Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AA1 E5 Aplicacion de La Norma ISO 27002
AA1 E5 Aplicacion de La Norma ISO 27002
Descripción breve
Dominar los conceptos claves para preservar la seguridad de la información.
Conocer estándares internaciones como guía y apoyo en la seguridad de la información.
INTRODUCCIÓN ................................................................................................................................... 1
OBJETIVO DE LA AUDITORIA ............................................................................................................... 3
ALCANCE DE LA AUDITORIA ................................................................................................................ 4
RESULTADOS DE LA AUDITORIA .......................................................................................................... 5
ASPECTOS CONFORMES .................................................................................................................. 5
ASPECTOS CONFORMES .................................................................................................................. 6
OPORTUNIDADES DE MEJORA ............................................................................................................ 7
PLAN DE MEJORA SUGERIDO .............................................................................................................. 8
RESULTADOS DE LA AUDITORIA .......................................................................................................... 0
BIBLIOGRAFÍA ...................................................................................................................................... 0
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en
las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de
gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15),
39 objetivos de control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la seguridad
de la información en relación a los requisitos del negocio y regulaciones relevantes.
Clasificación y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
control de de la información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de información
sensible deben estar ubicados en áreas seguras y protegidas en un perímetro de seguridad definido
por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un nivel
apropiado de seguridad de la información, además de la operación correcta y segura de los recursos
de tratamiento de información, minimizando el riesgo de fallos en los sistemas y asegurando la
protección de la información en las redes y la protección de su infraestructura de apoyo.
Gestión de la continuidad del negocio: La seguridad de información debe ser una parte integral del
plan general de continuidad del negocio (PCN) y de los demás procesos de gestión dentro de la
organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar
la reanudación a tiempo de las operaciones esenciales.
Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando
con documentos que soportan la seguridad de la información, al igual que las revisiones de
estas.
La estructura organizativa para la seguridad se encuentra bien constituida en lo
correspondiente a la organización interna y lo relacionado con las terceras partes.
La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso
aceptable. Además cuenta con una clasificación organizada, incluyendo las guías de
clasificación, etiquetado y manejo de la información.
Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se
encuentran bien definidos y documentados, al igual que la administración de los servicios
de terceras partes, monitoreando y revisando sus servicios.
Los controles de seguridad contra software malicioso se encuentran bien soportados,
empleando controles en las redes y seguridad de sus servicios.
Se identifican sólidos controles de accesos, empleando políticas de control de accesos,
registrando usuarios y administrando sus privilegios y contraseñas. También se ejerce fuerte
control de acceso a las redes, por medio de autenticación para usuarios con conexiones
externas.
Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con
la seguridad de la información; recolectando evidencias y publicando las lecciones
aprendidas.
ASPECTOS CONFORMES
Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO PC Escala
O C
Control
2 5 Gestión de incidentes de la seguridad de la información 3.76 100 100
2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13 Gestión de incidentes y mejoramiento de la seguridad de la
3 información 60 60