Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Descripción breve
Dominar los conceptos claves para preservar la seguridad de la información.
Conocer estándares internaciones como guía y apoyo en la seguridad de la información.
INTRODUCCIÓN ............................................................................................................... 1
OBJETIVO DE LA AUDITORIA ......................................................................................... 3
ALCANCE DE LA AUDITORIA .......................................................................................... 4
RESULTADOS DE LA AUDITORIA ................................................................................... 5
ASPECTOS CONFORMES ............................................................................................ 5
ASPECTOS CONFORMES ............................................................................................ 6
OPORTUNIDADES DE MEJORA ...................................................................................... 7
PLAN DE MEJORA SUGERIDO ........................................................................................ 8
RESULTADOS DE LA AUDITORIA ................................................................................... 0
BIBLIOGRAFÍA .................................................................................................................. 0
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC
27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener
sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11
dominios (del 5 al 15), 39 objetivos de control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta
al momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y
sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal
uso de las instalaciones y medios.
Gestión de la continuidad del negocio: La seguridad de información debe ser una parte
integral del plan general de continuidad del negocio (PCN) y de los demás procesos de
gestión dentro de la organización. El plan de gestión de la continuidad debe incluir el
proceso de evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.
Se pudo identificar que la empresa cuenta con una política de seguridad sólida,
contando con documentos que soportan la seguridad de la información, al igual que
las revisiones de estas.
La estructura organizativa para la seguridad se encuentra bien constituida en lo
correspondiente a la organización interna y lo relacionado con las terceras partes.
La empresa cuenta con el inventario de los activos que posee, sus propietarios y
uso aceptable. Además cuenta con una clasificación organizada, incluyendo las
guías de clasificación, etiquetado y manejo de la información.
Durante la auditoria se pudo identificar que los procedimientos y responsabilidades
se encuentran bien definidos y documentados, al igual que la administración de los
servicios de terceras partes, monitoreando y revisando sus servicios.
Los controles de seguridad contra software malicioso se encuentran bien
soportados, empleando controles en las redes y seguridad de sus servicios.
Se identifican sólidos controles de accesos, empleando políticas de control de
accesos, registrando usuarios y administrando sus privilegios y contraseñas.
También se ejerce fuerte control de acceso a las redes, por medio de autenticación
para usuarios con conexiones externas.
Se registran procedimientos, reportes y procedimientos de los incidentes
relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.
ASPECTOS CONFORMES
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO
O
PC
C
Escala
Control
2 5 Gestión de incidentes de la seguridad de la información 3.76 100 100
2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 60
1 Debe Procedimientos y responsabilidades 20 100 100
2
2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100
BIBLIOGRAFÍA
Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA
ISO 27002. Recuperado de http://www.senasofiaplus.edu.co
Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de
Gestión de Seguridad de la Información ISO/IEC 27001:2013. Recuperado de
http://es.presidencia.gov.co