ACTIVIDAD AA1-5

GESTION Y SEGURIDAD DE BASES DE DATOS (1881765)

GRUPO # 10

EDISSON GALINDEZ BERMUDEZ

MIGUEL ANGEL RAMIREZ SEVERICHE
NOHORA ESTHER MALAGON

PRESENTADO A:

Ing. DIANA MARIA DE JESUS RICO MESA

SERVICIO NACIONAL DE APARENDIZAJE - SENA

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
2019
 TABLA DE CONTENIDO
Pág.

INTRODUCCIÓN ................................................................................................................................... 1
OBJETIVO DE LA AUDITORIA................................................................................................................ 3
AlCANCE DE LA AUDITORIA……………………………………………………………………………………………………………. 3
PLAN DE MEJORA…………………………………………………………………………………………………………………………… 4
BIBLIOGRAFÍA………………………………………………………………………………………………………………………………… 8
 INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para
desarrollar, implementar y mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al
15), 39 objetivos de control y 133 controles.

A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de evaluar los controles de cada uno de
los dominios de la norma ISO 27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relación a los requisitos
del negocio y regulaciones relevantes.

Estructura organizativa para la seguridad: Organización interna: estos controles gestionan la seguridad de la información dentro de la
Organización. El órgano de dirección debe aprobar la política de seguridad de la información, asignando los roles de seguridad y coordinando la
implantación de la seguridad en toda la Organización. Terceras partes: estos controles velan por mantener la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización.

Clasificación y control de activos: Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección adecuada de
los activos de la organización. Clasificación y control de la información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras partes entiendan
sus responsabilidades y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.

1
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en áreas seguras y
protegidas en un perímetro de seguridad definido por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para salvaguardar servicios de apoyo como energía
eléctrica e infraestructura del cableado.

Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información,
además de la operación correcta y segura de los recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y
asegurando la protección de la información en las redes y la protección de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la información y los recursos de tratamiento de la información en base a las necesidades de seguridad
de la organización y las políticas para el control de los accesos.

Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún efecto en
activos de información de carácter sensible, valioso o crítico. Dichos controles se determinan en función de los requisitos de seguridad y la
estimación del riesgo.

Gestión de incidentes de seguridad de la información: Se establecen informes de los eventos y de los procedimientos realizados, todos los
empleados, contratistas y terceros deben estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades que
puedan tener impacto en la seguridad de los activos de la organización.

Gestión de la continuidad del negocio: La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN)
y de los demás procesos de gestión dentro de la organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar
la reanudación a tiempo de las operaciones esenciales.

2
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier
requisito de seguridad dentro y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los asesores legales de la
organización o por profesionales del área. Además, se deberían realizar revisiones regulares de la seguridad de los sistemas de información.

OBJETIVO DE LA AUDITORIA
 Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma ISO 27002.
 Revisar la situación actual de la empresa identificando las condiciones de seguridad de la información-
 Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de seguridad de la información con base a la norma 27002.

ALCANCE DE LA AUDITORIA
La auditoría tiene como alcance el sistema de gestión de seguridad de la información relacionada con la empresa, donde se analizaron todos
los requisitos bajo la norma ISO 27002, expuestos en el anexo de este documento.

3
 Orient
Descripción NC. C
ación
Dominios PLAN DE MEJORA
Estructura organizativa para la seguridad

Terceras partes
Identificación de riesgos por el acceso de terceras partes Cuando exista se otorga acceso a terceras partes a información de la entidad, el Responsable de Seguridad
50
Informática y el Propietario de la Información de que se trate, llevarán a cabo y documentarán una evaluación de
Debe Temas de seguridad a tratar con clientes 50 riesgos para identificar los requerimientos de controles específicos, teniendo en cuenta, entre otros aspectos: El
6
tipo de acceso requerido (físico/lógico y a qué recurso). Los motivos para los cuales se solicita el acceso. El valor
de la información. Los controles empleados por la tercera parte. La incidencia de este acceso en la seguridad de
Debe Temas de seguridad en acuerdos con terceras partes 50
la información de la entidad.

Orient
Descripción NC. C
ación
Dominios Clasificación y control de activos
Responsabilidad sobre los activos
Debe Inventario de activos 50
Debe Propietario de activos 50
Debe Uso aceptable de los activos 50
7
Clasificación de la información
Debe Guías de clasificación 50
Debe Etiquetado y manejo de la información 50
Seguridad en el personal
Antes del empleo
Debe Roles y responsabilidades 50
Debe Verificación 50
Debe Términos y condiciones de empleo 50
Durante el empleo
8
Debe Responsabilidades de la gerencia 50
Debe Educación y formación en seguridad de la información 50
Debe Procesos disciplinarios 50
Terminación o cambio del empleo
Debe Responsabilidades en la terminación 50

4
 Debe Devolución de activos 50
Debe Eliminación de privilegios de acceso 50
Orient
Descripción NC. C
ación
Dominios Seguridad físicas y del entorno
Áreas Seguras
Perímetro de seguridad física Las áreas protegidas se resguardarán mediante el empleo de controles de acceso físico, los que serán
Debe 50 determinados por el Responsable de Seguridad Informática junto con el Responsable del Área Informática, a fin
Controles de acceso físico de permitir el acceso sólo al personal autorizado. Estos controles de acceso físico tendrán, por lo menos, las
siguientes características:
Debe 50
Seguridad de oficinas, recintos e instalaciones
Debe 50  Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y horario de su ingreso
Protección contra amenazas externas y ambientales y egreso.
Debe 50  Controlar y limitar el acceso a la información clasificada y a las instalaciones de procesamiento de
información, exclusivamente a las personas autorizadas.
Trabajo de áreas seguras  Revisar y actualizar cada (5 meses) los derechos de acceso a las áreas protegidas,
Debe 50
 Revisar los registros de acceso a las áreas protegidas.
Áreas de carga, entrega y áreas públicas  Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado.
9 50  Establecer que los edificios o sitios donde se realicen actividades de procesamiento de información
serán discretos y ofrecerán un señalamiento mínimo de su propósito, sin signos obvios, exteriores o
interiores.
 Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras de red, fotocopiadoras,
máquinas de fax, adecuadamente dentro del área protegida.
 Establecer que las puertas y ventanas permanecerán cerradas cuando no haya vigilancia.
 Instalar un circuito cerrado de televisión que este permanentemente grabando los principales accesos de las
áreas críticas del colegio, donde se encuentre la información sensible.
 Implementar sensores de movimiento que activen luces o alarmas en sectores que no estén siendo
monitoreados por el circuito cerrado de televisión.
 Implementar Guayas de seguridad para asegurar los equipos, entre otras.

Puede
Seguridad de los Equipos
Debe Seguridad del equipamiento fuera de las instalaciones 50
Orient
Descripción NC. C
ación
Dominios Gestión de comunicaciones y operaciones
Procedimientos operacionales y responsabilidades
10
Debe Procedimientos de operación documentados 50

5
 Debe Separación de las instalaciones de desarrollo y producción 50
Administración de servicios de terceras partes
Puede Entrega de servicios 50
Puede Monitoreo y revisión de servicios de terceros 50
Puede Manejo de cambios a servicios de terceros 50
Planificación y aceptación del sistema
Debe Aceptación del sistema 50
Intercambio de información
Puede Medios físicos en transito 50
Servicios de comercio electronico
Puede Información públicamente disponible 50
Monitoreo y supervisión
Debe Logs de auditoria 50
Debe Registro de actividades de administrador y operador del sistema 50
Orient
Descripción NC. C
ación
Dominios Control de accesos
Administración de acceso de usuarios
Debe Administración de privilegios 50
Debe Administración de contraseñas 50
Debe Revisión de los derechos de acceso de usuario 50
Responsabilidades de los usuarios
Debe Uso de contraseñas 50
11 Control de acceso al sistema operativo
Debe Identificación y autenticación de los usuarios 50
Control de acceso a las aplicaciones y la información
Puede Restricción del acceso a la información 50
Puede Aislamiento de sistemas sensibles 50
Ordenadores portátiles y teletrabajo
Puede Teletrabajo 50

6
 Orient
Descripción NC. C
ación
Dominios Desarrollo y mantenimiento de sistemas
Seguridad en los procesos de desarrollo y soporte
Puede Restricciones en los cambio a los paquetes de software 50
12
Gestión de vulnerabilidades técnicas
Debe Control de vulnerabilidades técnicas 50
Orient
Descripción NC. C
ación
Dominios Gestión de incidentes de la seguridad de la información
Gestión de incidentes y mejoramiento de la seguridad de la
información
Debe Procedimientos y responsabilidades 50
13
Puede Lecciones aprendidas 50
Debe Recolección de evidencia 50
Gestión de la continuidad del negocio
Orient
Descripción NC. C
ación
Dominios Cumplimiento
Cumplimiento con los requisitos legales
Debe Identificación de la legislación aplicable 50
Debe Derechos de propiedad intelectual (dpi) 50
Debe Protección de los registros de la organización 50
Debe Protección de datos y privacidad de la información personal 50
Prevención del uso inadecuado de los recursos de procesamiento
15 Debe de información 50
Cumplimiento con las políticas y estándares de seguridad y
cumplimiento técnico
Debe Cumplimiento con las políticas y procedimientos 50
Debe Verificación de la cumplimiento técnico 50
Consideraciones de la auditoria de sistemas de información
Debe Controles de auditoria a los sistemas de información 50

7
 BIBLIOGRAFÍA

 Servicio Nacional de Aprendizaje SENA. DESCRIPCION DE LA PLANTILLA ISO 27002.

 https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
 https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi
 https://es.wikipedia.org/wiki/ISO/IEC_27002