AA1-E4 APLICACIÓN DE LA NORMA ISO 27002

POR:

YURANIS PAOLA ARIAS CANO.

PROFESORA:

ALEXANDRA MARCELA VILLAMIL LOPEZ.

SENA
CENTRO AGROPECUARIO LA GRANJA
REGIONAL TOLIMA
IBAGUE-TOLIMA
2019
 INTRODUCCIÓN

Cuando identificamos los activos de la información, debemos saber de dónde

proceden y como se clasifican dentro de la empresa, para establecer ciertos
criterios como son el tratamiento, la protección y la divulgación de la información,
al igual que conocer toda la infraestructura tecnológica aplicada a esta

Para garantizar la seguridad de toda la información y de las herramientas técnicas(

hardware), es importante crear una política de seguridad en cuanto a la
información, en cuento a manejo, control tratamiento, y seguridad, este proceso
de implantación nos va a permitir, en primer lugar, analizar y ordenar la estructura
de toda la información, en segundo lugar, definir procedimientos de trabajo que
nos permitan mantener la seguridad, y en tercer lugar realizar controles para medir
la eficacia de las medidas tomadas, todo esto nos permite proteger la organización
de posibles amenazas y riesgos que pueden poner en peligro la organización

Establecer unas políticas de gestión de seguridad nos permite establecer unos

criterios para gestionar los riesgos y así preservar la confidencialidad, la integridad
y disponibilidad de los mismos.

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La
norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control
y 133 controles.

A continuación se realiza una descripción de los aspectos que deben ser tenidos
en cuenta al momento de evaluar los controles de cada uno de los dominios de la
norma ISO 27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de la

dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes.

Estructura organizativa para la seguridad: Organización interna: estos controles

gestionan la seguridad de la información dentro de la Organización. El órgano de
dirección debe aprobar la política de seguridad de la información, asignando los
roles de seguridad y coordinando la implantación de la seguridad en toda la
Organización. Terceras partes: estos controles velan por mantener la seguridad de
los recursos de tratamiento de la información y de los activos de información de la
organización.
Clasificación y control de activos: Responsabilidad sobre los activos: estos
controles pretenden alcanzar y mantener una protección adecuada de los activos
de la organización. Clasificación y control de de la información: la información se
encuentra clasificada para indicar las necesidades, prioridades y nivel de
protección previsto para su tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en asegurar que

los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir el
riesgo de robo, fraude y mal uso de las instalaciones y medios.

Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento

de información sensible deben estar ubicados en áreas seguras y protegidas en
un perímetro de seguridad definido por barreras y controles de entrada, protegidas
físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca
en los controles de protección contra amenazas físicas y para salvaguardar
servicios de apoyo como energía eléctrica e infraestructura del cableado.

Gestión de las comunicaciones y operaciones: Procura asegurar, implementar

y mantener un nivel apropiado de seguridad de la información, además de la
operación correcta y segura de los recursos de tratamiento de información,
minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
información en las redes y la protección de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la información y los recursos de

tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.

Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles

adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se determinan
en función de los requisitos de seguridad y la estimación del riesgo.

Gestión de incidentes de seguridad de la información: Se establecen informes

de los eventos y de los procedimientos realizados, todos los empleados,
contratistas y terceros deben estar al tanto de los procedimientos para informar de
los diferentes tipos de eventos y debilidades que puedan tener impacto en la
seguridad de los activos de la organización.

Gestión de la continuidad del negocio: La seguridad de información debe ser

una parte integral del plan general de continuidad del negocio (PCN) y de los
demás procesos de gestión dentro de la organización. El plan de gestión de la
continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,

estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
dentro y fuera de la organización. Los requisitos legales específicos deberían ser
advertidos por los asesores legales de la organización o por profesionales del
área. Además se deberían realizar revisiones regulares de la seguridad de los
sistemas de información.
 JUSTIFICACIÓN

La información, junto con los procesos que la administran, además de cada una de
las personas que hacen parte de los mismos, son activos valiosos del que
depende el buen funcionamiento de una organización. La confidencialidad,
integridad y disponibilidad de la información, son elementos esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y asegurar los
beneficios económicos.

El sistema de gestión de seguridad de la información permite controlar y minimizar

los riesgos físicos o lógicos entre estos tenemos por un lado los incendios,
inundaciones entre otros, como por, otra parte tenemos hacker, robos de
identidad, spam, virus entre otros, para proteger a esta organización de todas
estas amenazas es necesario establecer unos procedimientos adecuados e
implementar controles de seguridad basados en la evaluación de riesgos y medir
su eficacia, establecer un sistema de gestión de seguridad de la información
basado en la norma ISO/IEC 27002.
 OBJETIVO DE LA AUDITORIA

 Revisar la situación actual de la empresa identificando las condiciones de

seguridad de la información
 Proponer un plan de mejora con base a los hallazgos encontrados en el
contexto de seguridad de la información.
 Evaluar la conformidad del sistema de gestión de seguridad de la
información regido bajo la norma ISO 27002.
 ALCANCE DE LA AUDITORIA
Analizar el sistema de gestión de seguridad de la información de la
organización formando jóvenes teniendo en cuenta los requerimientos de la
norma ISO 27002.
 RESULTADOS DE LA AUDITORIA.

NO CONFORMORMIDADES:
 No se tienen claras las políticas de copias de seguridad de la
información, donde posiblemente no se tenga soporte de estas.
 Se pudo observar que no se posee un sistema de administración de
contraseñas, no se exigen controles adicionales para el cambio de
estas luego de un lapso determinado de tiempo.
 No se soporta los riesgos identificados por el acceso de terceras
personas.

CONFORMIDADES:
 La estructura organizativa para la seguridad se encuentra bien
constituida en lo correspondiente a la organización interna y lo
relacionado con las terceras partes.

 La empresa cuenta con el inventario de los activos que posee, sus

propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y
manejo de la información.

 Los controles de seguridad contra software malicioso se encuentran

bien soportados, empleando controles en las redes y seguridad de
sus servicios.

 Se identifican sólidos controles de accesos, empleando políticas de

control de accesos, registrando usuarios y administrando sus
privilegios y contraseñas. También se ejerce fuerte control de acceso
a las redes, por medio de autenticación para usuarios con conexiones
externas
 OPORTUNIDAD DE MEJORA

ASPECTO OBSERVACIÓN

Estructura organizativa para la seguridad Se considera importante analizar los riesgos por parte de
acceso de terceras partes, esto para garantizar la solidez
 Identificación de riesgos por el acceso de del esquema de seguridad de la información con una
terceras partes. estructura organizativa mejor formada.

Gestión de comunicaciones y operaciones Se deben documentar y soportar las copias de seguridad,

con el fin de obtener mejores prestaciones en la
 Información de copias de seguridad. persistencia de los datos y obteniendo a su vez mejor
gestión de comunicaciones y operaciones.

Control de accesos Para garantizar la robustez de los controles de acceso, es

 Sistema de administración de contraseñas. necesario que se mejore el sistema de administración de
contraseñas; permitiéndole a los usuarios realizar
cambios periódicos de estas garantizando la seguridad
de los datos privados de la empresa.

PLAN DE MEJORA.

FASE ACTIVIDADES MES

1 2 3
Análisis de la información . Estructura organizativa para la seguridad
ISO 27002  Terceras Partes.
Identificación de riesgos por el acceso de terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
Sistema de administración de contraseñas.
RESULTADOS PLANILLA ISO 27002.