AA1-E5-APLICACIÓN DE LA NORMA ISO 27002

Descripción breve
Dominar los conceptos claves para preservar la seguridad de la información.
Conocer estándares internaciones como guía y apoyo en la seguridad de la información.

Elvia Maria Genez Padilla

egenezp@gmail.com
 TABLA DE CONTENIDO
Pág.

INTRODUCCIÓN ............................................................................................................... 1
OBJETIVO DE LA AUDITORIA ......................................................................................... 3
ALCANCE DE LA AUDITORIA .......................................................................................... 4
RESULTADOS DE LA AUDITORIA ................................................................................... 5
ASPECTOS CONFORMES ............................................................................................ 5
ASPECTOS CONFORMES ............................................................................................ 6
OPORTUNIDADES DE MEJORA ...................................................................................... 7
PLAN DE MEJORA SUGERIDO ........................................................................................ 8
RESULTADOS DE LA AUDITORIA ................................................................................... 0
BIBLIOGRAFÍA .................................................................................................................. 0
 INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC
27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener
sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11
dominios (del 5 al 15), 39 objetivos de control y 133 controles.

A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta
al momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para

la seguridad de la información en relación a los requisitos del negocio y regulaciones
relevantes.

Estructura organizativa para la seguridad: Organización interna: estos controles

gestionan la seguridad de la información dentro de la Organización. El órgano de dirección
debe aprobar la política de seguridad de la información, asignando los roles de seguridad y
coordinando la implantación de la seguridad en toda la Organización. Terceras partes: estos
controles velan por mantener la seguridad de los recursos de tratamiento de la información
y de los activos de información de la organización.

Clasificación y control de activos: Responsabilidad sobre los activos: estos controles

pretenden alcanzar y mantener una protección adecuada de los activos de la organización.
Clasificación y control de de la información: la información se encuentra clasificada para
indicar las necesidades, prioridades y nivel de protección previsto para su tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y
sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal
uso de las instalaciones y medios.

Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de

información sensible deben estar ubicados en áreas seguras y protegidas en un perímetro
de seguridad definido por barreras y controles de entrada, protegidas físicamente contra
accesos no autorizados. Seguridad de los equipos: se enfoca en los controles de protección
contra amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e
infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y
mantener un nivel apropiado de seguridad de la información, además de la operación
correcta y segura de los recursos de tratamiento de información, minimizando el riesgo de
fallos en los sistemas y asegurando la protección de la información en las redes y la
protección de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la información y los recursos de tratamiento de

la información en base a las necesidades de seguridad de la organización y las políticas
para el control de los accesos.

Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles adicionales

para los sistemas que procesan o tienen algún efecto en activos de información de carácter
sensible, valioso o crítico. Dichos controles se determinan en función de los requisitos de
seguridad y la estimación del riesgo.

Gestión de incidentes de seguridad de la información: Se establecen informes de los

eventos y de los procedimientos realizados, todos los empleados, contratistas y terceros
deben estar al tanto de los procedimientos para informar de los diferentes tipos de eventos
y debilidades que puedan tener impacto en la seguridad de los activos de la organización.

Gestión de la continuidad del negocio: La seguridad de información debe ser una parte
integral del plan general de continuidad del negocio (PCN) y de los demás procesos de
gestión dentro de la organización. El plan de gestión de la continuidad debe incluir el
proceso de evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,

regulación u obligación contractual y de cualquier requisito de seguridad dentro y fuera de
la organización. Los requisitos legales específicos deberían ser advertidos por los asesores
legales de la organización o por profesionales del área. Además se deberían realizar
revisiones regulares de la seguridad de los sistemas de información.
 OBJETIVO DE LA AUDITORIA
 Evaluar la conformidad del sistema de gestión de seguridad de la información regido
bajo la norma ISO 27002.
 Revisar la situación actual de la empresa identificando las condiciones de seguridad
de la información-
 Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de
seguridad de la información con base a la norma 27002.
 ALCANCE DE LA AUDITORIA
La auditoría tiene como alcance el sistema de gestión de seguridad de la información
relacionada con la empresa IEB, donde se analizaron todos los requisitos bajo la norma
ISO 27002, expuestos en el anexo de este documento.
 RESULTADOS DE LA AUDITORIA
ASPECTOS CONFORMES

 Se pudo identificar que la empresa cuenta con una política de seguridad sólida,
contando con documentos que soportan la seguridad de la información, al igual que
las revisiones de estas.
 La estructura organizativa para la seguridad se encuentra bien constituida en lo
correspondiente a la organización interna y lo relacionado con las terceras partes.
 La empresa cuenta con el inventario de los activos que posee, sus propietarios y
uso aceptable. Además cuenta con una clasificación organizada, incluyendo las
guías de clasificación, etiquetado y manejo de la información.
 Durante la auditoria se pudo identificar que los procedimientos y responsabilidades
se encuentran bien definidos y documentados, al igual que la administración de los
servicios de terceras partes, monitoreando y revisando sus servicios.
 Los controles de seguridad contra software malicioso se encuentran bien
soportados, empleando controles en las redes y seguridad de sus servicios.
 Se identifican sólidos controles de accesos, empleando políticas de control de
accesos, registrando usuarios y administrando sus privilegios y contraseñas.
También se ejerce fuerte control de acceso a las redes, por medio de autenticación
para usuarios con conexiones externas.
 Se registran procedimientos, reportes y procedimientos de los incidentes
relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.
ASPECTOS CONFORMES

 Se logró evidenciar que no se encuentra bien definido un comité relacionado con la

dirección sobre la seguridad de la información.
 No se soporta los riesgos identificados por el acceso de terceras personas.
 No se tienen claras las políticas de copias de seguridad de la información, donde
posiblemente no se tenga soporte de estas.
 Se pudo observar que no se posee un sistema de administración de contraseñas,
no se exigen controles adicionales para el cambio de estas luego de un lapso
determinado de tiempo.
 OPORTUNIDADES DE MEJORA
ASPECTO
Estructura organizativa para la seguridad
 Organización Interna.
o Comité de la dirección sobre
seguridad de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
o Identificación de riesgos por el
acceso de terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de
seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de
contraseñas.
OBSERVACIÓN
Se considera necesario que se conformen o se
definan de manera más clara el comité de la
dirección sobre seguridad de la información, esto
permitirá una estructura organizativa más sólida para
la empresa.
Se considera importante analizar los riesgos por
parte de acceso de terceras partes, esto para
garantizar la solidez del esquema de seguridad de la
información con una estructura organizativa mejor
formada.
Se deben documentar y soportar las copias de
seguridad, con el fin de obtener mejores prestaciones
en la persistencia de los datos y obteniendo a su vez
mejor gestión de comunicaciones y operaciones.
Para garantizar la robustez de los controles de
acceso, es necesario que se mejore el sistema de
administración de contraseñas; permitiéndole a los
usuarios realizar cambios periódicos de estas
garantizando la seguridad de los datos privados de la
empresa.
 PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
 Organización Interna.
o Comité de la dirección sobre seguridad de la
información.
Estructura organizativa para la seguridad
 Terceras Partes.
Análisis de la
o Identificación de riesgos por el acceso de terceras
información
partes.
ISO 27002
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de contraseñas.
 RESULTADOS DE LA AUDITORIA
Objetivos % de cumplimiento de la norma
Dominios de Controles NC. NC.
Control Orientación Descripción PD NC. D PO
O
PC
C
Escala

1 2 Política de Seguridad 1.5 100 100

2 Política de Seguridad de la Información 100 100
5
1 1 Debe Documento de la política de seguridad de la información 50 100 100
2 Debe Revisión de la política de seguridad de la información 50 100 100
2 11 Estructura organizativa para la seguridad 8.27 80.91 100
8 Organización Interna 72.73 61.82
1 Debe Comité de la dirección sobre seguridad de la información 9.09 30 30
2 Debe Coordinación de la seguridad de la información 9.09 90 90
Asignación de responsabilidades para la de seguridad de la
3 Debe información 9.09 100 100
1 Proceso de autorización para instalaciones de
4 Debe procesamiento de información 9.09 100 100

6 5 Debe Acuerdos de confidencialidad 9.09 100 100

6 Puede Contacto con autoridades 9.09 80 80
7 Puede Contacto con grupos de interés 9.09 100 100
8 Puede Revisión independiente de la seguridad de la información 9.09 80 80
3 Terceras partes 27.27 19.09
1 Debe Identificación de riesgos por el acceso de terceras partes 9.09 50 50
2
2 Debe Temas de seguridad a tratar con clientes 9.09 80 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9.09 80 80
 Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD
D
PO NC. O PC
C
Escala
Control
2 5 Clasificación y control de activos 3.76 100 100
3 Responsabilidad sobre los activos 60 60
1 Debe Inventario de activos 20 100 100
1
2 Debe Propietario de activos 20 100 100
7
3 Debe Uso aceptable de los activos 20 100 100
2 Clasificación de la información 40 40
2 1 Debe Guías de clasificación 20 100 100
2 Debe Etiquetado y manejo de la información 20 100 100
10 32 Gestión de comunicaciones y operaciones 24.06 33.5 100
4 Procedimientos operacionales y responsabilidades 12.5 11.25
1 Debe Procedimientos de operación documentados 3.125 100 100
1 2 Debe Control de cambios 3.125 100 100
3 Debe Separación de funciones 3.125 80 80
4 Debe Separación de las instalaciones de desarrollo y producción 3.125 80 80
3 Administración de servicios de terceras partes 9.38 8.13
1 Puede Entrega de servicios 3.12 100 100
2
2 Puede Monitoreo y revisión de servicios de terceros 3.12 80 80
10
3 Puede Manejo de cambios a servicios de terceros 3.12 80 80
2 Protección contra software malicioso y móvil 6.25 6.25
4 1 Debe Controles contra software malicioso 3.125 100 100
2 Debe Controles contra código móvil 3.125 100 100
1 Copias de seguridad 3.13 1.57
5
1 Debe Información de copias de seguridad 3.13 50 50
2 Administración de la seguridad en redes 6.25 6.25
6 1 Debe Controles de redes 3.125 100 100
2 Debe Seguridad de los servicios de red 3.125 100 100
 Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO
O
PC
C
Escala
Control
7 25 Control de accesos 18.8 96.4 100
1 Requisitos de negocio para el control de acceso 4 4
1
1 Debe Política de control de accesos 4 100 100
4 Administración de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100 100
2 2 Debe Administración de privilegios 4 100 100
3 Debe Administración de contraseñas 4 100 100
4 Debe Revisión de los derechos de acceso de usuario 4 100 100
3 Responsabilidades de los usuarios 12 12
1 Debe Uso de contraseñas 4 100 100
3
2 Puede Equipos de cómputo de usuario desatendidos 4 100 100
3 Puede Política de escritorios y pantallas limpias 4 100 100
7 Control de acceso a redes 28 28
11
1 Debe Política de uso de los servicios de red 4 100 100
2 Puede Autenticación de usuarios para conexiones externas 4 100 100
3 Puede Identificación de equipos en la red 4 100 100
4
4 Debe Administración remota y protección de puertos 4 100 100
5 Puede Segmentación de redes 4 100 100
6 Debe Control de conexión a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al 2istema operativo 24 20.4
1 Debe Procedimientos seguros de Log-on en el sistema 4 80 80
2 Debe Identificación y autenticación de los usuarios 4 100 100
5
3 Debe Sistema de administración de contraseñas 4 30
4 Puede Uso de utilidades de sistema 4 100 100
5 Debe Inactividad de la sesión 4 100 100
 6 Puede Limitación del tiempo de conexión 4 100 100
2 Control de acceso a las aplicaciones y la información 8 8
6 1 Puede Restricción del acceso a la información 4 100 100
2 Puede Aislamiento de sistemas sensibles 4 100 100
2 Ordenadores portátiles y teletrabajo 8 8
7 1 Puede Ordenadores portátiles y comunicaciones moviles 4 100 100
2 Puede Teletrabajo 4 100 100

Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO
O
PC
C
Escala
Control
2 5 Gestión de incidentes de la seguridad de la información 3.76 100 100
2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 60
1 Debe Procedimientos y responsabilidades 20 100 100
2
2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100
 BIBLIOGRAFÍA
 Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA
ISO 27002. Recuperado de http://www.senasofiaplus.edu.co
 Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de
Gestión de Seguridad de la Información ISO/IEC 27001:2013. Recuperado de
http://es.presidencia.gov.co