ACTIVIDAD AP01 - AA01 – EV5

APLICACIÓN DE LA NORMA ISO 27002

JEFERSON ARMIDO JIMENEZ VELARDE

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

INGENIERO.
CAMILO ANDRES GUTIERREZ OVIEDO

SERVICIO NACIONAL DE APRENDIZAJE

CENTRO DE SERVICIOS FINANANCIEROS
COLOMBIA
20 DE JUNIO DE 2019
Señores
E.E.S
Popayán

Asunto: Plan de Mejora para auditoria 2019 - Municipio de Popayán - Cauca –

E.E.S.

Cordial Saludo.

Por medio de este documento, me permito presenta el informe de la auditoria que

se le realizo a esta empresa durante el primer semestre del 2019, teniendo como
resultado que esta empresa presenta varios hallazgos establecidos por el equipo
auditor, los cuales serán objeto de subsanar mediante acciones que serán
expuestas en el plan de mejoramiento.
 OBJETIVOS DE LA AUDITORÍA

 Evaluar las operaciones y actos administrativos y financieros, verificando y

determinando el cumplimiento de los procedimientos de acuerdo a las leyes
y a la norma ISO 27002 tanto internas como externas, a fin de garantizar que
los objetivos de la Institución se cumplan dentro de los criterios de eficacia y
eficiencia y de gestión y transparencia.

 Emitir un diagnóstico sobre los sistemas de trabajo, permitiendo tomar

decisiones sobre los cuales se hallaron hallazgos.

 Presentar un Plan de Mejora, teniendo en cuenta los hallazgos encontrados

en la auditoria.
RESULTADOS DE LA AUDITORÍA
TABLA DE RESULTADOS.
 PRESENTACIÓN DEL PLAN DE MEJORA

PLAN DE MEJORAMIENTO: E.E.S

No. Descripción del hallazgo Cumplimiento Acción correctiva Plazo
Hallazgo de control en
meses
de la
acción
POLITICA DE Construir e implementar
SEGURIDAD. el documento de la
 Política de Política de Seguridad
Seguridad de la donde se presenten las
1 Información. Bajo reglas, normas y 2
 Documento protocolos de actuación
de la política que se encargan de velar
de por la seguridad
seguridad informática de la
de la empresa. Logrando
información. obtener el plan para
 Revisión de combatir todos los
la política de riesgos a los que está
seguridad expuesta la empresa en
de la el mundo digital.
información

ESTRUCTURA Establecer una

ORGANIZATIVA PARA estructura de gestión y
LA SEGURIDAD. control para la
 Organización implementación
2 Interna. de Seguridad de la
Bajo Información dentro de la
 Terceras partes empresa por medio del 3
Comité de seguridad de
la información, el cual
será el encargado de
coordinar toda la
implementación de la
seguridad en todos los
niveles de la empresa
bajo los acuerdos de
confidencialidad.
  Asegurar en un
nivel de
CLASIFICACIÓN Y protección
CONTROL DE ACTIVOS. adecuado a los
3  Responsabilidad activos de
sobre los activos. información. 2
 Clasificación de la  La información
información. Medio debe clasificarse
para indicar las
necesidades,
prioridades y
grado
de protección.
 Todos los activos
deben ser
considerados y
tener un
propietario
asignado.
 Debe identificarse
los propietarios
para todos los
activos
importantes, y se
debe asignar
responsabilidad
del mantenimiento
de los controles
apropiados.
 todos los archivos
deben ser
claramente
identificados y se
debe elaborar y
mantener un
inventario de
todos los activos
importantes.
  Capacitar al
encargado de la
seguridad
SEGURIDAD EN EL personal de la
PERSONAL. empresa para que
reciba información
4  Antes del empleo. y formación
 Durante el empleo. Medio adecuadas sobre
 Terminación o las medidas de 2
cambio del seguridad que
empleo. deben adoptarse
en la empresa,
logrando
identificar, evaluar
y controlar los
peligros o riesgos
asociados a la
actividad laboral y
fomentar las
actividades
formativas y
medidas
destinadas a
prevenir y evitar
estos riesgos, o
contratar a una
empresa
especializada en
prevención de
riesgos laborales
para que le preste
asesoramiento
externo durante
todas las etapas
de seguridad en el
personal.
  utilizar perímetros
de seguridad para
proteger las áreas
que contienen
SEGURIDAD FÍSICA Y información y
DEL ENTORNO. servicios de
procesamiento de
 Áreas Seguras. Medio información.
 Seguridad de los  definir claramente
5 Equipos. los perímetros de
seguridad y la 4
ubicación de cada
uno.
 Controlar el
acceso a los sitios
que contengan
información
dejándolo
restringido
únicamente al
personal
autorizado.
 todas las puertas
de incendio en el
perímetro de
seguridad
deberían tener
alarma,
monitorearse y
someterse a
prueba junto con
las paredes para
establecer el
grado
requerido de
resistencia, según
las normas
regionales,
nacionales e
internacionales.
 instalar sistema
de detección de
intrusos según
 normas
nacionales,
regionales o
internacionales.
 exigir a todos los
empleados,
contratistas y
usuarios de
terceras partes la
utilización de
alguna forma de
identificación
visible.
 Los equipos
deben estar
protegidos contra
amenazas físicas
y ambientales.
La protección del
equipo es
necesaria para
reducir el riesgo
de acceso no
autorizado a la
información y para
proteger
contra pérdida o
daño.
 También se debe
considerar la
ubicación y la
eliminación de los
equipos.
 GESTIÓN DE  Asegurar la
COMUNICACIONES Y operación correcta
OPERACIONES y segura de los
 Procedimientos recursos de
operacionales y tratamiento de
responsabilidades. información.
 Administración de  Establecer
servicios de responsabilidades
terceras partes. y procedimientos
 Planificación y para la gestión y
6 aceptación del Bajo operación 1
sistema. de todos los
 Protección contra recursos para el
software malicioso tratamiento de la
y móvil. formación.
 Copias de Esto incluye el
seguridad. desarrollo de
 Administración de instrucciones
la seguridad en apropiadas de
redes. operación y de
 Manejo de medios procedimientos de
de soporte. respuesta ante
 Intercambio de incidencias.
información.  implantar la
 Servicios de segregación de
comercio tareas, cuando
electrónico. sea adecuado,
 Monitoreo y para reducir el
supervisión- riesgo de un mal
uso del sistema
deliberado o por
negligencia.
 llevar un elevado
control de que los
servicios
entregados
cumplen con los
requisitos
acordados
previamente.
 Tener acuerdos
firmados con
terceros para
 realizar la entrega
de servicios, es
necesario que se
establezcan
controles de
seguridad
apropiados y que
apoyen a ISO-
27002, según la
evaluación de
riesgos
pertinentes, para
asegurar que se
cumple con los
niveles del
servicio de
entrega del
sistema
acordados por
dicha tercera
parte.
 Se requiere una
planificación y
preparación
avanzada para
garantizar la
adecuada
capacidad y
recursos con
objeto de
mantener la
disponibilidad de
los sistemas
requerida.
Debe realizarse
proyecciones de
los requisitos de
capacidad en el
futuro para reducir
el riesgo de
sobrecarga de los
sistemas.
Se debe
establecer,
 documentar y
probar, antes de
su aceptación, los
requisitos
operacionales de
los nuevos
sistemas.
 Prevenir y
detectar la
introducción de
código malicioso y
códigos móviles
no autorizados.
El software y los
recursos de
tratamiento de
información son
vulnerables a la
introducción de
software malicioso
como virus
informáticos,
gusanos de la red,
de troya y bombas
lógicas.
Los usuarios
deben conocer los
peligros que
puede ocasionar
el software
malicioso o no
autorizado y los
administradores
deben introducir
controles y
medidas
especiales para
detectar o evitar
su introducción.
 disponer de un
respaldo de todos
los archivos
esenciales que
podamos
 necesitar. Por
medio de las
copias de
seguridad.
 Implementar los
controles
adicionales con el
fin de proteger la
información
sensible que pasa
por las redes.
 Asegurar la
seguridad de los
servicios de
comercio
electrónico y de
su uso seguro.
 Gestión de
altas/bajas en el
registro de
usuarios: Debería
CONTROL DE ACCESOS existir un
procedimiento
formal de alta y
 Requisitos de baja de usuarios
negocio para el con objeto de
control de acceso. habilitar la
7  Administración de asignación de
acceso de Bajo derechos de 2
usuarios. acceso.
 Control de acceso  implantar un
a redes. proceso formal de
 Control de acceso aprovisionamiento
al sistema de accesos a los
operativo. usuarios para
 Control de acceso asignar o revocar
a las aplicaciones derechos de
y la información. acceso a todos los
 Ordenadores tipos de usuarios
portátiles y y para todos los
teletrabajo sistemas y
servicios.
 Gestionar los
derechos de
acceso con
privilegios
especiales: La
asignación y uso
de derechos de
acceso con
privilegios
especiales debe
ser restringido y
controlado.
 Gestionar la
información
confidencial de
autenticación de
usuarios: La
asignación de
información
confidencial para
la autenticación
debería ser
controlada
mediante un
proceso de
gestión
controlado.
 Revisar los
derechos de
acceso de los
usuarios: Los
propietarios de los
activos deberían
revisar con
regularidad los
derechos de
acceso de los
usuarios.
 Adaptar de los
derechos de
acceso: Se debe
retirar los
derechos de
 acceso para todos
los empleados,
contratistas o
usuarios de
terceros a la
información y a
las instalaciones
del procesamiento
de información a
la finalización del
empleo, contrato o
acuerdo, o ser
revisados en caso
de cambio.
 establecer los
procedimientos
operativos
adecuados para
proteger los
documentos,
medios
informáticos
(discos, cintas,
etc.), datos de
entrada o salida y
documentación
del sistema contra
la divulgación,
modificación,
retirada o
destrucción de
activos no
autorizadas.
 Procedimientos
seguros de inicio
de sesión:
Cuando sea
requerido por la
política de control
de accesos se
debería controlar
el acceso a los
sistemas y
aplicaciones
 mediante un
procedimiento
seguro de log-on.
 Controlar los
accesos a
servicios internos
y externos
conectados en
red. El acceso de
los usuarios a
redes y servicios
en red no debería
comprometer la
seguridad de los
servicios en red
 Implantar
estándares de
seguridad básica
para todas las
plataformas
informáticas y de
comunicaciones,
recogiendo las
mejores prácticas
de CIS, NIST,
fabricantes de
sistemas.
 utilizar las
prestaciones de
seguridad del
sistema operativo
para permitir el
acceso exclusivo
a los usuarios
autorizados
  diseñar controles
apropiados en las
propias
DESARROLLO Y aplicaciones,
MANTENIMIENTO DE incluidas las
SISTEMAS. desarrolladas por
los propios
usuarios, para
 Requerimientos de asegurar el
seguridad de procesamiento
sistemas de correcto de la
8 información. información. Estos 2
 Procesamiento Bajo controles deberían
adecuado en incluir la
aplicaciones. validación de los
 Controles datos de entrada,
criptográficos. el tratamiento
 Seguridad de los interno y los datos
archivos del de salida.
sistema.  desarrollar una
 Seguridad en los política de uso de
procesos de controles
desarrollo y criptográficos.
soporte.  establecer una
 Gestión de gestión de claves
vulnerabilidades que de soporte al
técnicas, uso de de
técnicas
criptográficas..
 controlar el
acceso a los
sistemas de
ficheros y código
fuente de los
programas. Los
proyectos TI y las
actividades de
soporte deberían
ser dirigidos de un
modo seguro. Se
debería evitar la
exposición de
datos sensibles en
 entornos de
prueba.
 controlar
estrictamente los
entornos de
desarrollo de
proyectos y de
soporte.
 Los directivos
responsables de
los sistemas de
aplicaciones
deberían ser
también
responsables de
la seguridad del
proyecto o del
entorno de
soporte. Ellos
deberían
garantizar que
todas las
propuestas de
cambio en los
sistemas son
revisadas para
verificar que no
comprometen la
seguridad del
sistema o del
entorno operativo.
 Implantar una
gestión de la
vulnerabilidad
técnica siguiendo
un método
efectivo,
sistemático y
cíclico, con la
toma de medidas
que confirmen su
efectividad.
  establecer el
informe formal de
los eventos y de
los
GESTIÓN DE procedimientos de
INCIDENTES DE LA escalado.
SEGURIDAD DE LA  Todos los
INFORMACIÓN. empleados,
contratistas y
terceros deberían
 Notificando estar al tanto de
9 eventos de Bajo los 1
seguridad de la procedimientos
información y para informar de
debilidades. los diferentes
 Gestión de tipos de eventos y
incidentes y debilidades que
mejoramiento de puedan tener
la seguridad de la impacto en la
información. seguridad de los
activos
organizacionales.
 Exigir que
informen de
cualquier evento o
debilidad en la
seguridad de
información lo
más rápido
posible y al punto
de contacto
designado.
 Establecerse las
responsabilidades
y procedimientos
para manejar los
eventos y
debilidades en la
seguridad de
información de
una manera
efectiva y una vez
 que hayan sido
comunicados.
 Aplicar un proceso
de mejora
continua en
respuesta para
monitorear,
evaluar y
gestionar en su
totalidad los
incidentes en la
seguridad de
información.
 Cuando se
requieran
evidencias, éstas
deben ser
recogidas para
asegurar el
cumplimiento de
los requisitos
legales
 implantar un
proceso de
gestión de
continuidad del
negocio para
reducir, a niveles
GESTIÓN DE LA aceptables, la
10 CONTINUIDAD DEL Bajo interrupción
NEGOCIO causada por los
 Aspectos de desastres y fallos
seguridad de la de seguridad
información en la (que, por ejemplo, 1
gestión de puedan resultar
continuidad del de desastres
negocio naturales,
accidentes, fallas
de equipos o
acciones
deliberadas)
mediante una
combinación de
 controles
preventivos y de
recuperación.
 identificar los
procesos críticos
de negocio e
integrar los
requisitos de
gestión de la
seguridad de
información para
la continuidad del
negocio con otros
requisitos de
continuidad
relacionados con
dichos aspectos
como
operaciones,
proveedores de
personal,
materiales,
transporte e
instalaciones.
 analizar las
consecuencias de
los desastres,
fallas de
seguridad,
pérdidas de
servicio y la
disponibilidad del
servicio y
desarrollar e
implantar planes
de contingencia
para asegurar que
los procesos del
negocio se
pueden restaurar
en los plazos
requeridos las
operaciones
esenciales.
 La seguridad de
información
debería ser una
parte integral del
plan general de
continuidad del
negocio y de los
demás procesos
de gestión dentro
de la
organización.
 La gestión de la
continuidad del
negocio debería
incluir
adicionalmente al
proceso de
evaluación,
controles para la
identificación y
reducción de
riesgos, limitar las
consecuencias de
incidencias
dañinas y
asegurar la
reanudación a
tiempo de las
operaciones
esenciales
  Realizar
revisiones
regulares de la
seguridad de los
sistemas de
CUMPLIMIENTO. información.
 Realizar según las
políticas de
 Cumplimiento con seguridad
11 los requisitos apropiadas y las
legales. plataformas
 Cumplimiento con Medio técnicas y 2
las políticas y sistemas de
estándares de información
seguridad y deberían ser
cumplimiento auditados para el
técnico. cumplimiento de
 Consideraciones los estándares
de la auditoria de adecuados de
sistemas de implantación de la
información seguridad y
controles de
seguridad
documentados.
 Realizar controles
para proteger los
sistemas en activo
y las herramientas
de auditoría
durante el
desarrollo de las
auditorías de los
sistemas de
información.
 se requiere la
protección para
salvaguardar la
integridad y
prevenir el mal
uso de las
herramientas de
auditoría.