Aplicación de La Norma ISO 27002 PDF

ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
FASE DE ANÁLISIS
AA1 – EVIDENCIA 5
Aplicación de la norma ISO 27002
Ficha 1881771
Presentado por: Carlos Julio Mesa G.
Instructor: Camilo Andrés Gutiérrez Oviedo
SERVICIO NACIONAL DE APRENDIZAJE
SENA
-2019-
CENTRO DE SERVICIOS FINANCIEROS

GESTIÓN Y SEGURIDAD DE BASES DE DATOS – SENA 2019
INTRODUCCIÓN
La seguridad de la información es un tema que ha ganado cuerpo en los

últimos años, obteniendo espacio en los medios y convirtiéndose en una
prioridad en empresas de los más variados portes y segmentos.
En contrapartida es importante subrayar que la popularización de la

Seguridad de la Información fue motivada por la elevación en el número
de incidentes de seguridad, ocurridos a nivel mundial.
Los trastornos generados por esos incidentes son variados, generando

daños a la imagen del negocio o fuga de informaciones críticas, lo que
puede resultar en pérdidas financieras sustanciales.
El aumento del número de ocurrencias influye en la percepción de valor

sobre inversiones en Seguridad de Información y hacen que las empresas
busquen la estructuración de procesos para garantizar que sus negocios
estén protegidos contra los más variados tipos de amenazas virtuales.
En medio de este escenario surgió la norma internacional ISO/IEC 27002,

que se centra en las buenas prácticas para gestión de la seguridad de la
información. En los días de hoy esa es fundamental para la consolidación
de un Sistema de Gestión de Seguridad de la Información (SGSI),
garantizando la continuidad y el mantenimiento de los procesos de
seguridad, alineados a los objetivos estratégicos de la organización.
SERVICIO NACIONAL DE APRENDIZAJE - SENA 1

OBJETIVO
El principal objetivo de la ISO 27002 es establecer directrices y principios

generales para iniciar, implementar, mantener y mejorar la gestión de la
seguridad de la información en una organización. Esto también incluye la
selección, implementación y administración de controles, teniendo en
cuenta los entornos de riesgo encontrados en la empresa.
OBJETIVOS ESPECÍFICOS
 Apropiarse del conocimiento y aprovechar la Norma ISO 27002 en

aras de implementar unas buenas prácticas de seguridad.
 Mejor concienciación sobre la seguridad de la información.
 Mayor control de activos e información sensible.
 Ofrece un enfoque para la implementación de políticas de control.
 Oportunidad de identificar y corregir puntos débiles.
 Reducción del riesgo de responsabilidad por la no implementación
 de un SGSI o determinación de políticas y procedimientos.
 Se convierte en un diferencial competitivo para la conquista de
 clientes que valoran la certificación.
 Mejor organización con procesos y mecanismos bien diseñados y
 Gestionados.
 Promueve reducción de costos con la prevención de incidentes de
 seguridad de la información.
 Conformidad con la legislación y otras reglamentaciones.
NORMA ISO 27002

Es una guía de buenas prácticas que describe los objetivos de control y

controles recomendables en cuanto a seguridad de la información.
La norma ISO 27002 (anteriormente denominada ISO 17799) es

un estándar para la seguridad de la información que ha publicado la
organización internacional de normalización y la comisión electrotécnica
internacional. La versión más reciente de la norma ISO 27002:2013.
Proporciona diferentes recomendaciones de las mejores prácticas en la

gestión de la seguridad de la información a todos los interesados y
responsables para iniciar, implementar o mantener sistemas de gestión de
la seguridad de la información. La seguridad de la información se define
en el estándar como “la preservación de la confidencialidad, integridad y
disponibilidad. Para saber más sobre los demás dominios puede leer La
norma ISO 27002 complemento para la ISO 27001.
La norma ISO 27002 se encuentra enfocada a todo tipo de empresas,

independientemente del tamaño, tipo o naturaleza.
Se encuentra organizado en base a los 14 dominios, 35 objetivos de

control y 114 controles.
Surgimiento
ISO/IEC 27002: El Estándar Internacional nace bajo la coordinación de

dos organizaciones:
ISO: International Organization for Standardization.

IEC: International Electrotechnical Commission.
ISO e IEC han establecido un comité técnico conjunto

denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este
comité trata con todos los asuntos de tecnología de información. La
mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan
con un campo o área en particular. Específicamente el subcomité SC 27 es
el que se encarga de las técnicas de seguridad de las tecnologías de
información, que es en esencia de lo que trata el Estándar Internacional
ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir
de julio de 2007, adoptó un nuevo esquema de numeración y actualmente
es ISO/IEC 27002.

Alcance
El Estándar Internacional ISO/IEC 27002 va orientado a la seguridad de la

información en las empresas u organizaciones, de modo que las
probabilidades de ser afectados por robo, daño o pérdida de información
se minimicen al máximo.
Estructura
El Estándar Internacional ISO/IEC 27002 contiene un número de

categorías de seguridad principales, entre las cuales se tienen once
cláusulas:
 Política de seguridad.
 Aspectos organizativos de la seguridad de la información.
 Gestión de activos.
 Seguridad ligada a los recursos humanos.
 Seguridad física y ambiental.
 Gestión de comunicaciones y operaciones.
 Control de acceso.
 Adquisición, desarrollo y mantenimiento de los sistemas de
información.
 Gestión de incidentes en la seguridad de la información.
 Gestión de la continuidad del negocio.
 Cumplimiento.
Evaluación de los riesgos de seguridad
La reducción de riesgos no puede ser un proceso arbitrario y regido por la

voluntad de los dueños o administradores de la empresa, sino que además
de seguir medidas adecuadas y eficientes, se deben tener en cuenta los
requerimientos y restricciones de la legislación y las regulaciones
nacionales e internacionales, objetivos organizacionales, bienestar de
clientes y trabajadores, costos de implementación y operación (pues
existen medidas de seguridad de gran calidad pero excesivamente caras,
tanto que es más cara la seguridad que la propia ganancia de una
empresa, afectando la rentabilidad). Se debe saber que ningún conjunto
de controles puede lograr la seguridad completa, pero que sí es posible
reducir al máximo los riesgos que amenacen con afectar la seguridad en
una organización.

Política de seguridad
Su objetivo es proporcionar a la gerencia la dirección y soporte para la

seguridad de la información, en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe
ser creado de forma particular por cada organización. Se debe redactar un
"Documento de la política de seguridad de la información".
Este documento debe ser primeramente aprobado por la gerencia y luego

publicado y comunicado a todos los empleados y las partes externas
relevantes. Las políticas de seguridad de la información no pueden quedar
estáticas para siempre, sino que por el contrario, tienen que ser
continuamente revisadas y actualizadas para que se mantengan en
condiciones favorables y en concordancia con los cambios tecnológicos o
cualquier tipo de cambio que se dé.
Aspectos organizativos de la seguridad de la información
La organización de la seguridad de la información se puede dar de dos

formas:
 Organización interna
Se tiene como objetivo manejar la seguridad de la información
dentro de la organización.
 Organización con respecto a terceros:

La organización en materia de seguridad de la información debe
también considerarse respecto a terceros. El objetivo de esto es
mantener la seguridad de la información y los medios de
procesamiento de información de la organización que son
ingresados, procesados, comunicados a, o manejados por, grupos
externos. Para ello se debe comenzar por la identificación de los
riesgos relacionados con los grupos externos. Se debe estudiar
cómo a raíz de procesos comerciales que involucran a grupos
externos se les puede estar otorgando acceso que afecte la
seguridad. Esto se puede dar tanto con clientes o con proveedores.
Se debe tener especial cuidado respecto a los contratos que se
hagan con terceros, para no afectar la seguridad de la información.
Gestión de activos
Se deben asignar responsabilidades por cada uno de los activos de la

organización, así como poseer un inventario actualizado de todos los
activos que se tienen, a quien/quienes les pertenecen, el uso que se les
debe dar, y la clasificación de todos los activos.

Seguridad ligada a los recursos humanos
El objetivo de esto es asegurar que los empleados, contratistas y terceros

entiendan sus responsabilidades, y sean idóneos para los roles para los
cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso
de los medios. Es necesario definir claramente los roles y
responsabilidades de cada empleado. Todo esto no debe ser simplemente
mediante acuerdos verbales, sino que se debe plasmar en el contrato de
trabajo. También deben existir capacitaciones periódicas para concientizar
y proporcionar formación y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos humanos en este ámbito.
Seguridad física y ambiental
La seguridad física y ambiental se divide en áreas seguras y seguridad de

los equipos. Respecto a las áreas seguras, se refiere a un perímetro de
seguridad física que cuente con barreras o límites tales como paredes,
rejas de entrada controladas por tarjetas o recepcionistas, y medidas de
esa naturaleza para proteger las áreas que contienen información y
medios de procesamiento de información.
Se debe también contar con controles físicos de entrada, tales como

puertas con llave, etc. Además de eso, es necesario considerar la
seguridad física con respecto a amenazas externas y de origen ambiental,
como incendios (para los cuales deben haber extintores adecuados y en
los lugares convenientes), terremotos, huracanes, inundaciones,
atentados terroristas, etc. Deben también haber áreas de acceso público
de carga y descarga, parqueos, áreas de visita, entre otros.
Se debe controlar la temperatura adecuada para los equipos, seguridad

del cableado, mantenimiento de equipos, etc. Para todo esto se requerirá
de los servicios de técnicos o ingenieros especializados en el cuidado y
mantenimiento de cada uno de los equipos, así como en la inmediata
reparación de los mismos cuando sea necesario. La ubicación de los
equipos también debe ser adecuada y de tal manera que evite riesgos.
Gestión de comunicaciones y operaciones
El objetivo de esto es asegurar la operación correcta y segura de los

medios de procesamiento de la información.
Se deben tener en cuenta los siguientes aspectos:
 Los procedimientos de operación deben estar bien

documentados, pues no basta con tener las ideas en la mente
de los administradores, sino que se deben plasmar en
documentos que por supuesto estén autorizados por la
gerencia.
 Llevar a cabo la gestión de cambios. Un cambio relevante no

se debe hacer jamás sin documentarlo, además de la
necesidad de hacerlo bajo la autorización pertinente y luego
de un estudio y análisis de los beneficios que traerá dicho
cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar
los activos sin autorización o detección.
Es completamente necesario tener un nivel de separación entre los

ambientes de desarrollo, de prueba y de operación, para evitar problemas
operacionales.
Si la organización se dedica a vender servicios, debe implementar y

mantener el nivel apropiado de seguridad de la información y la entrega
del servicio en línea con los acuerdos de entrega de servicios de terceros.
La protección contra el código malicioso y descargable debe servir para

proteger la integridad del software y la integración con los sistemas
y tecnologías con que ya se cuenta. Se deben también tener controles de
detección, prevención y recuperación para proteger contra códigos
maliciosos, por ejemplo antivirus actualizados y respaldos de información.
Los respaldos de información son vitales y deben realizarse con una
frecuencia razonable, pues de lo contrario, pueden existir pérdidas de
información de gran impacto negativo.
En cuanto a las redes, es necesario asegurar la protección de la

información que se transmite y la protección de la infraestructura de
soporte. Los servicios de red tienen que ser igualmente seguros,
especialmente considerando cómo la tendencia de los últimos años se
encamina cada vez más a basar todas las tecnologías de la información a
ambientes en red para transmitir y compartir la información
efectivamente. Los sistemas tienen que estar muy bien documentados,
detalle a detalle, incluyendo por supuesto la arquitectura de red con la
que se cuenta.
Se tienen que establecer políticas, procedimientos y controles de

intercambio formales para proteger el intercambio de información a través
del uso de todos los tipos de medios de comunicación.
Cuando se haga uso del comercio electrónico, debe haber una eficiente
protección cuando se pasa a través de redes públicas, para protegerse de
la actividad fraudulenta, divulgación no autorizada, modificación, entre
otros.

Debe haber un continuo monitoreo para detectar actividades de

procesamiento de información no autorizadas. Las auditorías son también
necesarias.
Las fallas deben ser inmediatamente corregidas, pero también registradas

y analizadas para que sirvan en la toma de decisiones y para realizar
acciones necesarias.
Control de acceso
Se debe contar con una política de control de acceso. Todo acceso no

autorizado debe ser evitado y se deben minimizar al máximo las
probabilidades de que eso suceda. Todo esto se controla mediante registro
de usuarios, gestión de privilegios, autenticación mediante usuarios y
contraseñas, etc.
Los usuarios deben asegurar que el equipo desatendido tenga la

protección apropiada, como por ejemplo la activación automática de un
protector de pantalla después de cierto tiempo de inactividad, el cual
permanezca impidiendo el acceso hasta que se introduzca una contraseña
conocida por quien estaba autorizado para utilizar la máquina
desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las

aplicaciones y a la información. Para todo esto deben existir registros y
bitácoras de acceso.
Deben existir políticas que contemplen adecuadamente aspectos de

comunicación móvil, redes inalámbricas, control de acceso a ordenadores
portátiles, y teletrabajo, en caso que los empleados de la empresa
ejecuten su trabajo fuera de las instalaciones de la organización.
Adquisición, desarrollo y mantenimiento de los sistemas de información
Contemplar aspectos de seguridad es requerido al adquirir equipos y

sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y
el precio, sino que la seguridad que ofrecen. Debe existir una validación
adecuada de los datos de entrada y de salida, controlando el
procesamiento interno en las aplicaciones, y la integridad de los mensajes.
La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas
criptográficas en la organización, utilizando técnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo

que se debe controlar el acceso a los archivos del sistema y el código
fuente del programa, y los proyectos de tecnologías de información y las
actividades de soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la instalación del

software en los sistemas operacionales. Con esto por ejemplo se evita el
riesgo de realizar instalaciones ilegales o sin las respectivas licencias.
Se debe restringir el acceso al código fuente para evitar robos,

alteraciones, o la aplicación de ingeniería inversa por parte de personas no
autorizadas, o para evitar en general cualquier tipo de daño a la propiedad
de código fuente con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe considerar

procedimientos de control de cambios, revisiones técnicas de aplicaciones
tras efectuar cambios en el sistema operativo y también restricciones a los
cambios en los paquetes de software. No se tiene que permitir la fuga ni
la filtración de información no requerida.
Contar con un control de las vulnerabilidades técnicas ayudará a tratar los

riesgos de una mejor manera.
Gestión de incidentes en la seguridad de la información
Se debe trabajar con reportes de los eventos y debilidades de la seguridad

de la información, asegurando una comunicación tal que permita que se
realice una acción correctiva oportuna, llevando la información a través de
los canales gerenciales apropiados lo más rápidamente posible.
Asegurar que se aplique un enfoque consistente y efectivo a la gestión de

los incidentes en la seguridad de la información es elemental.
Se deben establecer mecanismos para permitir cuantificar y monitorear

los tipos, volúmenes y costos de los incidentes en la seguridad de la
información, siempre con la idea de no volver a cometer los errores que
ya se cometieron, y mejor aún, aprender de los errores que ya otros
cometieron.
Gestión de la continuidad del negocio
Las consecuencias de los desastres, fallas en la seguridad, pérdida del

servicio y la disponibilidad del servicio debieran estar sujetas a un análisis
del impacto comercial. Se deben desarrollar e implementar planes para la
continuidad del negocio para asegurar la reanudación oportuna de las
operaciones esenciales. La seguridad de la información debiera ser una
parte integral del proceso general de continuidad del negocio, y otros
procesos gerenciales dentro de la organización.
Se debe contar con planes de continuidad del negocio que incluyan la

seguridad de la información. Estos planes no deben ser estáticos, sino que

deben ser actualizados y ser sometidos a pruebas, mantenimiento y

reevaluación.
Junto a la gestión de riesgos, debe aparecer la identificación de eventos
que pueden causar interrupciones a los procesos comerciales, junto con la
probabilidad y el impacto de dichas interrupciones y sus consecuencias
para la seguridad de la información. Por supuesto se requieren planes
alternativos y de acción ante tales eventos, asegurando siempre la
protección e integridad de la información y tratando de poner el negocio
en su estado de operación normal a la mayor brevedad posible.
Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos legales para evitar

las violaciones a cualquier ley; regulación estatutaria, reguladora o
contractual; y cualquier requerimiento de seguridad. La identificación de la
legislación aplicable debe estar bien definida.
Se deben definir explícitamente, documentar y actualizar todos los
requerimientos legales para cada sistema de información y para la
organización en general.
Es necesario implementar los procedimientos apropiados para asegurar el

cumplimiento de los requerimientos legislativos, reguladores y
contractuales sobre el uso del material con respecto a los cuales puedan
existir derechos de propiedad intelectual y sobre el uso de productos de
software patentado.
El cumplimiento de los requisitos legales se aplica también a la protección
de los documentos de la organización, protección de datos y privacidad de
la información personal, prevención del uso indebido de los recursos de
tratamiento de la información, y a regulaciones de los controles
criptográficos.
Los sistemas de información deben estar bajo monitoreo y deben

chequearse regularmente para ver y garantizar el cumplimiento de los
estándares de implementación de la seguridad.
En cuanto a las auditorías de los sistemas de información, se tiene que

maximizar la efectividad de y minimizar la interferencia desde/hacia el
proceso de auditoría del sistema de información. Durante las auditorías de
los sistemas de información deben existir controles para salvaguardar los
sistemas operacionales y herramientas de auditoría. También se requiere
protección para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditoría.
Las actividades y requerimientos de auditoría que involucran chequeos de

los sistemas operacionales deben ser planeados y acordados
cuidadosamente para minimizar el riesgo de interrupciones en los
procesos comerciales.
DIAGRAMA FUNCIONAL DE ISO 27002
Diagrama funcional ISO 27002

ACTIVIDAD
Aplicación de la norma ISO 27002
La norma ISO 27002 es una guía de buenas prácticas de seguridad de la

información que no solo contempla la seguridad de sistemas de TI, sino
que también considera los riesgos organizacionales, operacionales y físicos
de una empresa con todo lo que esto implica.
Esta norma hace recomendaciones sobre el uso de 133 controles de

seguridad diferentes aplicados en 11 áreas de control expuestas en el
archivo “plantilla_iso27002_evid5aa1.xlsx” disponible entre los recursos
para el aprendizaje de esta actividad.
En el desarrollo de esta actividad, usted como aprendiz deberá leer,

analizar y diligenciar la plantilla asignando valores de tal forma que
reflejen la aplicación de los criterios expuestos en la tabla 1 “Resultados
de la auditoría E.E.S” (La sigla E.E.S se lee como “Empresa Estatal
Sena”), asumiendo que son los resultados extraídos de una auditoría
realizada a la mencionada empresa:
DOMINIO ESCALA DE CUMPLIMIENTO DEL CONTROL

Política de Seguridad Bajo Bajo
Estructura organizativa para la seguridad Bajo Bajo
Clasificación y control de activos Medio Medio
Seguridad en el personal Medio Medio
Seguridad física y del entorno Medio Medio
Gestión de comunicaciones y operaciones Bajo Bajo
Control de accesos Bajo Bajo
Desarrollo y mantenimiento de sistemas Bajo Bajo
Gestión de incidentes de la seguridad de la inform. Bajo
Gestión de la continuidad del negocio Bajo
Gestión de la continuidad del negocio Bajo

PLAN DE MEJORA EN SEGURIDAD
Resultados de la auditoría en la Empresa Estatal Sena E.S.S
DOMINIOS
POLITICA DE SEGURIDAD
 La gerencia debe aprobar un documento de política, este se debe

publicar y comunicar a todos los empleados y entidades externas
relevantes.
 La política de seguridad de la información debe ser revisada

regularmente a intervalos planeados o si ocurren cambios
significativos para asegurar la continua idoneidad, eficiencia y
efectividad.
 Se implantara capacitaciones semanales acerca de la política de

seguridad de la alcaldía para que cada funcionario sepa las
funciones a realizar sobre su cargo actual con su respectiva
auditoria personalizada para llevar un buen control sobre la norma
ISO 27002.
 Realizar regularmente auditorías internas: para determinar si los

controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001, el entorno legal y los
requisitos y objetivos de seguridad de la organización, están
implementados y mantenidos con eficacia y tienen el rendimiento
esperado.
ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD
En esta área encontramos un porcentaje bastante bajo con un promedio

bajo, por lo tanto es recomendable tomar las siguientes medidas:
 La gerencia debe apoyar activamente la seguridad dentro de la

organización a través de una dirección clara, compromiso
demostrado, asignación explícita y reconocimiento de las
responsabilidades de la seguridad de la información.
 Las actividades de seguridad de la información deben ser

coordinadas por representantes de las diferentes partes de la
organización con las funciones y roles laborales relevantes.
 Se deben definir claramente las responsabilidades de la seguridad

de la información.

 Se debe definir e implementar un proceso de autorización gerencial

para los nuevos medios de procesamiento de información.
 Se deben identificar y revisar regularmente los requerimientos de

confidencialidad o los acuerdos de no-divulgación reflejando las
necesidades de la organización para la protección de la información.
 Donde E.S.S ha descuidado sobre la estructura de la seguridad ISO

27002.
 En esta área si es necesario buscar personas capacitadas o

capacitarlas para tener a cargo y estar al frente de esas funciones y
responsabilidades a la hora de hablar y coordinar sobre la seguridad
de la información para llevar a cabo la norma ISO 27002.
 También una persona encargada para autorizar y llevar el control

sobre las instalaciones de procesamiento de la información,
identificando los riesgos para acceso de terceras partes.
 Para formar un comité y tomar decisiones, acuerdos sobre los temas

de seguridad siempre buscando cumplir las normas ISO 27002.
CLASIFICACION Y CONTROL DE ACTIVOS
En esta área encontramos bastante descuido con un promedio bajo.
Observando la parte de control de activos (inventario) vemos que falta

mucha organización y mejoras en la parte de tecnología, por lo tanto es
recomendable tomar las siguientes medidas:
 Implantar un área de mantenimiento preventivo y correctivo con el

fin de estar más pendiente de cada equipo que se encuentre en
E.S.S más que todo por la información que se encuentra en cada
disco duro todo llevándolo a cabo con la norma ISO 27002 sobre
todo también llevar un control de cada dispositivo como por ejemplo
memoria RAM, procesador, discos duro con su respectivo código de
seguridad que se identifique que sea de la alcaldía san Antonio.
 Vemos que está muy descuidada con esos dispositivos que son
obsoletos para las funciones que requiere la alcaldía por eso le
queremos implantar esa área de mantenimiento preventivo y
correctivo.
SEGURIDAD EN EL PERSONAL
En esta área encontramos una escala visual baja.
Observando la parte de seguridad en el personal se recomienda acudir a la

norma ISO 27002 así:
Implantar una política de seguridad que incluya un marco general y los

objetivos de la organización que este alineada con la gestión de riesgo
general, establezca criterios de evaluación de riesgo y se a aprobada por
la E.S.S.
 Definir el enfoque de evaluación de riesgos del personal.
 Definir una metodología de evaluación apropiada de SGSI y las

necesidades de la organización existen muchas metodologías que
podemos implantar a la E.S.S puede optar por una de ellas podemos
unir varias o crear una respectivamente para organización.
 Es sabido que el riesgo nunca es eliminable y por eso tenemos que

tener una metodología o estrategia para prevenirla que es lo
máximo que podemos hacer con sus respectivas normas de la ISO
27002.
SEGURIDAD FISICA Y DEL ENTORNO
En esta área encontramos un nivel de seguridad medio.
 Para mejorar la seguridad física de vemos es necesario proveer

elementos como paredes, tarjetas de control de entrada a puertas o
un puesto manual de recepción para proteger la información.
 Se deben proteger las áreas seguras mediante controles de entrada

apropiados para asegurar que sólo se permita acceso al personal
autorizado.
 Se debe diseñar y aplicar protección física contra daño por fuego,

inundación, terremoto, explosión, disturbios civiles y otras formas
de desastre natural o creado por el hombre.
 Brindar una mayor seguridad para Evitar la pérdida, daño, robo o

puesta en peligro de los activos e interrupción de las actividades de
la organización.

GESTION DE COMUNICACIÓN Y OPERACIONES
 Los procedimientos de operación se deben documentar, mantener y

estar disponibles para todos los usuarios que los necesiten.
 Mejorar la organización física de las instalaciones y demás procesos

independientes.
 Desarrollar la política para el manejo de la información interna y los

canales de trabajo para el manejo de email o medios físicos como
CD, USB u otros dispositivos, así como también archivos en la nube.
 Ajustar las políticas del manual de seguridad para el comercio y

transacciones en línea.
 Aprovechar la información de los log como lecciones aprendidas

almacenando y protegiendo los casos dados.
CONTROL DE ACCESOS
 Se debe establecer, documentar y revisar la política de control de

acceso con base a los requisitos del negocio y de la seguridad para
el acceso.
 La asignación de contraseñas se debe controlar a través de un

proceso formal de gestión.
 Se debe restringir y controlar la asignación y uso de privilegios.
 Debe existir un procedimiento formal para el registro y cancelación

de usuarios con el fin de conceder y revocar el acceso a todos los
sistemas y servicios de información.
 Mejorar la organización física de las instalaciones y demás procesos

independientes.
 Se debe restringir el acceso a la información y las funciones del

sistema de aplicación por parte de los usuarios y del personal de
soporte, de acuerdo con la política definida en el control de acceso.
 Orientar los contenidos de los equipos a la identidad de la alcaldía.
 Se debe exigir a los usuarios el cumplimiento de buenas prácticas de

seguridad en la selección y el uso de contraseñas.
 Los usuarios solo deben tener acceso a los servicios para cuyo uso
están específicamente autorizados.
 Se deben emplear métodos adecuados de autenticación para

controlar el acceso de usuarios remotos.
 Definir el teletrabajo como una solución a los incidentes de la E.S.S.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
 Se deben validar los datos de entrada a las aplicaciones para

asegurar que dichos datos son correctos y apropiados.
 Se debe implementar un sistema de gestión de llaves para apoyar el

uso de las técnicas criptográficas por parte de la E.S.S.
 Se debe desarrollar e implementar una política sobre el uso de

controles criptográficos para la protección de la información.
 Se deben incorporar verificaciones de validación en las aplicaciones

para detectar cualquier corrupción de la información por errores de
procesamiento o actos deliberados.
 Se deben incorporar verificaciones de validación en las aplicaciones

para detectar cualquier corrupción de la información por errores de
procesamiento o actos deliberados.
 Se debe restringir el acceso al código fuente de los programas.
GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION
 Se debe exigir a todos los empleados, contratistas y usuarios de

terceras partes de los sistemas y servicios de información que
observen y reporten todas las debilidades observadas o sospechadas
en los sistemas o servicios.
 Los eventos de seguridad de la información se deben informar
atreves de los canales de gestión apropiados tan pronto como sea
posible.
 Se debe exigir a todos los empleados, contratistas y usuarios de

terceras partes de los sistemas y servicios de información que
observen y reporten todas las debilidades observadas o sospechadas
en los sistemas o servicios.
 Se deben establecer las responsabilidades y los procedimientos de

gestión para asegurar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información.

 Deben existir mecanismos que permitan cuantificar y monitorear

todos los tipos, volúmenes y costos de los incidentes de seguridad
de la información.
GESTION DE LA CONTINUIDAD DEL NEGOCIO
 Se debe desarrollar y mantener un proceso de gestión para la

continuidad del negocio en toda la organización el cual trate los
requisitos de seguridad de la información necesarios para la
continuidad del negocio de la organización.
 Se debe identificar los eventos que puedan ocasionar interrupciones

en los procesos del negocio junto con la probabilidad y el impacto de
dichas interrupciones, así como sus consecuencias para la seguridad
de la información.
 Se deben desarrollar e implementar planes para mantener o

recuperar las operaciones y asegurar la disponibilidad de la
información en el grado y la escala de tiempo requerido, después de
la interrupción o la falla de los procesos críticos para el negocio.
 Se debe mantener una sola estructura de los planes de continuidad

del negocio, para asegurar que todos los planes son consistentes, y
considerar los requisitos de la seguridad de la información de forma
consistente, así como identificar las prioridades para pruebas y
mantenimiento.
 Los planes de continuidad del negocio se deben someter a pruebas y

revisiones periódicas para asegurar su actualización y su eficacia.
CUMPLIMIENTO
 Todos los requisitos estatutarios, reglamentarios y contractuales

pertinentes, así como el enfoque de la organización para cumplir
estos requisitos se deben definir explícitamente, documentar y
mantener actualizados para cada sistema de información y para la
organización.
 Se deben implementar procedimientos apropiados para asegurar el

cumplimiento de los requisitos legales, reglamentarios y
contractuales sobre el uso del material con respecto al cual pueden
existir derechos de propiedad intelectual y sobre el uso de productos
de software patentados.
 Los registros importantes se deben proteger contra perdida,

destrucción y falsificación, de acuerdo con los requisitos
estatutarios, reglamentarios, contractuales y del negocio.
 Se debe garantizar la protección de los datos y la privacidad, de

acuerdo con la legislación y los reglamentos pertinentes, si se
aplica, con las cláusulas del contrato.
 Los directores deben garantizar que todos los procedimientos de

seguridad dentro de sus áreas de responsabilidad se llevan a cabo
correctamente para lograr los cumplimientos con las políticas y las
normas de seguridad.
Objetivo % de cumplimiento de la norma

Dominio Controle
s de Orientació NC. NC Escal
s s Descripción PD NC. D PO PC
Control n O .C a
1 2 Política de Seguridad 1,5 23 100
Política de Seguridad de la
2 Información 100 23
Documento de la
política de
5 seguridad de la
1
1 Debe información 50 20 20
Revisión de la
política de
seguridad de la
Estructura organizativa para
2 100
11 la seguridad 8,27 23
72,7 16,7
8 Organización Interna 3 3
Comité de la
dirección sobre
seguridad de la
1 Debe información 9,09 25 25
Coordinación de
la seguridad de la
Asignación de
responsabilidades
para la de
seguridad de la
1 Proceso de
autorización para
instalaciones de
6 procesamiento de
Acuerdos de
5 Debe confidencialidad 9,09 20 20
Contacto con
6 Puede autoridades 9,09 25 25
Contacto con
7 Puede grupos de interés 9,09 20 20
Revisión
independiente de
la seguridad de la
8 Puede información 9,09 20 20
27,2
3 Terceras partes 7 6,27
Identificación de
riesgos por el
2
acceso de
1 Debe terceras partes 9,09 20 20
Temas de
2 Debe seguridad a tratar 9,09 25 25

con clientes
Temas de
seguridad en
acuerdos con
3 Debe terceras partes 9,09 24 24
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Clasificación y control de
2 100
5 activos 3,76 52
Responsabilidad sobre los
3 activos 60 30
Inventario de
1 Debe activos 20 40 40
1
Propietario de
7 Uso aceptable de
3 Debe los activos 20 50 50
Clasificación de la
2 información 40 22
Guías de
2 1 Debe clasificación 20 60 60
Etiquetado y
manejo de la
3 9 Seguridad en el personal 6,77 56,7 100
33,3 18,8
3 Antes del empleo 3 9
Roles y 11,1
1 Debe responsabilidades 1 60 60
1 11,1
2 Debe Verificación 1 50 50
Términos y
condiciones de 11,1
3 Debe empleo 1 60 60
33,3 18,8
3 Durante el empleo 3 9
Responsabilidade 11,1
1 Debe s de la gerencia 1 60 60
8 Educación y
2
formación en
seguridad de la 11,1
Procesos 11,1
3 Debe disciplinarios 1 60 60
Terminación o cambio del 33,3 18,8
3 empleo 3 9
Responsabilidade
s en la 11,1
1 Debe terminación 1 50 50
3
Devolución de 11,1
Eliminación de
privilegios de 11,1
3 Debe acceso 1 60 60
Objetivo
s s n O .C a
Control
Seguridad fisica y del 55,3
2 100
13 entorno 9,77 8
46,1 25,3
6 Áreas Seguras 5 8
Perímetro de
9
1 Debe seguridad física 7,69 60 60
1
Controles de
2 Debe acceso físico 7,69 50 50
Seguridad de
3 Debe oficinas, recintos 7,69 60 60

e instalaciones
Protección contra
amenazas
externas y
4 Debe ambientales 7,69 60 60
Trabajo de áreas
5 Debe seguras 7,69 40 40
Áreas de carga,
entrega y áreas
6 Puede públicas 7,69 60 60
53,8
7 Seguridad de los Equipos 5 30
Ubicación y
protección del
1 Debe equipo 7,69 60 60
Herramientas de
2 Debe soporte 7,69 50 50
Seguridad del
3 Debe cableado 7,69 60 60
Mantenimiento
2 4 Debe de equipos 7,69 50 50
Seguridad del
equipamiento
fuera de las
5 Debe instalaciones 7,69 50 50
Seguridad en la
reutilización o
eliminación de
6 Debe equipos 7,69 60 60
Movimientos de
7 Debe equipos 7,69 60 60
Objetivo
s s n O .C a
Control
Gestión de comunicaciones y 24,0
10
32 operaciones 6 22,2 100
Procedimientos
operacionales y
4 responsabilidades 12,5 2,88
Procedimientos
de operación 3,12
1 Debe documentados 5 25 25
Control de 3,12
1
2 Debe cambios 5 20 20
Separación de 3,12
3 Debe funciones 5 24 24
Separación de las
instalaciones de
desarrollo y 3,12
4 Debe producción 5 23 23
Administración de servicios
10
3 de terceras partes 9,38 2,31
Entrega de
1 Puede servicios 3,12 20 20
Monitoreo y
revisión de
2
servicios de
2 Puede terceros 3,12 26 26
Manejo de
cambios a
servicios de
3 Puede terceros 3,12 28 28
Planificación y aceptación
2 del sistema 6,25 1,41
Planificación de la 3,12
3
1 Debe capacidad 5 20 20
Aceptación del 3,12
2 Debe sistema 5 25 25

Protección contra software

2 malicioso y móvil 6,25 1,41
Controles contra
4 software 3,12
1 Debe malicioso 5 20 20
Controles contra 3,12
2 Debe código móvil 5 25 25
1 Copias de seguridad 3,13 0,75
5 Información de
copias de
1 Debe seguridad 3,13 24 24
Administración de la
2 seguridad en redes 6,25 1,53
Controles de 3,12
6
1 Debe redes 5 25 25
Seguridad de los 3,12
2 Debe servicios de red 5 24 24
Manejo de medios de
4 soporte 12,5 2,5
Administración de
los medios de
computación 3,12
1 Debe removibles 5 20 20
Eliminación de 3,12
7
2 Debe medios 5 20 20
Procedimientos
para el manejo 3,12
3 Debe de la información 5 20 20
Seguridad de la
documentación 3,12
4 Debe del sistema 5 20 20
15,6
5 Intercambio de información 3 3,47
Políticas y
procedimientos
para el
intercambio de 3,12
Acuerdos de 3,12
8
2 Puede intercambio 6 20 20
Medios físicos en 3,12
3 Puede transito 6 20 20
Mensajes 3,12
4 Puede electrónicos 6 25 25
Sistemas de
información del 3,12
5 Puede negocio 6 26 26
Servicios de comercio
3 electronico 9,38 2,06
Comercio 3,12
1 Puede electronico 6 20 20
9 Transacciones en 3,12
2 Puede línea 6 24 24
Información
públicamente 3,12
3 Puede disponible 6 22 22
18,7
6 Monitoreo y supervisión 5 3,88
3,12
1 Debe Logs de auditoria 6 22 22
Monitoreo de uso 3,12
2 Debe de sistema 6 22 22
10 Protección de los 3,12
3 Debe logs 6 20 20
Registro de
actividades de
administrador y
operador del 3,12
4 Debe sistema 6 20 20

3,12
5 Debe Fallas de login 6 20 20
Sincronización del 3,12
6 Puede reloj 6 20 20
Objetivo
s s n O .C a
Control
7 25 Control de accesos 18,8 57,2 100
Requisitos de negocio para
1 el control de acceso 4 2,4
1
Política de control
1 Debe de accesos 4 60
Administración de acceso de
4 usuarios 16 9,2
Registro de
1 Debe usuarios 4 50
Administración de
2 2 Debe privilegios 4 60
Administración de
3 Debe contraseñas 4 60
Revisión de los
derechos de
4 Debe acceso de usuario 4 60
Responsabilidades de los
3 usuarios 12 7,2
Uso de
Equipos de
3 cómputo de
usuario
2 Puede desatendidos 4 60
Política de
escritorios y
3 Puede pantallas limpias 4 60
7 Control de acceso a redes 28 16
Política de uso de
los servicios de
11 1 Debe red 4 50
Autenticación de
usuarios para
conexiones
2 Puede externas 4 60
Identificación de
3 Puede equipos en la red 4 60
4 Administración
remota y
protección de
4 Debe puertos 4 60
Segmentación de
5 Puede redes 4 50
Control de
conexión a las
6 Debe redes 4 60
Control de
enrutamiento en
7 Debe la red 4 60
Control de acceso al sistema
6 operativo 24 13,2
Procedimientos
seguros de Log-
1 Debe on en el sistema 4 50
Identificación y
5 autenticación de
2 Debe los usuarios 4 60
Sistema de
administración de
4 Puede Uso de utilidades 4 60

de sistema
Inactividad de la
5 Debe sesión 4 50
Limitación del
tiempo de
6 Puede conexión 4 60
Control de acceso a las
2 aplicaciones y la información 8 4,8
Restricción del
acceso a la
6
1 Puede información 4 60
Aislamiento de
sistemas
2 Puede sensibles 4 60
Ordenadores portátiles y
2 teletrabajo 8 4,4
Ordenadores
7 portátiles y
comunicaciones
1 Puede moviles 4 50
2 Puede Teletrabajo 4 60
Objetivo
s s n O .C a
Control
Desarrollo y mantenimiento 12,0 21,8
6 100
16 de sistemas 3 8
Requerimientos de
seguridad de sistemas de
1 información 6,25 1,25
Análisis y
1
especificaciones
de los
requerimientos
1 Debe de seguridad 6,25 20 20
Procesamiento adecuado en
4 aplicaciones 25 5,31
Validación de los
1 Debe datos de entrada 6,25 20 20
Controles de
2 procesamiento
2 Puede interno 6,25 20 20
Integridad de
3 Puede mensajes 6,25 20 20
Validación de los
4 Puede datos de salida 6,25 25 25
12 2 Controles criptográficos 12,5 2,88

Política de
utilización de
3 controles
1 Puede criptográficos 6,25 26 26
Administración de
2 Puede llaves 6,25 20 20
Seguridad de los archivos 18,7
3 del sistema 5 4,13
Control del
software
1 Debe operacional 6,25 20 20
Protección de los
4
datos de prueba
2 Puede del sistema 6,25 20 20
Control de acceso
al código fuente
de las
3 Debe aplicaciones 6,25 26 26
Seguridad en los procesos 31,2
5 de desarrollo y soporte 5 6,81
5
Procedimientos
1 Debe de control de 6,25 24 24

cambios
Revisión técnica
de los cambios en
el sistema
2 Debe operativo 6,25 25 25
Restricciones en
los cambio a los
paquetes de
3 Puede software 6,25 20 20
Fugas de
Desarrollo
externo de
5 Debe software 6,25 20 20
Gestión de vulnerabilidades
1 técnicas 6,25 1,5
6 Control de
vulnerabilidades
1 Debe técnicas 100 24 24
Objetivo
s s n O .C a
Control
Gestión de incidentes de la
2 100
5 seguridad de la información 3,76 22
Notificando eventos de
seguridad de la información
2 y debilidades 40 8
Reportando
eventos de
1
seguridad de la
Reportando
13 debilidades de
2 Puede seguridad 20 20 20
Gestión de incidentes y
mejoramiento de la
3 seguridad de la información 60 14
Procedimientos y
2 1 Debe responsabilidades 20 20 20
Lecciones
2 Puede aprendidas 20 25 25
Recolección de
3 Debe evidencia 20 25 25
Gestión de la continuidad
1 100
5 del negocio 3,76 20
Aspectos de seguridad de la
información en la gestión de
5 continuidad del negocio 100 20
Inclusión de
seguridad de la
información en el
proceso de
gestión de la
continuidad del
1 Debe negocio 20 20 20
Continuidad del
14
negocio y análisis
1
2 Debe del riesgo 20 20 20
Desarrollo e
implementación
de planes de
continuidad
incluyendo
seguridad de la
Marco para la
planeación de la
continuidad del

Prueba,
mantenimiento y
reevaluación de
los planes de
continuidad del
Objetivo
s s n O .C a
Control
56,6
3 100
10 Cumplimiento 7,52 7
Cumplimiento con los
6 requisitos legales 60 31
Identificación de
la legislación
1 Debe aplicable 10 60 60
Derechos de
propiedad
2 Debe intelectual (dpi) 10 60 60
Protección de los
registros de la
3 Debe organización 10 50 50
Protección de
1 datos y
privacidad de la
información
4 Debe personal 10 40 40
Prevención del
uso inadecuado
de los recursos
de procesamiento
5 Debe de información 10 60 60
Regulación de
15
controles para el
uso de
6 Debe criptografía 10 40 40
Cumplimiento con las
políticas y estándares de
seguridad y cumplimiento
2 técnico 20 12
Cumplimiento con
2
las políticas y
1 Debe procedimientos 10 60 60
Verificación de la
cumplimiento
2 Debe técnico 10 60 60
Consideraciones de la
auditoria de sistemas de
2 información 20 11
Controles de
auditoria a los
3 sistemas de
Protección de las
herramientas de
auditoria de
2 Debe sistemas 10 50 50

DESCRIPCIÓN DE LA PLANTILLA ISO 27OO2
DOMINIO Número del dominio
OBJ. DE CONTROL Cantidad y número del objetivo de control

CONTROLES Cantidad y número de controles por cada objetivo
ORIENTACION Proporciona información sobre la obligatoriedad de implementar o no el control

DESCRIPCIÓN Breve descripción de cada objetivo de control agrupándolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimiento del dominio
PO Peso del objetivo
NC.O Nivel de cumplimiento del dominio
PC Peso del control
NC.C Nivel de cumplimiento del control
ESCALA Escala del cumplimiento del control
Escala visual de valoración del control
Alto Más del 70% de cumplimiento
Medio Entre el 30 y 69 % de cumplimiento
Bajo Por debajo del 30%

CONCLUSIONES
Luego del estudio, análisis e implementación de la norma ISO 27002 para

el departamento de Sistemas de la E.S.S se pudo detectar muchas
deficiencias en la parte de seguridad de la información. Como
consecuencia, la información en todas sus formas y estados
Es importante recalcar que si se cumple al 100% con las políticas

desarrolladas para la E.S.S, no se garantiza que no tengan problemas de
seguridad ya que no existe la seguridad al 100%; con el manual de
políticas de seguridad de la información y con el cumplimiento de las
mismas da lugar a minimizar los riesgos asociados a los activos
reduciendo impactos, fuga de información y pérdidas económicas
originados por la carencia de las normas y políticas de seguridad de la
información.
Con el manual de políticas de seguridad de la información diseñado para la

E.S.S, proporcionara una guía a seguir para trabajar en los aspectos de
seguridad.
La E.S.S, debe afrontar las deficiencias de seguridad de la información,

para lo cual debe tomar seriedad sobre lo documentado y realizar
proyectos de enmendadura basados en las políticas de seguridad y por
ultimo debe realizar campañas de concientización sobre los temas
abordados.

BIBLIOGRAFIA
Artículo Sitio Web oficial de IEC (inglés). Disponible en:” iec.ch”.

Consultado el 13 de diciembre del 2011
Artículo Estándar Internacional ISO/IEC 27002 . Disponible en:”

monografias.com”. Consultado el 13 de diciembre del 2011
Artículo Sitio Web oficial de ISO 27002. Disponible en:” iso27002.es”.

Consultado el 13 de diciembre del 2011
Artículo ISO/IEC 27002. Disponible en:” orcilatam.cl”. Consultado el 13 de

diciembre del 2011
Artículo Portal de Gestión de la Calidad. Disponible en:” gestion-

calidad.com”. Consultado el 13 de diciembre del 2011
https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-
para-la-iso-27001/
https://www.scprogress.com/NOTICIAS/CyberNoticia47-20170824.pdf
http://www.iso.org/iso/search.htm?qt=iso+27002&sort=rel&type=si
mple&published=on
ISO 27002, Portal de soluciones técnicas y organizativas a los controles de

la ISO/IEC 27002, de http://iso27002.wiki.zoho.com Tipos de estudios, de
http://www.ophismkt.com/estudios.html

Aplicación de La Norma ISO 27002 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aplicación de La Norma ISO 27002 PDF

Cargado por

Copyright:

Formatos disponibles

ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

Aplicación de la norma ISO 27002

Presentado por: Carlos Julio Mesa G.

Instructor: Camilo Andrés Gutiérrez Oviedo

SERVICIO NACIONAL DE APRENDIZAJE

CENTRO DE SERVICIOS FINANCIEROS

La seguridad de la información es un tema que ha ganado cuerpo en los

En contrapartida es importante subrayar que la popularización de la

Los trastornos generados por esos incidentes son variados, generando

El aumento del número de ocurrencias influye en la percepción de valor

En medio de este escenario surgió la norma internacional ISO/IEC 27002,

SERVICIO NACIONAL DE APRENDIZAJE - SENA 1

El principal objetivo de la ISO 27002 es establecer directrices y principios

 Apropiarse del conocimiento y aprovechar la Norma ISO 27002 en

NORMA ISO 27002

SERVICIO NACIONAL DE APRENDIZAJE - SENA 2

Es una guía de buenas prácticas que describe los objetivos de control y

La norma ISO 27002 (anteriormente denominada ISO 17799) es

Proporciona diferentes recomendaciones de las mejores prácticas en la

La norma ISO 27002 se encuentra enfocada a todo tipo de empresas,

Se encuentra organizado en base a los 14 dominios, 35 objetivos de

ISO/IEC 27002: El Estándar Internacional nace bajo la coordinación de

ISO: International Organization for Standardization.

ISO e IEC han establecido un comité técnico conjunto

SERVICIO NACIONAL DE APRENDIZAJE - SENA 3

El Estándar Internacional ISO/IEC 27002 va orientado a la seguridad de la

El Estándar Internacional ISO/IEC 27002 contiene un número de

Evaluación de los riesgos de seguridad

La reducción de riesgos no puede ser un proceso arbitrario y regido por la

SERVICIO NACIONAL DE APRENDIZAJE - SENA 4

Su objetivo es proporcionar a la gerencia la dirección y soporte para la

Este documento debe ser primeramente aprobado por la gerencia y luego

Aspectos organizativos de la seguridad de la información

La organización de la seguridad de la información se puede dar de dos

 Organización con respecto a terceros:

Se deben asignar responsabilidades por cada uno de los activos de la

SERVICIO NACIONAL DE APRENDIZAJE - SENA 5

Seguridad ligada a los recursos humanos

El objetivo de esto es asegurar que los empleados, contratistas y terceros

Seguridad física y ambiental

La seguridad física y ambiental se divide en áreas seguras y seguridad de

Se debe también contar con controles físicos de entrada, tales como

Se debe controlar la temperatura adecuada para los equipos, seguridad

El objetivo de esto es asegurar la operación correcta y segura de los

Se deben tener en cuenta los siguientes aspectos:

 Los procedimientos de operación deben estar bien

 Llevar a cabo la gestión de cambios. Un cambio relevante no

Es completamente necesario tener un nivel de separación entre los

Si la organización se dedica a vender servicios, debe implementar y

La protección contra el código malicioso y descargable debe servir para

En cuanto a las redes, es necesario asegurar la protección de la

Se tienen que establecer políticas, procedimientos y controles de

SERVICIO NACIONAL DE APRENDIZAJE - SENA 7

Debe haber un continuo monitoreo para detectar actividades de

Las fallas deben ser inmediatamente corregidas, pero también registradas

Se debe contar con una política de control de acceso. Todo acceso no

Los usuarios deben asegurar que el equipo desatendido tenga la

Son necesarios controles de acceso a la red, al sistema operativo, a las

Deben existir políticas que contemplen adecuadamente aspectos de

Adquisición, desarrollo y mantenimiento de los sistemas de información

Contemplar aspectos de seguridad es requerido al adquirir equipos y

Garantizar la seguridad de los archivos del sistema es fundamental, por lo

Deben establecerse procedimientos para el control de la instalación del