Para la elaboracin de un plan de mejora, aplicando la norma ISO 27002 tome
como referencia la empresa en la cual actualmente me encuentro trabajando la cual es una empresa de Tecnologa la cual actualmente cuenta con un sistema de gestin de calidad certificado bajo la ISO 9001.
ANALISIS DE SEGURIDAD DE LA EMPRESA
La empresa cuenta con una infraestructura pequea la cual consiste de un
Datacenter con 3 Servidores en los cuales se maneja las siguientes aplicaciones: Servidor 1: Servidor de archivos Servidor 2: Servidor de Dominio (AD) Y DNS Servidor 3: Servidor De DB (DB de contabilidad) Cuenta con 2 ISP los cuales llegan a un Administrador de ancho de banda, en el cual se maneja estabilidad y tolerancia a fallos.
HALLAZGOS
POSTIVOS: -
La empresa cuenta con un organigrama del cual se desprenden cargos y se
asignan responsabilidades, adems se manejan acuerdos de confidencialidad con los empleados, y se diligencian formatos en la contratacin, induccin, duracin y terminacin de contrato La empresa cuenta con un inventario de todos los activos fijos y del Software, el cual es retroalimentado por el director comercial. Cuenta con controles de acceso a las instalaciones y al datacenter. Y se maneja seguridad perimetral por medio de un circuito cerrado de televisin (CCTV) Se realizan mantenimientos peridicos a todos los equipos. Se manejan programas de respaldo a la informacin de todos los usuarios, as mismo se maneja la proteccin de los datos por medio antivirus.
NEGATIVOS: -
Actualmente no cuenta con un SGSI establecido, por lo cual no se manejan
documentos con respecto a la seguridad de la informacin, las polticas de seguridad de la informacin no son oficiales y son creadas por el Director de infraestructura. No se manejan polticas con respecto al intercambio de la informacin. No se manejan polticas con respecto a los registros de los sistemas. No se tienen polticas establecidas sobre el control de cambios
PLAN DE MEJORA La empresa debe enfatizar en la mejora de los siguientes dominios:
DOMINIO 5 (POLITICA DE SEGURIDAD DE LA INFOMACION)
Se debe implementar un SGSI en la empresa para empezar a realizar polticas de seguridad de toda la infraestructura, para poder realizar una gestin ms exacta y se puedan evitar fututos inconvenientes.
DOMINIO 10 (GESTIN DE COMUNICACIONES Y OPERACIONES)
Se deben crear polticas con respecto al intercambio de informacin, solo as nos aseguramos que no existan fugas de informacin, adems se deben establecer polticas con respecto al control de cambios puesto que as nos cercioramos de que se tiene una estructura organizacional Adems de debe tener control con respecto a los registros generados por el sistema puesto que de esta forma podremos evitar futuros daos.