AA1-5: APLICACIÓN DE LA NORMA ISO 27002.

Yury Lorena Cuesta Cuervo

Ing. Candelaria Suárez B.

Instructor Técnico Vocero

Sena 2019
 Dominio Escala de cumplimiento
Política de Seguridad Bajo
Estructura organizativa para la Bajo
seguridad
Clasificación y control de activos Medio
Seguridad en el personal Medio
Seguridad física y del entorno Medio
Gestión de comunicaciones y Bajo
operaciones
Control de accesos Bajo
Desarrollo y mantenimiento de sistemas Bajo
Gestión de incidentes de la seguridad Bajo
de la información
Gestión de la continuidad del negocio Bajo
Cumplimiento Medio
Tabla 1. Resultados de la auditoria E.E.S
Plantilla
 PLAN DE MEJORA

Empresa Contadores L Rodríguez

Dominio Escala de cumplimiento

Política de Seguridad Medio
Estructura organizativa para la Medio
seguridad
Clasificación y control de activos Medio
Seguridad en el personal Bajo
Seguridad física y del entorno Bajo
Gestión de comunicaciones y Bajo
operaciones
Control de accesos Medio
Desarrollo y mantenimiento de sistemas Medio
Gestión de incidentes de la seguridad Medio
de la información
Gestión de la continuidad del negocio Bajo
Cumplimiento Medio

OBJETIVO GENERAL

Proponer un plan de Mejora para la empresa CMT Colombia SAS a partir de un

diagnóstico empresarial logrando un crecimiento y posicionamiento en la industria.

:
POLÍTICA DE SEGURIDAD
Una empresa posee millones de datos confidenciales que están en peligro. La
información corporativa y la identidad de clientes y proveedores también quedan al
descubierto.
Por lo tanto debemos seguir las siguientes recomendaciones:

*Apagar los ordenadores ante cualquier problema detectado.

*Mantener los equipos actualizados.
*Tener cuidado con las conexiones remotas.
*Tener siempre una copia de seguridad actualizada y desconectada.
*No copiar todo, separa lo imprescindible de lo accesorio
*Nombrar a un responsable de seguridad en la empresa.
*Contraseñas seguras.
*Información confidencial.
 ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD

Se tiene que establecer una estructura de gestión en a que iniciar y controlar toda
la implementación de Seguridad de la Información dentro de la organización,
asignar las responsabilidades y coordinar toda la implementación de la seguridad
en todos los niveles de la empresa.

Comité de Gestión de Seguridad de la Información:

La gerencia tiene que apoyar de forma activa la seguridad dentro de su propia
organización mediante ordenes claras que demuestran compromiso, asignaciones
explicitas y reconocimiento de las responsabilidades de la Seguridad de la
Información.

El comité debe realizar las siguientes funciones:

*Asegurar que las metas de la seguridad de información sean identificadas,

relacionadas con la exigencias de la organización y que sean integradas en
procesos relevantes.

*Debe formular, revisar y aprobar la política de Seguridad de la Información.

*Se tiene que proveer de direcciones claras y un gran apoyo durante la gestión de
iniciativas de seguridad.

*Tiene que facilitar todos los recursos necesarios para llevar a cabo la Seguridad
de la Información en su organización.

*Se tienen que aprobar las diferentes asignaciones de roles específicos y los
responsables del Sistema de Seguridad de la Información.

*Se tienen que asegurar que la implementación de los diferentes controles para
la Seguridad de la Información se encuentra coordinada por la propia empresa.

*La alta dirección tiene que identificar todas las necesidades de asesorías
especialista, bien sea interna o externa, en la que se tiene que revisar y coordinar
los resultados de ésta en la organización.

Coordinación de la Seguridad de la Información

*Asegurar que las actividades de seguridad que se llevan a cabo cumplen con la
política de seguridad establecida por la organización.

*Identificar como se debe manejar los no cumplimientos.

*Se tienen que aprobar las metodologías y los procesos para seguridad de
información, como por ejemplo la evaluación del riesgo y la clasificación de la
información.

*Tiene que identificar todos los cambios significativos de amenazas y exposición

de la información.

*Se evalúa la adecuación y se coordina la implantación de los controles

de Seguridad de la Información.

*Hay que hacer promoción de la educación, entrenamiento y concienciación con

los que respecta a la Seguridad de la Información, mediante la propia
organización.

*Se tiene que evaluar la información de seguridad recibida a la hora de monitorear

y revisar los incidentes de Seguridad de la Información, además de recomendar
todas las acciones apropiadas en respuesta para identificar incidentes
de Seguridad de la Información.

Asignación de responsabilidades sobre Seguridad de la Información:

Se tienen que definir de forma clara todas las responsabilidades. Esta asignación
de responsabilidades sobre Seguridad de la Información tiene que hacerse en
concordancia con la información de la política de seguridad. Todas las
responsabilidades sobre la protección de activos individuales y las que llevan a
cabo procesos de seguridad específicos tiene que estar claramente definidas.

Se tienen que definir de una forma clara todas las responsabilidades locales para
activos físicos y de información individualizados y los procesos de seguridad,
como puede ser el plan de continuidad del negocio.

Tienen que encontrase perfectamente identificados todos los activos y los

procesos de seguridad.

Tiene que nombrarse al responsable de cada activo o proceso de seguridad.

Debe definirse y documentarse todos los niveles de autorización.

 CLASIFICACIÓN Y CONTROL DE ACTIVOS

El objetivo de la norma ISO 27002 es que la empresa tenga conocimiento preciso

sobre todos los activos que posee como parte importante de la administración de
riesgos.

Algunos ejemplos activos son:

Recursos de información: bases de datos y archivos, documentación de sistemas,

manuales de usuario, material de capacitación, procedimientos operativos o de
soporte, planes de continuidad y contingencia, información archivada, etc.

Recursos de software: software de aplicaciones, sistemas operativos,

herramientas de desarrollo y publicación de contenidos, utilitarios, etc.

Activos físicos: equipamiento informático, equipos de comunicaciones, medios,

otros equipos técnicos, mobiliario, lugares de emplazamiento, etc.

Servicios: servicios informáticos y de comunicaciones, utilitarios generales.

Responsabilidad sobre los activos

Es necesario elaborar y mantener un inventario de activos de información,

mostrando los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras para facilitar las tareas de realización de inventario y

vincular los equipos de TI que entran y salen de las instalaciones con los
empleados.

Actividades de control del riesgo:

Inventario de activos: Todos los activos deberían estar claramente identificados,

confeccionando y manteniendo un inventario con los más importantes.

Propiedad de los activos: Toda la información y activos del inventario asociados a

los recursos para el tratamiento de la información deberían pertenecer a una parte
designada de la Organización.

Uso aceptable de los activos: Se deberían identificar, documentar e implantar

regulaciones para el uso adecuado de la información y los activos asociados a
recursos de tratamiento de la información.

Devolución de activos: Todos los empleados y usuarios de terceras partes

deberían devolver todos los activos de la organización que estén en su
posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de
servicios o actividades relacionadas con su contrato de empleo.
 SEGURIDAD EN EL PERSONAL

La seguridad no es solo a nivel tecnológico sino también físico, es decir, una

simple labor de no dejar las pantallas e impresoras en zonas que sean fácilmente
accesibles, por parte del personal externo los documentos con los que se están
trabajando no sólo nos permitirán gestionar de forma adecuada la seguridad sino
que se acabarán convirtiendo en hábitos que nos aportan eficiencia en la gestión.

Actividades de control del riesgo:

Investigación de antecedentes: Se deberían realizar revisiones de verificación de
antecedentes de los candidatos al empleo en concordancia con las regulaciones,
ética y leyes relevantes y deben ser proporcionales a los requerimientos del
negocio, la clasificación de la información a la cual se va a tener acceso y los
riesgos percibidos.

Términos y condiciones de contratación: Como parte de su obligación contractual,

empleados, contratistas y terceros deberían aceptar y firmar los términos y
condiciones del contrato de empleo, el cual establecerá sus obligaciones y las
obligaciones de la organización para la seguridad de información .

SEGURIDAD FÍSICA Y DEL ENTORNO

Áreas Seguras: evitar el acceso físico no autorizado, el daño o la interferencia a
las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar

ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con
barreras de seguridad y controles de entrada adecuados. Dichas áreas deberían
estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

Perímetro de seguridad física:

Se deberían utilizar perímetros de seguridad (barreras tales como paredes,
puertas de acceso controladas con tarjeta o mostradores de recepción atendidos)
para proteger las áreas que contienen información y servicios de procesamiento
de información.

Controles de acceso físico: Las áreas seguras deberían estar protegidas con
controles de acceso apropiados para asegurar que sólo se permite el acceso a
personal autorizado.

Se deberían tener en cuenta las siguientes directrices:

*Se deberían registrar la fecha y la hora de entrada y salida de visitantes y todos

los visitantes deberían estar supervisados, a menos que su acceso haya sido
aprobado previamente; sólo se les debería dar acceso para propósitos específicos
y autorizados y dicho acceso se debería emitir con instrucciones sobre los
requisitos de seguridad del área y sobre los procedimientos de emergencia.

*Se debería controlar el acceso a áreas en donde se procesa o almacena

información sensible y restringir el acceso únicamente a personas autorizadas; se
deberían utilizar controles de autenticación como las tarjetas de control de acceso
más el número de identificación personal (PIN) para autorizar y validar el acceso,
se recomienda mantener de forma segura una prueba de auditoría de todos los
accesos.

*Se debería exigir a todos los empleados, contratistas y usuarios de terceras

partes la utilización de alguna forma de identificación visible y se debería notificar
inmediatamente al personal de seguridad si se encuentran visitantes sin
acompañante y cualquiera que no use identificación visible.

*Al personal del servicio de soporte de terceras partes se le debería dar acceso
restringido a las áreas seguras o a los servicios de procesamiento de información
sensible únicamente cuando sea necesario; éste acceso se debería autorizar y
monitorear.

*Los derechos de acceso a áreas seguras se deberían revisar y actualizar con

regularidad y revocados cuando sea necesario

Seguridad de oficinas, recintos e instalaciones:

Se debería diseñar y aplicar la seguridad física para oficinas, recintos e
instalaciones.

Se recomienda tener en cuenta las siguientes directrices para la seguridad de

oficinas, recintos y servicios:

*Tener presente los reglamentos y las normas pertinentes a la seguridad y la

salud.

*Las instalaciones claves se deberían ubicar de modo que se evite el acceso al

público.

*Cuando sea viable, las edificaciones deberían ser discretas y no tener

indicaciones sobre su propósito, sin señales obvias, fuera o dentro de ellas, que
identifiquen la presencia de actividades de procesamiento de información.

Protección contra amenazas externas y ambientales:

Se deberían diseñar y aplicar protecciones físicas contra daño por incendio,
inundación, terremoto, explosión, manifestaciones sociales y otras formas de
desastre natural o artificial.
Trabajo en áreas seguras
Se deberían diseñar y aplicar la protección física y las directrices para trabajar en
áreas seguras.

Se deberían considerar las siguientes directrices:

El personal sólo debería conocer la existencia de un área segura o las actividades
dentro de ella en función de la necesidad con base conocida.

Se debería evitar el trabajo no supervisado en áreas seguras tanto por razones de

seguridad como para evitar las oportunidades de actividades maliciosas.

Las áreas seguras vacías deberían tener bloqueo físico y se deberían revisar
periódicamente.

Ubicación y protección de los equipos:

Los equipos deberían estar ubicados o protegidos para reducir el riesgo debido a
amenazas o peligros del entorno, y las oportunidades de acceso no autorizado.

Se recomienda considerar las siguientes directrices para la protección de los

equipos:
*Los equipos se deberían ubicar de modo tal que se minimice el acceso
innecesario a las áreas de trabajo.

Los servicios de procesamiento de información que manejan datos sensibles,

deberían estar ubicados de forma tal que se reduzca el riesgo de visualización de
la información por personas no autorizadas durante su uso, y los sitios de
almacenamiento se deberían asegurar para evitar el acceso no autorizado.

Los elementos que requieran protección especial deberían estar aislados para
reducir el nivel general de protección requerida de los demás elementos.

Seguridad del cableado:

El cableado de energía eléctrica y de telecomunicaciones que transporta datos o
presta soporte a los servicios de información debería estar protegido contra
interceptaciones o daños.

Se recomienda tener en cuenta las siguientes directrices para la seguridad del

cableado:

*Las líneas de energía y de telecomunicaciones en los servicios de procesamiento

de información deberían ser subterráneas, cuando sea posible, o tener protección
alterna adecuada.

*El cableado de la red debería estar protegido contra interceptación no autorizada

o daño, por ejemplo utilizando conductos o evitando rutas a través de áreas
públicas.
*Los cables de energía deberían estar separados de los cables de
comunicaciones para evitar interferencia.

*Se deberían utilizar rótulos de equipo y de cables claramente identificables para

minimizar los errores en el manejo, tales como conexiones accidentales de cables
erróneos a la red.

*Es recomendable emplear un plano del cableado para reducir la posibilidad de

errores

Seguridad adecuada:
*Uso de cableado de fibra óptica.
*Uso de cubiertas (blindaje) electromagnéticas para proteger los cables.
*Inicio de reconocimientos técnicos e inspecciones físicas en busca de
dispositivos no autorizados conectados al cableado.
*Acceso controlado a los módulos de cableado (patch panel) y a cuartos de
cableado.

Mantenimiento de los equipos

Los equipos deberían recibir mantenimiento adecuado para asegurar su continua
disponibilidad e integridad.

Se recomienda considerar las siguientes directrices para el mantenimiento de los

equipos:
El mantenimiento de los equipos debería estar acorde con las especificaciones y
los intervalos de servicio recomendados por el proveedor.

Sólo personal de mantenimiento autorizado debería realizar las reparaciones y el

servicio de los equipos.

Se recomienda conservar registros de todas las fallas reales o sospechadas y de

todo el mantenimiento preventivo y correctivo.

GESTIÓN DE COMUNICACIONES Y OPERACIONES

Procedimientos Operacionales Y Responsabilidades: Asegurar la operación

correcta y segura de los servicios de procesamiento de información.

Se deberían establecer todas las responsabilidades y los procedimientos para la

gestión y operación de todos los servicios de procesamiento de información. Esto
incluye el desarrollo de procedimientos operativos apropiados.
Documentación de los procedimientos de operación

Los procedimientos de operación se deberían documentar, mantener y estar

disponibles para todos los usuarios que los necesiten.

Se deberían elaborar procedimientos documentados para las actividades del

sistema asociadas con los servicios de comunicaciones y de procesamiento de
información, como por ejemplo procedimientos para el encendido y apagado de
los computadores, copias de respaldo, mantenimiento de equipos, manejo de los
medios, cuarto de equipos y gestión del correo, como también de la seguridad.
Los procedimientos de operación deberían especificar las instrucciones para la
ejecución detallada de cada trabajo, incluyendo:

a) procesamiento y manejo de información.

b) copias de respaldo (véase el numeral 10.5).
c) requisitos de programación, incluyendo las interrelaciones con otros sistemas,
hora de comienzo de la tarea inicial y de terminación de la tarea final.

Gestión del cambio: Se deberían controlar los cambios en los servicios y los
sistemas de procesamiento de información.

Los sistemas operativos y el software de aplicación deberían estar sujetos a un

control estricto de la gestión del cambio. En particular, se deberían considerar los
siguientes elementos:

Identificación y registro de los cambios significativos.

Planificación y pruebas de los cambios.
Evaluación de los impactos potenciales de tales cambios, incluyendo los impactos
en la seguridad.

CONTROL DE ACCESOS
El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de
restricciones y excepciones a la información como base de todo Sistema de
Seguridad de la Información.

Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la

Información según la norma ISO 27002 se deberán implantar procedimientos
formales para controlar la asignación de derechos de acceso a los sistemas de
información, bases de datos y servicios de información y estos deben estar de
forma clara en los documentos, los comunicados y controlarlos en cuanto a su
cumplimiento.

Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos
de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios
hasta la privación final de los derechos de todos los usuarios que ya no requieren
el acceso.

La cooperación de todos los usuarios es esencial para la eficiencia de la

seguridad, por lo que es necesario que se conciencie sobre las responsabilidades
que tiene el mantenimiento de los controles de acceso eficientes, en particular
aquellos que se relacionan con la utilización de las contraseñas y la seguridad del
equipamiento.

Es necesario controlar los accesos de la información, los recursos de tratamiento

de la información y los procesos de negocio, según la norma ISO 27002, en base
a las necesidades de seguridad y de negocio de la empresa.

Las regulaciones para el control de los accesos deben considerar las políticas de
distribución de la información y de autorizaciones.

Los propietarios de activos de información son responsables ante la dirección de

la protección de los activos que deben tener la capacidad de definir o aprobar las
reglas de control de acceso y otros controles de seguridad. Es necesario
asegurarse de que se les responsabiliza de incumplimientos, no conformidades y
otros incidentes.

Política de control de accesos:

Es necesario establecer, documentar y revisar la política de control de accesos en
base a las necesidades de seguridad y de negocio en la empresa.

Control de acceso a las redes y servicios asociados:

Es necesario proveer a los usuarios de los accesos a redes y los servicios de
red para los que han sido de forma expresa autorizados para que sean utilizados.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Se debería implementar un proceso de gestión de la continuidad del negocio

para minimizar el impacto y la recuperación por perdida de activos de información
en la organización (la cual puede ser el resultado de, por ejemplo, desastres
naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel
aceptable mediante la combinación de controles preventivos y de recuperación. En
este proceso es conveniente identificar los procesos críticos para el negocio e
integrar los requisitos de la gestión de la seguridad de la información de la
continuidad del negocio con otros requisitos de continuidad relacionados con
aspectos tales como operaciones, personal, materiales, transporte e instalaciones.

Las consecuencias de desastres, fallas de seguridad, perdida del servicio

y disponibilidad del servicio se deberían someter a un análisis del impacto en el
negocio. Se deberían desarrollar e implementar planes de continuidad del negocio
para garantizar la restauración oportuna de las operaciones esenciales.