ACTIVIDAD AA1- EVI 5

APLICACIÓN DE LA NORMA ISO 27002

ESPECIALIZACION GESTION Y SEGURIDAD DE BASE DE

DATOS (1881784)

APRENDIZ: KELLY JOHANA CABRERA OSPINO

SENA
2019
 TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................... 1
OBJETIVO DE LA AUDITORIA ............................................................................... 3
ALCANCE DE LA AUDITORIA................................................................................ 4
RESULTADOS DE LA AUDITORIA ........................................................................ 5
ASPECTOS CONFORMES..................................................................................... 6
OPORTUNIDADES DE MEJORA ........................................................................... 7
PLAN DE MEJORA SUGERIDO ............................................................................. 8
RESULTADOS DE LA AUDITORIA ........................................................................ 9
 INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles. A continuación se realiza una descripción de los aspectos que deben ser
tenidos en cuenta al momento de evaluar los controles de cada uno de los dominios
de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección
para la seguridad de la información en relación a los requisitos del negocio y
regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos controles
gestionan la seguridad de la información dentro de la Organización. El órgano de
dirección debe aprobar la política de seguridad de la información, asignando los
roles de seguridad y coordinando la implantación de la seguridad en toda la
Organización. Terceras partes: estos controles velan por mantener la seguridad de
los recursos de tratamiento de la información y de los activos de información de la
organización.
Clasificación y control de activos: Responsabilidad sobre los activos, estos
controles pretenden alcanzar y mantener una protección adecuada de los activos
de la organización. Clasificación y control de la información, se encuentra
clasificada para indicar las necesidades, prioridades y nivel de protección previsto
para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que
los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir el
riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de
información sensible deben estar ubicados en áreas seguras y protegidas en un
perímetro de seguridad definido por barreras y controles de entrada, protegidas
físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca en
los controles de protección contra amenazas físicas y para salvaguardar servicios
de apoyo como energía eléctrica e infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar
y mantener un nivel apropiado de seguridad de la información, además de la
operación correcta y segura de los recursos de tratamiento de información,

1
Minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
información en las redes y la protección de su infraestructura de apoyo.
Control de accesos: Controla los accesos a la información y los recursos de
tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles
adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se determinan
en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información: Se establecen informes
de los eventos y de los procedimientos realizados, todos los empleados, contratistas
y terceros deben estar al tanto de los procedimientos para informar de los diferentes
tipos de eventos y debilidades que puedan tener impacto en la seguridad de los
activos de la organización.
Gestión de la continuidad del negocio: La seguridad de información debe ser una
parte integral del plan general de continuidad del negocio (PCN) y de los demás
procesos de gestión dentro de la organización. El plan de gestión de la continuidad
debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las
operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,
estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
dentro y fuera de la organización. Los requisitos legales específicos deberían ser
advertidos por los asesores legales de la organización o por profesionales del área.
Además se deberían realizar revisiones regulares de la seguridad de los sistemas
de información.

2
 OBJETIVO DE LA AUDITORIA

 Evaluar la conformidad del sistema de gestión de seguridad de la información

regido bajo la norma ISO 27002.

 Revisar la situación actual de la empresa identificando las condiciones de

seguridad de la información.

 Proponer un plan de mejora con base a los hallazgos encontrados en el

contexto de seguridad de la información con base a la norma 27002.

3
 ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la

información relacionada con la empresa IEB, donde se analizaron todos los
requisitos bajo la norma ISO 27002, expuestos en el anexo de este documento.

4
 RESULTADOS DE LA AUDITORIA

ASPECTOS CONFORMES

 Se pudo identificar que la empresa cuenta con una política de seguridad

sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.

 La estructura organizativa para la seguridad se encuentra bien constituida en

lo correspondiente a la organización interna y lo relacionado con las terceras
partes.

 La empresa cuenta con el inventario de los activos que posee, sus

propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de la
información.

 Durante la auditoria se pudo identificar que los procedimientos y

responsabilidades se encuentran bien definidos y documentados, al igual que
la administración de los servicios de terceras partes, monitoreando y
revisando sus servicios.

 Los controles de seguridad contra software malicioso se encuentran bien

soportados, empleando controles en las redes y seguridad de sus servicios.

 Se identifican sólidos controles de accesos, empleando políticas de control

de accesos, registrando usuarios y administrando sus privilegios y
contraseñas. También se ejerce fuerte control de acceso a las redes, por
medio de autenticación para usuarios con conexiones externas.

 Se registran procedimientos, reportes y procedimientos de los incidentes

relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.

5
 ASPECTOS CONFORMES

 Se logró evidenciar que no se encuentra bien definido un comité relacionado

con la dirección sobre la seguridad de la información.

 No se soporta los riesgos identificados por el acceso de terceras personas.

 No se tienen claras las políticas de copias de seguridad de la información,

donde posiblemente no se tenga soporte de estas.

 Se pudo observar que no se posee un sistema de administración de

contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.

6
 OPORTUNIDADES DE MEJORA
ASPECTO
Estructura organizativa para la
seguridad
 Organización Interna.
 Comité de la dirección sobre
seguridad de la información.
Estructura organizativa para la
seguridad
 Terceras Partes.
 Identificación de riesgos por el
acceso de terceras partes.
Gestión de comunicaciones y
operaciones
 Copias de seguridad.
 Información de copias de
seguridad.
Control de accesos
 Control de acceso al sistema
operativo.
 Sistema de administración de
contraseñas.
7
OBSERVACIÓN
Se considera necesario que se
conformen o se definan de manera más
clara el comité de la dirección sobre
seguridad de la información, esto
permitirá una estructura organizativa
más sólida para la empresa.
Se considera importante analizar los
riesgos por parte de acceso de terceras
partes, esto para garantizar la solidez
del esquema de seguridad de la
información con una estructura
organizativa mejor formada.
Se deben documentar y soportar las
copias de seguridad, con el fin de
obtener mejores prestaciones en la
persistencia de los datos y obteniendo
a su vez mejor gestión de
comunicaciones y operaciones.
Para garantizar la robustez de los
controles de acceso, es necesario que
se mejore el sistema de administración
de contraseñas; permitiéndole a los
usuarios realizar cambios periódicos de
estas garantizando la seguridad de los
datos privados de la empresa.
 PLAN DE MEJORA SUGERIDO

MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
 Organización Interna.
 Comité de la dirección sobre seguridad
de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
Análisis de la  Identificación de riesgos por el acceso de
información terceras partes.
ISO 27002 Gestión de comunicaciones y operaciones
 Copias de seguridad.
 Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
 Sistema de administración de
contraseñas.

8
 RESULTADOS DE LA AUDITORIA

% de cumplimiento de la norma
Objetivos de
Dominios Controles
Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

1 2 Política de Seguridad 1.5 100 100

2 Política de Seguridad de la Información 100 100

Documento de la
política de
5 1 Debe 50 100
seguridad de la
1 información 100
Revisión de la
política de
2 Debe 50 100
seguridad de la
información 100
2 11 Estructura organizativa para la seguridad 8.27 80.91 100

8 Organización Interna 72.73 61.82

Comité de la
dirección sobre
1 Debe 9.09 30
seguridad de la
información 30
Coordinación de la
2 Debe seguridad de la 9.09 90
información 90
Asignación de
responsabilidades
3 Debe para la de 9.09 100
6 seguridad de la
1 información 100
Proceso de
autorización para
4 Debe instalaciones de 9.09 100
procesamiento de
información 100
Acuerdos de
5 Debe 9.09 100
confidencialidad 100
Contacto con
6 Puede 9.09 80
autoridades 80
Contacto con
7 Puede 9.09 100
grupos de interés 100
Revisión
8 Puede 9.09 80
independiente de la 80

9
 seguridad de la
información
3 Terceras partes 27.27 19.09
Identificación de
riesgos por el
1 Debe 9.09 50
acceso de terceras
partes 50
2 Temas de
2 Debe seguridad a tratar 9.09 80
con clientes 80
Temas de
seguridad en
3 Debe 9.09 80
acuerdos con
terceras partes 80

Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control

2 5 Clasificación y control de activos 3.76 100 100

3 Responsabilidad sobre los activos 60 60

1 Debe Inventario de activos 20 100 100

1
2 Debe Propietario de activos 20 100 100
7 Uso aceptable de los
3 Debe 20 100
activos 100
2 Clasificación de la información 40 40

2 1 Debe Guías de clasificación 20 100 100

Etiquetado y manejo
2 Debe 20 100
de la información 100
Gestión de comunicaciones y
10 32 24.06 33.5 100
operaciones
Procedimientos operacionales y
4 12.5 11.25
responsabilidades
Procedimientos de
1 Debe operación 3.125 100
documentados 100
10
2 Debe Control de cambios 3.125 100 100
1
Separación de
3 Debe 3.125 80
funciones 80
Separación de las
instalaciones de
4 Debe 3.125 80
desarrollo y
producción 80

10
 Administración de servicios de terceras
3 9.38 8.13
partes
1 Puede Entrega de servicios 3.12 100 100
2 Monitoreo y revisión
2 Puede de servicios de 3.12 80
terceros 80
Manejo de cambios a
3 Puede 3.12 80
servicios de terceros 80
Protección contra software malicioso y
2 6.25 6.25
móvil
Controles contra
4 1 Debe 3.125 100
software malicioso 100
Controles contra
2 Debe 3.125 100
código móvil 100
1 Copias de seguridad 3.13 1.57
5
Información de copias
1 Debe 3.13 50
de seguridad 50
2 Administración de la seguridad en redes 6.25 6.25

6 1 Debe Controles de redes 3.125 100 100

Seguridad de los
2 Debe 3.125 100
servicios de red 100
Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control

7 25 Control de accesos 18.8 96.4 100

Requisitos de negocio para el control de
1 4 4
acceso
1
Política de control de
1 Debe 4 100
accesos 100
4 Administración de acceso de usuarios 16 16

1 Debe Registro de usuarios 4 100 100

Administración de
2 2 Debe 4 100
privilegios 100
11 Administración de
3 Debe 4 100
contraseñas 100
Revisión de los derechos
4 Debe 4 100
de acceso de usuario 100
3 Responsabilidades de los usuarios 12 12

1 Debe Uso de contraseñas 4 100 100

3 Equipos de cómputo de
2 Puede 4 100
usuario desatendidos 100
Política de escritorios y
3 Puede 4 100
pantallas limpias 100

11
 7 Control de acceso a redes 28 28
Política de uso de los
1 Debe 4 100 100
servicios de red
Autenticación de usuarios
2 Puede 4 100 100
para conexiones externas
Identificación de equipos
3 Puede 4 100 100
en la red
4
Administración remota y
4 Debe 4 100 100
protección de puertos
5 Puede Segmentación de redes 4 100 100
Control de conexión a las
6 Debe 4 100 100
redes
Control de enrutamiento
7 Debe 4 100 100
en la red
6 Control de acceso al 12istema operativo 24 20.4
Procedimientos seguros de
1 Debe 4 80 80
Log-on en el sistema
Identificación y
2 Debe autenticación de los 4 100 100
usuarios
5 Sistema de administración
3 Debe 4 30
de contraseñas
Uso de utilidades de
4 Puede 4 100 100
sistema
5 Debe Inactividad de la sesión 4 100 100
Limitación del tiempo de
6 Puede 4 100 100
conexión
Control de acceso a las aplicaciones y la
2 8 8
información
Restricción del acceso a la
6 1 Puede 4 100 100
información
Aislamiento de sistemas
2 Puede 4 100 100
sensibles
2 Ordenadores portátiles y teletrabajo 8 8
Ordenadores portátiles y
7 1 Puede 4 100 100
comunicaciones moviles
2 Puede Teletrabajo 4 100 100

12
 Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control
Gestión de incidentes de la seguridad de
2 5 3.76 100 100
la información
Notificando eventos de seguridad de la
2 40 40
información y debilidades
Reportando eventos de
1 1 Debe seguridad de la 20 100 100
información
Reportando debilidades
13 2 Puede 20 100 100
de seguridad
Gestión de incidentes y mejoramiento de
3 60 60
la seguridad de la información
Procedimientos y
1 Debe 20 100 100
2 responsabilidades
2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100

13