CENTRO NACIONAL COLOMBO ALEMAN

PROGRAMA DE FORMACIÓN
Gestión y Seguridad de Bases de Datos

TEMA
Aplicación De La Norma ISO 27002

INSTRUCTOR (A)
Adriana Cristina Castilla López

APRENDIZ
Anides Jose Morales Pacheco

FECHA
Septiembre 28
Santa Marta - Magdalena
2019
 TABLA DE CONTENIDO

INTRODUCCIÓN………………………………………………………………..………...3
OBJETIVO DE LA AUDITORIA……………………………………………………….…5
ALCANCE DE LA AUDITORIA…………………………………………………………..6
RESULTADOS DE LA AUDITORIA………………………………………………….….7
ASPECTOS CONFORMES……………………………………………………………...7
ASPECTOS CONFORMES……………………………………………………………...7
OPORTUNIDADES DE MEJORA……………………………………………………….Error!
Bookmark not defined.
PLAN DE MEJORA SUGERIDO………………………………………………………...Error!
Bookmark not defined.
RESULTADOS DE LA AUDITORIA
BIBLIOGRAFÍA
 INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles.

A continuación se realiza una descripción de los aspectos que deben ser tenidos en
cuenta al momento de evaluar los controles de cada uno de los dominios de la norma
ISO 27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección

para la seguridad de la información en relación a los requisitos del negocio y
regulaciones relevantes.

Estructura organizativa para la seguridad: Organización interna: estos controles

gestionan la seguridad de la información dentro de la Organización. El órgano de
dirección debe aprobar la política de seguridad de la información, asignando los roles
de seguridad y coordinando la implantación de la seguridad en toda la Organización.
Terceras partes: estos controles velan por mantener la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización.

Clasificación y control de activos: Responsabilidad sobre los activos: estos controles

pretenden alcanzar y mantener una protección adecuada de los activos de la
organización. Clasificación y control de la información: la información se encuentra
clasificada para indicar las necesidades, prioridades y nivel de protección previsto para
su tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y
mal uso de las instalaciones y medios.

Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de

información sensible deben estar ubicados en áreas seguras y protegidas en un
perímetro de seguridad definido por barreras y controles de entrada, protegidas
físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca en los
controles de protección contra amenazas físicas y para salvaguardar servicios de apoyo
como energía eléctrica e infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y
mantener un nivel apropiado de seguridad de la información, además de la operación
correcta y segura de los recursos de tratamiento de información, minimizando el riesgo
de fallos en los sistemas y asegurando la protección de la información en las redes y la
protección de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la información y los recursos de

tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.

Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles

adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se determinan en
función de los requisitos de seguridad y la estimación del riesgo.

Gestión de incidentes de seguridad de la información: Se establecen informes de

los eventos y de los procedimientos realizados, todos los empleados, contratistas y
terceros deben estar al tanto de los procedimientos para informar de los diferentes tipos
de eventos y debilidades que puedan tener impacto en la seguridad de los activos de la
organización.

Gestión de la continuidad del negocio: La seguridad de información debe ser una

parte integral del plan general de continuidad del negocio (PCN) y de los demás
procesos de gestión dentro de la organización. El plan de gestión de la continuidad
debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las
operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,

estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
dentro y fuera de la organización. Los requisitos legales específicos deberían ser
advertidos por los asesores legales de la organización o por profesionales del área.
Además se deberían realizar revisiones regulares de la seguridad de los sistemas de
información.
 OBJETIVO DE LA AUDITORIA

 Evaluar la conformidad del sistema de gestión de seguridad de la información

regido bajo la norma ISO 27002.

 Revisar la situación actual de la empresa identificando las condiciones de

seguridad de la información.

 Proponer un plan de mejora con base a los hallazgos encontrados en el contexto

de seguridad de la información con base a la norma 27002.
 ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la información

relacionada con la alcaldía de Santa Marta, donde se analizaron todos los requisitos
bajo la norma ISO 27002, expuestos en el anexo de este documento.
 RESULTADOS DE LA AUDITORIA

ASPECTOS CONFORMES:

 Se pudo identificar que la alcaldía cuenta con una política de seguridad sólida,
contando con documentos que soportan la seguridad de la información, al igual
que las revisiones de estas.

 La estructura organizativa para la seguridad se encuentra bien constituida en lo

correspondiente a la organización interna y lo relacionado con las terceras partes.

 La alcaldía cuenta con el inventario de los activos que posee, sus propietarios y
uso aceptable. Además cuenta con una clasificación organizada, incluyendo las
guías de clasificación, etiquetado y manejo de la información.

 Durante la auditoria se pudo identificar que los procedimientos y

responsabilidades se encuentran bien definidos y documentados, al igual que la
administración de los servicios de terceras partes, monitoreando y revisando sus
servicios.

 Los controles de seguridad contra software malicioso se encuentran bien

soportados, empleando controles en las redes y seguridad de sus servicios.

 Se identifican sólidos controles de accesos, empleando políticas de control de

accesos, registrando usuarios y administrando sus privilegios y contraseñas.
También se ejerce fuerte control de acceso a las redes, por medio de
autenticación para usuarios con conexiones externas.

 Se registran procedimientos, reportes y procedimientos de los incidentes

relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.

ASPECTOS CONFORMES:

 Se logró evidenciar que no se encuentra bien definido un comité relacionado con

la dirección sobre la seguridad de la información.

 No se soporta los riesgos identificados por el acceso de terceras personas, No se

tienen claras las políticas de copias de seguridad de la información, donde
posiblemente no se tenga soporte de estas.
  Se pudo observar que no se posee un sistema de administración de contraseñas,
no se exigen controles adicionales para el cambio de estas luego de un lapso
determinado de tiempo.

OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN
Estructura organizativa para la seguridad: Se considera necesario que se conformen o se
 Organización Interna. definan de manera más clara el comité de la
 Comité de la dirección sobre seguridad de dirección sobre seguridad de la información, esto
la información. permitirá una estructura organizativa más sólida
para la alcaldía.
Estructura organizativa para la seguridad: Se considera importante analizar los riesgos por
 Terceras Partes. parte de acceso de terceras partes, esto para
 Identificación de riesgos por el acceso de garantizar la solidez del esquema de seguridad de
terceras partes. la información con una estructura organizativa
mejor formada.
Gestión de comunicaciones y operaciones: Se deben documentar y soportar las copias de
 Copias de seguridad. seguridad, con el fin de obtener mejores
 Información de copias de seguridad. prestaciones en la persistencia de los datos y
obteniendo a su vez mejor gestión de
comunicaciones y operaciones.
Control de accesos: Para garantizar la robustez de los controles de
 Control de acceso al sistema operativo. acceso, es necesario que se mejore el sistema de
 Sistema de administración de administración de contraseñas; permitiéndole a los
contraseñas. usuarios realizar cambios periódicos de estas
garantizando la seguridad de los datos privados de
la alcaldía.
 PLAN DE MEJORA SUGERIDO

MES
FASE ACTIVIDADES 1 1
8 9 10
1 2
Estructura organizativa para la seguridad:
 Organización Interna.
 Comité de la dirección sobre seguridad de la
información.
Estructura organizativa para la seguridad:
 Terceras Partes.
Análisis de la información  Identificación de riesgos por el acceso de terceras
ISO 27002 partes.
Gestión de comunicaciones y operaciones:
 Copias de seguridad.
 Información de copias de seguridad.
Control de accesos:
 Control de acceso al sistema operativo.
 Sistema de administración de contraseñas.
 RESULTADOS DE LA AUDITORIA

Objetivos % de cumplimiento de la norma

Dominios de Controles NC.
Control Orientación Descripción PD NC. D PO NC. O PC Escala
C
1 2 Política de Seguridad 1.5 100 100
Política de Seguridad de la
2 Información 100 100
Documento de la
política de
5 seguridad de la
1
1 Debe información 50 100 100
Revisión de la
política de
seguridad de la
2 Debe información 50 100 100
Estructura organizativa para
2 100
11 la seguridad 8.27 80.91
8 Organización Interna 72.73 61.82
Comité de la
dirección sobre
seguridad de la
1 Debe información 9.09 30 30
Coordinación de
la seguridad de
2 Debe la información 9.09 90 90
Asignación de
responsabilidades
para la de
seguridad de la
3 Debe información 9.09 100 100
1 Proceso de
autorización para
instalaciones de
procesamiento
4 Debe de información 9.09 100 100
Acuerdos de
6 5 Debe confidencialidad 9.09 100 100
Contacto con
6 Puede autoridades 9.09 80 80
Contacto con
7 Puede grupos de interés 9.09 100 100
Revisión
independiente de
la seguridad de
8 Puede la información 9.09 80 80
3 Terceras partes 27.27 19.09
Identificación de
riesgos por el
acceso de
1 Debe terceras partes 9.09 50 50
Temas de
2 seguridad a
tratar con
2 Debe clientes 9.09 80 80
Temas de
seguridad en
acuerdos con
3 Debe terceras partes 9.09 80 80
 Objetivo Descripció
Dominio Controle Orientació NC. NC. NC. Escal
s de PD PO PC
s s n n D O C a
Control
Clasificación y control de
2 100
5 activos 3.76 100
Responsabilidad sobre los
3 activos 60 60
Inventario de 10
1 Debe activos 20 0 100
1
Propietario de 10
2 Debe activos 20 0 100
7 Uso aceptable 10
3 Debe de los activos 20 0 100
Clasificación de la
2 información 40 40
Guías de 10
2 1 Debe clasificación 20 0 100
Etiquetado y
manejo de la 10
2 Debe información 20 0 100
Gestión de comunicaciones 24.0 33.
10 100
32 y operaciones 6 5
Procedimientos
operacionales y 12. 11.2
4 responsabilidades 5 5
Procedimientos
de operación 3.12 10
1 Debe documentados 5 0 100
Control de 3.12 10
1 2 Debe cambios 5 0 100
Separación de 3.12
3 Debe funciones 5 80 80
Separación de
las
instalaciones
de desarrollo y 3.12
4 Debe producción 5 80 80
Administración de servicios 9.3
3 de terceras partes 8 8.13
Entrega de 10
1 Puede servicios 3.12 0 100
Monitoreo y
10
revisión de
2
servicios de
2 Puede terceros 3.12 80 80
Manejo de
cambios a
servicios de
3 Puede terceros 3.12 80 80
Protección contra software 6.2
2 malicioso y móvil 5 6.25
Controles
contra software 3.12 10
4
1 Debe malicioso 5 0 100
Controles
contra código 3.12 10
2 Debe móvil 5 0 100
3.1
1 Copias de seguridad 3 1.57
5 Información de
copias de
1 Debe seguridad 3.13 50 50
Administración de la 6.2
6
2 seguridad en redes 5 6.25
 Controles de 3.12 10
1 Debe redes 5 0 100
Seguridad de
los servicios de 3.12 10
2 Debe red 5 0 100
Objetivo
Dominio Controle Orientació NC. P NC. Escal
s de Descripción PD NC. D PO
s s n O C C a
Control
7 25 Control de accesos 18.8 96.4 100
Requisitos de negocio para el
1 control de acceso 4 4
1
Política de control 10
1 Debe de accesos 4 0 100
Administración de acceso de
4 usuarios 16 16
Registro de 10
1 Debe usuarios 4 0 100
Administración de 10
2 2 Debe privilegios 4 0 100
Administración de 10
3 Debe contraseñas 4 0 100
Revisión de los
derechos de 10
4 Debe acceso de usuario 4 0 100
Responsabilidades de los
3 usuarios 12 12
Uso de 10
1 Debe contraseñas 4 0 100
Equipos de
3 cómputo de
usuario 10
2 Puede desatendidos 4 0 100
Política de
escritorios y 10
3 Puede pantallas limpias 4 0 100
7 Control de acceso a redes 28 28
Política de uso de
los servicios de 10
1 Debe red 4 0 100
11 Autenticación de
usuarios para
conexiones 10
2 Puede externas 4 0 100
Identificación de 10
3 Puede equipos en la red 4 0 100
4 Administración
remota y
protección de 10
4 Debe puertos 4 0 100
Segmentación de 10
5 Puede redes 4 0 100
Control de
conexión a las 10
6 Debe redes 4 0 100
Control de
enrutamiento en 10
7 Debe la red 4 0 100
Control de acceso al 12istema 20.
6 operativo 24 4
Procedimientos
seguros de Log-
1 Debe on en el sistema 4 80 80
Identificación y
autenticación de 10
5 2 Debe los usuarios 4 0 100
Sistema de
administración de
3 Debe contraseñas 4 30
Uso de utilidades 10
4 Puede de sistema 4 0 100
Inactividad de la 10
5 Debe sesión 4 0 100
 Limitación del
tiempo de 10
6 Puede conexión 4 0 100
Control de acceso a las
2 aplicaciones y la información 8 8
Restricción del
6 acceso a la 10
1 Puede información 4 0 100
Aislamiento de 10
2 Puede sistemas sensibles 4 0 100
Ordenadores portátiles y
2 teletrabajo 8 8
Ordenadores
portátiles y
7
comunicaciones 10
1 Puede moviles 4 0 100
10
2 Puede Teletrabajo 4 0 100

Objetivos
NC. NC. NC.
Dominios de Controles Orientación Descripción PD PO PC Escala
D O C
Control
Gestión de incidentes de la
2 100
5 seguridad de la información 3.76 100
Notificando eventos de seguridad
2 de la información y debilidades 40 40
Reportando eventos
de seguridad de la
1
1 Debe información 20 100 100
Reportando
debilidades de
13 2 Puede seguridad 20 100 100
Gestión de incidentes y
mejoramiento de la seguridad de
3 la información 60 60
Procedimientos y
2 1 Debe responsabilidades 20 100 100
2 Puede Lecciones aprendidas 20 100 100
Recolección de
3 Debe evidencia 20 100 100
 BIBLIOGRAFIA

https://blog.nubox.com/como-hacer-una-auditoria
https://www.santamarta.gov.co/
https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
https://www.google.com.co/
https://www.youtube.com/
http://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001
070&ruta=/documentacion/0000001358/0000000107