Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SENA
2019
TABLA DE CONTENIDO
INTRODUCCIÓN .................................................................................................... 1
OBJETIVO DE LA AUDITORIA ............................................................................... 3
ALCANCE DE LA AUDITORIA................................................................................ 4
RESULTADOS DE LA AUDITORIA ........................................................................ 5
ASPECTOS CONFORMES..................................................................................... 6
OPORTUNIDADES DE MEJORA ........................................................................... 7
PLAN DE MEJORA SUGERIDO ............................................................................. 8
RESULTADOS DE LA AUDITORIA ........................................................................ 9
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles. A continuación se realiza una descripción de los aspectos que deben ser
tenidos en cuenta al momento de evaluar los controles de cada uno de los dominios
de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección
para la seguridad de la información en relación a los requisitos del negocio y
regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos controles
gestionan la seguridad de la información dentro de la Organización. El órgano de
dirección debe aprobar la política de seguridad de la información, asignando los
roles de seguridad y coordinando la implantación de la seguridad en toda la
Organización. Terceras partes: estos controles velan por mantener la seguridad de
los recursos de tratamiento de la información y de los activos de información de la
organización.
Clasificación y control de activos: Responsabilidad sobre los activos, estos
controles pretenden alcanzar y mantener una protección adecuada de los activos
de la organización. Clasificación y control de la información, se encuentra
clasificada para indicar las necesidades, prioridades y nivel de protección previsto
para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que
los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir el
riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de
información sensible deben estar ubicados en áreas seguras y protegidas en un
perímetro de seguridad definido por barreras y controles de entrada, protegidas
físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca en
los controles de protección contra amenazas físicas y para salvaguardar servicios
de apoyo como energía eléctrica e infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar
y mantener un nivel apropiado de seguridad de la información, además de la
operación correcta y segura de los recursos de tratamiento de información,
1
Minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
información en las redes y la protección de su infraestructura de apoyo.
Control de accesos: Controla los accesos a la información y los recursos de
tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles
adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se determinan
en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información: Se establecen informes
de los eventos y de los procedimientos realizados, todos los empleados, contratistas
y terceros deben estar al tanto de los procedimientos para informar de los diferentes
tipos de eventos y debilidades que puedan tener impacto en la seguridad de los
activos de la organización.
Gestión de la continuidad del negocio: La seguridad de información debe ser una
parte integral del plan general de continuidad del negocio (PCN) y de los demás
procesos de gestión dentro de la organización. El plan de gestión de la continuidad
debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las
operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,
estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
dentro y fuera de la organización. Los requisitos legales específicos deberían ser
advertidos por los asesores legales de la organización o por profesionales del área.
Además se deberían realizar revisiones regulares de la seguridad de los sistemas
de información.
2
OBJETIVO DE LA AUDITORIA
3
ALCANCE DE LA AUDITORIA
4
RESULTADOS DE LA AUDITORIA
ASPECTOS CONFORMES
5
ASPECTOS CONFORMES
6
OPORTUNIDADES DE MEJORA
ASPECTO OBSERVACIÓN
Estructura organizativa para la Se considera necesario que se
seguridad conformen o se definan de manera más
Organización Interna. clara el comité de la dirección sobre
Comité de la dirección sobre seguridad de la información, esto
seguridad de la información. permitirá una estructura organizativa
más sólida para la empresa.
Estructura organizativa para la Se considera importante analizar los
seguridad riesgos por parte de acceso de terceras
Terceras Partes. partes, esto para garantizar la solidez
Identificación de riesgos por el del esquema de seguridad de la
acceso de terceras partes. información con una estructura
organizativa mejor formada.
Gestión de comunicaciones y Se deben documentar y soportar las
operaciones copias de seguridad, con el fin de
Copias de seguridad. obtener mejores prestaciones en la
Información de copias de persistencia de los datos y obteniendo
seguridad. a su vez mejor gestión de
comunicaciones y operaciones.
Control de accesos Para garantizar la robustez de los
Control de acceso al sistema controles de acceso, es necesario que
operativo. se mejore el sistema de administración
Sistema de administración de de contraseñas; permitiéndole a los
contraseñas. usuarios realizar cambios periódicos de
estas garantizando la seguridad de los
datos privados de la empresa.
7
PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
Organización Interna.
Comité de la dirección sobre seguridad
de la información.
Estructura organizativa para la seguridad
Terceras Partes.
Análisis de la Identificación de riesgos por el acceso de
información terceras partes.
ISO 27002 Gestión de comunicaciones y operaciones
Copias de seguridad.
Información de copias de seguridad.
Control de accesos
Control de acceso al sistema operativo.
Sistema de administración de
contraseñas.
8
RESULTADOS DE LA AUDITORIA
% de cumplimiento de la norma
Objetivos de
Dominios Controles
Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
9
seguridad de la
información
3 Terceras partes 27.27 19.09
Identificación de
riesgos por el
1 Debe 9.09 50
acceso de terceras
partes 50
2 Temas de
2 Debe seguridad a tratar 9.09 80
con clientes 80
Temas de
seguridad en
3 Debe 9.09 80
acuerdos con
terceras partes 80
Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control
10
Administración de servicios de terceras
3 9.38 8.13
partes
1 Puede Entrega de servicios 3.12 100 100
2 Monitoreo y revisión
2 Puede de servicios de 3.12 80
terceros 80
Manejo de cambios a
3 Puede 3.12 80
servicios de terceros 80
Protección contra software malicioso y
2 6.25 6.25
móvil
Controles contra
4 1 Debe 3.125 100
software malicioso 100
Controles contra
2 Debe 3.125 100
código móvil 100
1 Copias de seguridad 3.13 1.57
5
Información de copias
1 Debe 3.13 50
de seguridad 50
2 Administración de la seguridad en redes 6.25 6.25
11
7 Control de acceso a redes 28 28
Política de uso de los
1 Debe 4 100 100
servicios de red
Autenticación de usuarios
2 Puede 4 100 100
para conexiones externas
Identificación de equipos
3 Puede 4 100 100
en la red
4
Administración remota y
4 Debe 4 100 100
protección de puertos
5 Puede Segmentación de redes 4 100 100
Control de conexión a las
6 Debe 4 100 100
redes
Control de enrutamiento
7 Debe 4 100 100
en la red
6 Control de acceso al 12istema operativo 24 20.4
Procedimientos seguros de
1 Debe 4 80 80
Log-on en el sistema
Identificación y
2 Debe autenticación de los 4 100 100
usuarios
5 Sistema de administración
3 Debe 4 30
de contraseñas
Uso de utilidades de
4 Puede 4 100 100
sistema
5 Debe Inactividad de la sesión 4 100 100
Limitación del tiempo de
6 Puede 4 100 100
conexión
Control de acceso a las aplicaciones y la
2 8 8
información
Restricción del acceso a la
6 1 Puede 4 100 100
información
Aislamiento de sistemas
2 Puede 4 100 100
sensibles
2 Ordenadores portátiles y teletrabajo 8 8
Ordenadores portátiles y
7 1 Puede 4 100 100
comunicaciones moviles
2 Puede Teletrabajo 4 100 100
12
Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control
Gestión de incidentes de la seguridad de
2 5 3.76 100 100
la información
Notificando eventos de seguridad de la
2 40 40
información y debilidades
Reportando eventos de
1 1 Debe seguridad de la 20 100 100
información
Reportando debilidades
13 2 Puede 20 100 100
de seguridad
Gestión de incidentes y mejoramiento de
3 60 60
la seguridad de la información
Procedimientos y
1 Debe 20 100 100
2 responsabilidades
2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100
13