Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Mejora en Seguridad
Plan de Mejora en Seguridad
Sena 2019
Dominio Escala de cumplimiento
Política de Seguridad Bajo
Estructura organizativa para la Bajo
seguridad
Clasificación y control de activos Medio
Seguridad en el personal Medio
Seguridad física y del entorno Medio
Gestión de comunicaciones y Bajo
operaciones
Control de accesos Bajo
Desarrollo y mantenimiento de sistemas Bajo
Gestión de incidentes de la seguridad Bajo
de la información
Gestión de la continuidad del negocio Bajo
Cumplimiento Medio
Tabla 1. Resultados de la auditoria E.E.S
Plantilla
PLAN DE MEJORA
OBJETIVO GENERAL
:
POLÍTICA DE SEGURIDAD
Una empresa posee millones de datos confidenciales que están en peligro. La
información corporativa y la identidad de clientes y proveedores también quedan al
descubierto.
Por lo tanto debemos seguir las siguientes recomendaciones:
Se tiene que establecer una estructura de gestión en a que iniciar y controlar toda
la implementación de Seguridad de la Información dentro de la organización,
asignar las responsabilidades y coordinar toda la implementación de la seguridad
en todos los niveles de la empresa.
*Se tiene que proveer de direcciones claras y un gran apoyo durante la gestión de
iniciativas de seguridad.
*Tiene que facilitar todos los recursos necesarios para llevar a cabo la Seguridad
de la Información en su organización.
*Se tienen que aprobar las diferentes asignaciones de roles específicos y los
responsables del Sistema de Seguridad de la Información.
*Se tienen que asegurar que la implementación de los diferentes controles para
la Seguridad de la Información se encuentra coordinada por la propia empresa.
*La alta dirección tiene que identificar todas las necesidades de asesorías
especialista, bien sea interna o externa, en la que se tiene que revisar y coordinar
los resultados de ésta en la organización.
*Asegurar que las actividades de seguridad que se llevan a cabo cumplen con la
política de seguridad establecida por la organización.
Se tienen que definir de forma clara todas las responsabilidades. Esta asignación
de responsabilidades sobre Seguridad de la Información tiene que hacerse en
concordancia con la información de la política de seguridad. Todas las
responsabilidades sobre la protección de activos individuales y las que llevan a
cabo procesos de seguridad específicos tiene que estar claramente definidas.
Se tienen que definir de una forma clara todas las responsabilidades locales para
activos físicos y de información individualizados y los procesos de seguridad,
como puede ser el plan de continuidad del negocio.
Controles de acceso físico: Las áreas seguras deberían estar protegidas con
controles de acceso apropiados para asegurar que sólo se permite el acceso a
personal autorizado.
*Al personal del servicio de soporte de terceras partes se le debería dar acceso
restringido a las áreas seguras o a los servicios de procesamiento de información
sensible únicamente cuando sea necesario; éste acceso se debería autorizar y
monitorear.
Las áreas seguras vacías deberían tener bloqueo físico y se deberían revisar
periódicamente.
Los elementos que requieran protección especial deberían estar aislados para
reducir el nivel general de protección requerida de los demás elementos.
Seguridad adecuada:
*Uso de cableado de fibra óptica.
*Uso de cubiertas (blindaje) electromagnéticas para proteger los cables.
*Inicio de reconocimientos técnicos e inspecciones físicas en busca de
dispositivos no autorizados conectados al cableado.
*Acceso controlado a los módulos de cableado (patch panel) y a cuartos de
cableado.
Gestión del cambio: Se deberían controlar los cambios en los servicios y los
sistemas de procesamiento de información.
CONTROL DE ACCESOS
El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de
restricciones y excepciones a la información como base de todo Sistema de
Seguridad de la Información.
Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos
de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios
hasta la privación final de los derechos de todos los usuarios que ya no requieren
el acceso.
Las regulaciones para el control de los accesos deben considerar las políticas de
distribución de la información y de autorizaciones.