GESTION Y SEGURIDAD DE GESTION Y SEGURIDAD DE BASES

DE D BASES DE DAATOS TOS APLICACIÓN DE LA NORMA ISO

27002

Andres Felipe Ortiz coronado

SENA
Servicio nacional de aprendizaje
2019
 INTRODUCCION
Para este trabajo se solicitó a la empresa compunet S.A, se prestara
para realizar una auditoría sobre la seguridad de la información.
Utilizamos a la plantilla iso 27002 participando activamente en el
departamento de sistemas y después de hacer esto se dan algunas
sugerencias.
 Plan de mejora para la seguridad de la información para
la empresa compunet S. A.

Política de seguridad de la información.

Al di de hoy la empresa no cuenta con un documento de seguridad de
la Información se sugiere implementarlo lo antes posible y revisar
periódicamente revisiones Ya que la seguridad de la información debe
estar en continua evolución y para lograr esto debe contar una persona
idónea y que tenga una experiencia en el tema.

Estructura organizativa de la seguridad.

Aunque se cuenta con un departamento de sistemas, este debe de
organizar comités de seguridad de la información que involucre al resto
dela organización. Es muy importante que este comité asigne
responsabilidades, genere procedimientos, realice acuerdo de
confiabilidad de la información entre muchas más actividades.

Clasificación y control de activos

En este domino dela empresa no tiene grandes falencias, pero le
sugiere reforzar el objetivo del control dela clasificación dela información
ya que este activo (la información) no se encuentra clasificada por
importancia y vulnerabilidad.
Seguridad física y del entorno.
Al igual que punto anterior, este no presenta dificultades, ya que los
tiene bien implementados y se ha trabajado dela mano del
departamento de gestión y seguridad en el trabajo.

Gestión de comunicaciones y operaciones.

Se recomienda que una vez este implementado el comité de seguridad
de la información esta debe de realizar comités y procedimientos donde
queden las normas claras para utilizar el internet, correo electrónico,
copias de seguridad, instalación de software acceso a redes, manejo de
antivirus, y el intercambio de información con personas o empresas
externas.

Control de accesos.
Aunque todas las personas no tienen permisos a toda la información,
pero se ha detectado un manejo inadecuado de claves, por esto se
sugiere sanciones a las personas que le estén dando mal uso y que no
cumplan con los procedimientos adecuados para la creación de
contraseñas.

Desarrollo y manteniendo de sistemas.

En el momento se mantiene implementado un sistema de
aseguramiento en la base de datos y cada equipo una carpeta de google
drive, para garantizar que toda la información quede en la nube, pero
lastimosamente todo el empleado no cumple con la norma de guardar
la información en la carpeta y se sugiere que el comité haga cumplir la
norma.

Gestión de incidentes de la seguridad de la información.

Se debe implementar una bitácora donde se registre los incidentes,
daños en el cual debemos dejar consignado con fecha, detalle,
responsable como se soluciona y estado.

Gestión de continuidad del negocio y cumplimiento.

En los dos puntos no se tiene ningún problema, ya que la gerencia tiene
total compromiso con apoyar y hacer cumplir cualquier proyecto que
afecte positivamente la seguridad dela información ya que esto
asegúrala continuidad dela información.