ACTIVIDAD AA1-E5-Aplicación de la norma ISO 27002

JUAN CARLOS CIFUENTES

87063911

SENA
GESTION Y SEGURIDAD DE BASES DE DATOS (1966117)
2019
1. OBJETIVO Y ALCANCE
1.1. OBJETIVO

Evaluar el cumplimiento que tiene el Banco a la norma iso 27002 de Seguridad de la informacion, valorando tanto la
documentación como el procesos frente a los dominios.

1.2. ALCANCE

Evaluar el cumplimiento BBVA frente a los objetivos de control de la iso 27002 basado en un enfoque práctico. La revisión estará
enfocada en los siguientes aspectos:
• Aplicaciones Financieras
• Puestos de usuario y red interna
• Punto de vista de Administrador de Base de datos.
• Otros activos accesibles desde Internet

2
 2. DETALLE DE LOS HALLAZGOS

2.1. HALLAZGOS IDENTIFICADOS

5.1.1 Documento de la política de seguridad de la información Observación

Descripción del hallazgo

Algunas políticas, normas y procedimientos se encuentran incompletas.

Plan de Acción
Elaborar un plan de adecuación de la normativa interna con varias fases y con evolución continua del mismo. Realizar un
inventario de los mismos que sirva de base e ir adaptando la documentación pendiente

Oportunidad
7.1.1 Inventario de activos de Mejora
Descripción del hallazgo
La actualización de inventarios tecnológicos en la herramienta de inventarios se encuentra en curso, esta situación limita la
10.1.4 Separación de las instalaciones de desarrollo y producción
posibilidad de efectuar una evaluación completa de los activos informados. Observación
Plan de Acción
Descripción del hallazgo
Completar La actualización de los inventarios de Aplicaciones en la herramienta. Continuar trabajando en la revisión y
Los programadores
actualización pueden
de inventarios derealizar
Recursostransacciones
Tecnológicosdesde sus puestos de trabajo mediante las arquitecturas que soportan
las aplicaciones.
Plan de Acción
Definir un mecanismo que asegure la custodia de las trazas generadas por los servicios de las arquitecturas

3
11.2.4 Revisión de los derechos de acceso de usuario Observación

Descripción del hallazgo

El proceso de certificación de usuarios se encuentra parcialmente automatizado y no abarca a las plataformas distribuidas.
Además, no se encuentra formalizada una frecuencia para la realización de este control.
Plan de Acción
A partir del inventario de aplicaciones elaborar un mapa de criticidad e ir incorporando al proceso de recertificación según
dicho análisis. Planificar tarea de certificacion anual para las aplicaciones.

11.5.4 Uso de utilidades de sistema Observación

Descripción del hallazgo

Los controles de acceso implementados en la plataforma 'RACF' resultan parciales dado que poseen usuarios que tienen
asignados atributos críticos y/o pueden acceder a la línea de comandos.
Plan de Acción
Realizar una depuración de los accesos inadecuados Adicionalmente, elaborar controles compensatorios para implementar a
nivel de los atributos críticos para los usuarios correspondientes, asociados a funcionalidad y operatoria de administración de
usuarios, otorgamiento de permisos a recursos y parametría de seguridad.

11.6.1 Restricción del acceso a la información Observación

Descripción del hallazgo

La falta de una adecuada protección sobre las carpetas de red posibilita la pérdida de confidencialidad de la información
especial de la Entidad.
Plan de Acción
Realizar un control periódico sobre las carpetas con información especial y validar con los owners los permisos de acceso.

4
12.5.4 Fugas de información Observación

Descripción del hallazgo

La información de clientes de la base de datos de xxxx puede ser accedida desde un puesto de trabajo.

Plan de Acción
Implementar un mecanismo que asegure medidas preventivas de fuga de información desde los puestos de trabajo

12.6.1 Control de vulnerabilidades técnicas Observación

Descripción del hallazgo

No se realizan análisis de Ethical Hacking a la web de la Banca empresa.

Plan de Acción
Elaborar un plan de análisis y remediación de vulnerabilidades a las web de la empresa que sea consistente con las
debilidades encontradas y definir fechas de compromiso

Oportunidad
14.1.2 Continuidad del negocio y análisis del riesgo de Mejora
Descripción del hallazgo
La metodología sobre el modelo utilizado para la gestión de riesgos carece de un detalle suficiente y no se encuentra
formalmente aprobada por el Directorio.
Plan de Acción
Realizar las adecuaciones correspondientes en la metodología, incluir ciclos de revisión periódica de la metodología y
procedimientos asociados al Análisis de Riesgo de Activos Informáticos

5
 Oportunidad
14.1.4 Marco para la planeación de la continuidad del negocio de Mejora
Descripción del hallazgo
Las normas, procedimientos y la planificación de las pruebas resultan incompletas y/o carecen de un adecuado grado de
detalle.
Plan de Acción
Incluir la normativa de Continuidad del Negocio en un esquema de seguimiento que permitirá conocer el status de la misma y
su frecuencia de actualización. Analizar los procedimientos de análisis de procesos durante el primer semestre.

3. Responsable del trabajo

Nombre
Juan Carlos Cifuentes Analista Seguridad Informática