Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aplicación de La Norma ISO 27002 PDF
Aplicación de La Norma ISO 27002 PDF
FASE DE ANÁLISIS
AA1 – EVIDENCIA 5
Ficha 1881771
SENA
-2019-
INTRODUCCIÓN
OBJETIVO
OBJETIVOS ESPECÍFICOS
Surgimiento
Alcance
Estructura
Política de seguridad.
Aspectos organizativos de la seguridad de la información.
Gestión de activos.
Seguridad ligada a los recursos humanos.
Seguridad física y ambiental.
Gestión de comunicaciones y operaciones.
Control de acceso.
Adquisición, desarrollo y mantenimiento de los sistemas de
información.
Gestión de incidentes en la seguridad de la información.
Gestión de la continuidad del negocio.
Cumplimiento.
Política de seguridad
Organización interna
Se tiene como objetivo manejar la seguridad de la información
dentro de la organización.
Gestión de activos
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar
los activos sin autorización o detección.
Cuando se haga uso del comercio electrónico, debe haber una eficiente
protección cuando se pasa a través de redes públicas, para protegerse de
la actividad fraudulenta, divulgación no autorizada, modificación, entre
otros.
Control de acceso
La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas
criptográficas en la organización, utilizando técnicas seguras.
Cumplimiento
ACTIVIDAD
DOMINIOS
POLITICA DE SEGURIDAD
Vemos que está muy descuidada con esos dispositivos que son
obsoletos para las funciones que requiere la alcaldía por eso le
queremos implantar esa área de mantenimiento preventivo y
correctivo.
SEGURIDAD EN EL PERSONAL
SERVICIO NACIONAL DE APRENDIZAJE - SENA 14
GESTIÓN Y SEGURIDAD DE BASES DE DATOS – SENA 2019
CONTROL DE ACCESOS
Los usuarios solo deben tener acceso a los servicios para cuyo uso
están específicamente autorizados.
SERVICIO NACIONAL DE APRENDIZAJE - SENA 16
GESTIÓN Y SEGURIDAD DE BASES DE DATOS – SENA 2019
CUMPLIMIENTO
con clientes
Temas de
seguridad en
acuerdos con
3 Debe terceras partes 9,09 24 24
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Clasificación y control de
2 100
5 activos 3,76 52
Responsabilidad sobre los
3 activos 60 30
Inventario de
1 Debe activos 20 40 40
1
Propietario de
2 Debe activos 20 60 60
7 Uso aceptable de
3 Debe los activos 20 50 50
Clasificación de la
2 información 40 22
Guías de
2 1 Debe clasificación 20 60 60
Etiquetado y
manejo de la
2 Debe información 20 50 50
3 9 Seguridad en el personal 6,77 56,7 100
33,3 18,8
3 Antes del empleo 3 9
Roles y 11,1
1 Debe responsabilidades 1 60 60
1 11,1
2 Debe Verificación 1 50 50
Términos y
condiciones de 11,1
3 Debe empleo 1 60 60
33,3 18,8
3 Durante el empleo 3 9
Responsabilidade 11,1
1 Debe s de la gerencia 1 60 60
8 Educación y
2
formación en
seguridad de la 11,1
2 Debe información 1 50 50
Procesos 11,1
3 Debe disciplinarios 1 60 60
Terminación o cambio del 33,3 18,8
3 empleo 3 9
Responsabilidade
s en la 11,1
1 Debe terminación 1 50 50
3
Devolución de 11,1
2 Debe activos 1 60 60
Eliminación de
privilegios de 11,1
3 Debe acceso 1 60 60
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Seguridad fisica y del 55,3
2 100
13 entorno 9,77 8
46,1 25,3
6 Áreas Seguras 5 8
Perímetro de
9
1 Debe seguridad física 7,69 60 60
1
Controles de
2 Debe acceso físico 7,69 50 50
Seguridad de
3 Debe oficinas, recintos 7,69 60 60
e instalaciones
Protección contra
amenazas
externas y
4 Debe ambientales 7,69 60 60
Trabajo de áreas
5 Debe seguras 7,69 40 40
Áreas de carga,
entrega y áreas
6 Puede públicas 7,69 60 60
53,8
7 Seguridad de los Equipos 5 30
Ubicación y
protección del
1 Debe equipo 7,69 60 60
Herramientas de
2 Debe soporte 7,69 50 50
Seguridad del
3 Debe cableado 7,69 60 60
Mantenimiento
2 4 Debe de equipos 7,69 50 50
Seguridad del
equipamiento
fuera de las
5 Debe instalaciones 7,69 50 50
Seguridad en la
reutilización o
eliminación de
6 Debe equipos 7,69 60 60
Movimientos de
7 Debe equipos 7,69 60 60
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Gestión de comunicaciones y 24,0
10
32 operaciones 6 22,2 100
Procedimientos
operacionales y
4 responsabilidades 12,5 2,88
Procedimientos
de operación 3,12
1 Debe documentados 5 25 25
Control de 3,12
1
2 Debe cambios 5 20 20
Separación de 3,12
3 Debe funciones 5 24 24
Separación de las
instalaciones de
desarrollo y 3,12
4 Debe producción 5 23 23
Administración de servicios
10
3 de terceras partes 9,38 2,31
Entrega de
1 Puede servicios 3,12 20 20
Monitoreo y
revisión de
2
servicios de
2 Puede terceros 3,12 26 26
Manejo de
cambios a
servicios de
3 Puede terceros 3,12 28 28
Planificación y aceptación
2 del sistema 6,25 1,41
Planificación de la 3,12
3
1 Debe capacidad 5 20 20
Aceptación del 3,12
2 Debe sistema 5 25 25
3,12
5 Debe Fallas de login 6 20 20
Sincronización del 3,12
6 Puede reloj 6 20 20
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
7 25 Control de accesos 18,8 57,2 100
Requisitos de negocio para
1 el control de acceso 4 2,4
1
Política de control
1 Debe de accesos 4 60
Administración de acceso de
4 usuarios 16 9,2
Registro de
1 Debe usuarios 4 50
Administración de
2 2 Debe privilegios 4 60
Administración de
3 Debe contraseñas 4 60
Revisión de los
derechos de
4 Debe acceso de usuario 4 60
Responsabilidades de los
3 usuarios 12 7,2
Uso de
1 Debe contraseñas 4 60
Equipos de
3 cómputo de
usuario
2 Puede desatendidos 4 60
Política de
escritorios y
3 Puede pantallas limpias 4 60
7 Control de acceso a redes 28 16
Política de uso de
los servicios de
11 1 Debe red 4 50
Autenticación de
usuarios para
conexiones
2 Puede externas 4 60
Identificación de
3 Puede equipos en la red 4 60
4 Administración
remota y
protección de
4 Debe puertos 4 60
Segmentación de
5 Puede redes 4 50
Control de
conexión a las
6 Debe redes 4 60
Control de
enrutamiento en
7 Debe la red 4 60
Control de acceso al sistema
6 operativo 24 13,2
Procedimientos
seguros de Log-
1 Debe on en el sistema 4 50
Identificación y
5 autenticación de
2 Debe los usuarios 4 60
Sistema de
administración de
3 Debe contraseñas 4 50
4 Puede Uso de utilidades 4 60
de sistema
Inactividad de la
5 Debe sesión 4 50
Limitación del
tiempo de
6 Puede conexión 4 60
Control de acceso a las
2 aplicaciones y la información 8 4,8
Restricción del
acceso a la
6
1 Puede información 4 60
Aislamiento de
sistemas
2 Puede sensibles 4 60
Ordenadores portátiles y
2 teletrabajo 8 4,4
Ordenadores
7 portátiles y
comunicaciones
1 Puede moviles 4 50
2 Puede Teletrabajo 4 60
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Desarrollo y mantenimiento 12,0 21,8
6 100
16 de sistemas 3 8
Requerimientos de
seguridad de sistemas de
1 información 6,25 1,25
Análisis y
1
especificaciones
de los
requerimientos
1 Debe de seguridad 6,25 20 20
Procesamiento adecuado en
4 aplicaciones 25 5,31
Validación de los
1 Debe datos de entrada 6,25 20 20
Controles de
2 procesamiento
2 Puede interno 6,25 20 20
Integridad de
3 Puede mensajes 6,25 20 20
Validación de los
4 Puede datos de salida 6,25 25 25
cambios
Revisión técnica
de los cambios en
el sistema
2 Debe operativo 6,25 25 25
Restricciones en
los cambio a los
paquetes de
3 Puede software 6,25 20 20
Fugas de
4 Debe información 6,25 20 20
Desarrollo
externo de
5 Debe software 6,25 20 20
Gestión de vulnerabilidades
1 técnicas 6,25 1,5
6 Control de
vulnerabilidades
1 Debe técnicas 100 24 24
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
Gestión de incidentes de la
2 100
5 seguridad de la información 3,76 22
Notificando eventos de
seguridad de la información
2 y debilidades 40 8
Reportando
eventos de
1
seguridad de la
1 Debe información 20 20 20
Reportando
13 debilidades de
2 Puede seguridad 20 20 20
Gestión de incidentes y
mejoramiento de la
3 seguridad de la información 60 14
Procedimientos y
2 1 Debe responsabilidades 20 20 20
Lecciones
2 Puede aprendidas 20 25 25
Recolección de
3 Debe evidencia 20 25 25
Gestión de la continuidad
1 100
5 del negocio 3,76 20
Aspectos de seguridad de la
información en la gestión de
5 continuidad del negocio 100 20
Inclusión de
seguridad de la
información en el
proceso de
gestión de la
continuidad del
1 Debe negocio 20 20 20
Continuidad del
14
negocio y análisis
1
2 Debe del riesgo 20 20 20
Desarrollo e
implementación
de planes de
continuidad
incluyendo
seguridad de la
3 Debe información 20 20 20
Marco para la
planeación de la
continuidad del
4 Debe negocio 20 20 20
Prueba,
mantenimiento y
reevaluación de
los planes de
continuidad del
5 Debe negocio 20 20 20
Objetivo
Dominio Controle Orientació NC. NC Escal
s de Descripción PD NC. D PO PC
s s n O .C a
Control
56,6
3 100
10 Cumplimiento 7,52 7
Cumplimiento con los
6 requisitos legales 60 31
Identificación de
la legislación
1 Debe aplicable 10 60 60
Derechos de
propiedad
2 Debe intelectual (dpi) 10 60 60
Protección de los
registros de la
3 Debe organización 10 50 50
Protección de
1 datos y
privacidad de la
información
4 Debe personal 10 40 40
Prevención del
uso inadecuado
de los recursos
de procesamiento
5 Debe de información 10 60 60
Regulación de
15
controles para el
uso de
6 Debe criptografía 10 40 40
Cumplimiento con las
políticas y estándares de
seguridad y cumplimiento
2 técnico 20 12
Cumplimiento con
2
las políticas y
1 Debe procedimientos 10 60 60
Verificación de la
cumplimiento
2 Debe técnico 10 60 60
Consideraciones de la
auditoria de sistemas de
2 información 20 11
Controles de
auditoria a los
3 sistemas de
1 Debe información 10 60 60
Protección de las
herramientas de
auditoria de
2 Debe sistemas 10 50 50
CONCLUSIONES
BIBLIOGRAFIA
https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-
para-la-iso-27001/
https://www.scprogress.com/NOTICIAS/CyberNoticia47-20170824.pdf
http://www.iso.org/iso/search.htm?qt=iso+27002&sort=rel&type=si
mple&published=on