Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PROGRAMA DE FORMACIÓN
Gestión y Seguridad de Bases de Datos
TEMA
Aplicación De La Norma ISO 27002
INSTRUCTOR (A)
Adriana Cristina Castilla López
APRENDIZ
Anides Jose Morales Pacheco
FECHA
Septiembre 28
Santa Marta - Magdalena
2019
TABLA DE CONTENIDO
INTRODUCCIÓN………………………………………………………………..………...3
OBJETIVO DE LA AUDITORIA……………………………………………………….…5
ALCANCE DE LA AUDITORIA…………………………………………………………..6
RESULTADOS DE LA AUDITORIA………………………………………………….….7
ASPECTOS CONFORMES……………………………………………………………...7
ASPECTOS CONFORMES……………………………………………………………...7
OPORTUNIDADES DE MEJORA……………………………………………………….Error!
Bookmark not defined.
PLAN DE MEJORA SUGERIDO………………………………………………………...Error!
Bookmark not defined.
RESULTADOS DE LA AUDITORIA
BIBLIOGRAFÍA
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en
cuenta al momento de evaluar los controles de cada uno de los dominios de la norma
ISO 27002:
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y
mal uso de las instalaciones y medios.
ASPECTOS CONFORMES:
Se pudo identificar que la alcaldía cuenta con una política de seguridad sólida,
contando con documentos que soportan la seguridad de la información, al igual
que las revisiones de estas.
La alcaldía cuenta con el inventario de los activos que posee, sus propietarios y
uso aceptable. Además cuenta con una clasificación organizada, incluyendo las
guías de clasificación, etiquetado y manejo de la información.
ASPECTOS CONFORMES:
OPORTUNIDADES DE MEJORA
ASPECTO OBSERVACIÓN
Estructura organizativa para la seguridad: Se considera necesario que se conformen o se
Organización Interna. definan de manera más clara el comité de la
Comité de la dirección sobre seguridad de dirección sobre seguridad de la información, esto
la información. permitirá una estructura organizativa más sólida
para la alcaldía.
Estructura organizativa para la seguridad: Se considera importante analizar los riesgos por
Terceras Partes. parte de acceso de terceras partes, esto para
Identificación de riesgos por el acceso de garantizar la solidez del esquema de seguridad de
terceras partes. la información con una estructura organizativa
mejor formada.
Gestión de comunicaciones y operaciones: Se deben documentar y soportar las copias de
Copias de seguridad. seguridad, con el fin de obtener mejores
Información de copias de seguridad. prestaciones en la persistencia de los datos y
obteniendo a su vez mejor gestión de
comunicaciones y operaciones.
Control de accesos: Para garantizar la robustez de los controles de
Control de acceso al sistema operativo. acceso, es necesario que se mejore el sistema de
Sistema de administración de administración de contraseñas; permitiéndole a los
contraseñas. usuarios realizar cambios periódicos de estas
garantizando la seguridad de los datos privados de
la alcaldía.
PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES 1 1
8 9 10
1 2
Estructura organizativa para la seguridad:
Organización Interna.
Comité de la dirección sobre seguridad de la
información.
Estructura organizativa para la seguridad:
Terceras Partes.
Análisis de la información Identificación de riesgos por el acceso de terceras
ISO 27002 partes.
Gestión de comunicaciones y operaciones:
Copias de seguridad.
Información de copias de seguridad.
Control de accesos:
Control de acceso al sistema operativo.
Sistema de administración de contraseñas.
RESULTADOS DE LA AUDITORIA
Objetivos
NC. NC. NC.
Dominios de Controles Orientación Descripción PD PO PC Escala
D O C
Control
Gestión de incidentes de la
2 100
5 seguridad de la información 3.76 100
Notificando eventos de seguridad
2 de la información y debilidades 40 40
Reportando eventos
de seguridad de la
1
1 Debe información 20 100 100
Reportando
debilidades de
13 2 Puede seguridad 20 100 100
Gestión de incidentes y
mejoramiento de la seguridad de
3 la información 60 60
Procedimientos y
2 1 Debe responsabilidades 20 100 100
2 Puede Lecciones aprendidas 20 100 100
Recolección de
3 Debe evidencia 20 100 100
BIBLIOGRAFIA
https://blog.nubox.com/como-hacer-una-auditoria
https://www.santamarta.gov.co/
https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
https://www.google.com.co/
https://www.youtube.com/
http://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001
070&ruta=/documentacion/0000001358/0000000107