Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Mejora
Plan de Mejora
SENA
GESTION Y SEGURIDAD DE BASES DE DATOS (1966117)
2019
1. OBJETIVO Y ALCANCE
1.1. OBJETIVO
Evaluar el cumplimiento que tiene el Banco a la norma iso 27002 de Seguridad de la informacion, valorando tanto la
documentación como el procesos frente a los dominios.
1.2. ALCANCE
Evaluar el cumplimiento BBVA frente a los objetivos de control de la iso 27002 basado en un enfoque práctico. La revisión estará
enfocada en los siguientes aspectos:
• Aplicaciones Financieras
• Puestos de usuario y red interna
• Punto de vista de Administrador de Base de datos.
• Otros activos accesibles desde Internet
2
2. DETALLE DE LOS HALLAZGOS
Plan de Acción
Elaborar un plan de adecuación de la normativa interna con varias fases y con evolución continua del mismo. Realizar un
inventario de los mismos que sirva de base e ir adaptando la documentación pendiente
Oportunidad
7.1.1 Inventario de activos de Mejora
Descripción del hallazgo
La actualización de inventarios tecnológicos en la herramienta de inventarios se encuentra en curso, esta situación limita la
10.1.4 Separación de las instalaciones de desarrollo y producción
posibilidad de efectuar una evaluación completa de los activos informados. Observación
Plan de Acción
Descripción del hallazgo
Completar La actualización de los inventarios de Aplicaciones en la herramienta. Continuar trabajando en la revisión y
Los programadores
actualización pueden
de inventarios derealizar
Recursostransacciones
Tecnológicosdesde sus puestos de trabajo mediante las arquitecturas que soportan
las aplicaciones.
Plan de Acción
Definir un mecanismo que asegure la custodia de las trazas generadas por los servicios de las arquitecturas
3
11.2.4 Revisión de los derechos de acceso de usuario Observación
4
12.5.4 Fugas de información Observación
Plan de Acción
Implementar un mecanismo que asegure medidas preventivas de fuga de información desde los puestos de trabajo
Plan de Acción
Elaborar un plan de análisis y remediación de vulnerabilidades a las web de la empresa que sea consistente con las
debilidades encontradas y definir fechas de compromiso
Oportunidad
14.1.2 Continuidad del negocio y análisis del riesgo de Mejora
Descripción del hallazgo
La metodología sobre el modelo utilizado para la gestión de riesgos carece de un detalle suficiente y no se encuentra
formalmente aprobada por el Directorio.
Plan de Acción
Realizar las adecuaciones correspondientes en la metodología, incluir ciclos de revisión periódica de la metodología y
procedimientos asociados al Análisis de Riesgo de Activos Informáticos
5
Oportunidad
14.1.4 Marco para la planeación de la continuidad del negocio de Mejora
Descripción del hallazgo
Las normas, procedimientos y la planificación de las pruebas resultan incompletas y/o carecen de un adecuado grado de
detalle.
Plan de Acción
Incluir la normativa de Continuidad del Negocio en un esquema de seguimiento que permitirá conocer el status de la misma y
su frecuencia de actualización. Analizar los procedimientos de análisis de procesos durante el primer semestre.