica
A.11.7.2
A.12
A.12.1
A.12.1.1
A.12.4.3
A.12.5
A.12.5.1
A.12.5.2
A.12.5.3
A.12.5.4
A.12.5.5
A.12.6
A.12.6.1
A.13
A.13.1
A.13.1.1
A.13.1.2
Aplica
Sin implementar
Aplica
Parcialmente
implementado
Aplica
Parcialmente
implementado
Parcialmente
implementado
Implementado
Aplica
Aplica
Aplica
Parcialmente
implementado
Parcialmente
implementado
Sin implementar
Aplica
Aplica
Sin implementar
Parcialmente
implementado
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
13
ISO/IEC
27001
A.13.2
A.15
A.15.1
A.15.1.1
A.15.1.2
Aplica
A.15.1.3
Aplica
A.13.2.1
A.13.2.2
A.13.2.3
A.14
A.14.1
A.14.1.1
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
A.15.1.4
A.15.1.5
A.15.1.6
A.15.2
A.15.2.1
A.15.2.2
A.15.3
A.15.3.1
A.15.3.2
Aplica
Aplica
Sin implementar
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Aplica
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Sin implementar
Aplica
Parcialmente
implementado
Parcialmente
implementado
Aplica
ESTADO
Poltica de Seguridad
Control de acceso
10
Cumplimiento
Gestin de
comunicacin y
operaciones
6
4
2
Gestin de la
continuidad del
negocio
ESTADO
0
Control de acceso
Gestin de
incidentes de la
seguridad de la
informacin
Adquisicin de
desarrollo y
mantenimiento de
los sistemas de
15
ISO/IEC
27001
1.3 Alcance
Teniendo en cuenta que la organizacin que se ha seleccionado para este
proyecto de implementacin de acuerdo a la normativa ISO/IEC 27001:2005 es
una empresa mediana que posee procesos acadmicos y administrativos y
presenta un nivel de seguridad bajo, es necesario empezar por las reas o
servicios que la empresa presta para cumplir su misin institucional, es decir,
salvaguardar todos los sistemas de informacin que permiten dar un buen servicio
a los estudiantes como clientes potenciales. En concreto, se debe implementar
todos los controles de seguridad necesarios en todos los procesos acadmicos de
la organizacin universitaria escogida ms an en los controles crticos que se
evaluaron en el anlisis diferencial reflejado en la tabla 2, anexada anteriormente.
A continuacin se relacionan el grupo de controles de la norma que son de
carcter crticos en la empresa por no tenerlos implementados y marcan el nivel
de seguridad actual de la empresa.
Poltica de Seguridad
Gestin de comunicacin y operaciones
Control de acceso
Adquisicin de desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
17
ISO/IEC
27001
18
ISO/IEC
27001
19
ISO/IEC
27001
20
ISO/IEC
27001
6. CONCLUSIONES
21
ISO/IEC
27001
7. BIBLIOGRAFIA
22
ISO/IEC
27001