PLAN DE MEJORA EN SEGURIDAD

AA1-5
PLAN DE MEJORA EN SEGURIDAD AA1-5
Jorge Salleg Aviles | GESTION Y SEGURIDAD DE BASE DE DATOS | 6 de noviembre 2019

INTRODUCCIÓN

Entre los activos intangibles más valiosos de Gimnasio el Saber se encuentra la información, razón que
amerita su protección y la de los sistemas informáticos que la respaldan y la conservan. De hecho, las
certificaciones internacionales existentes en el campo de la informática tienen entre sus propósitos,
otorgarle a los procesos internos de una organización un alto estándar para conservar la información como
una ventaja competitiva y en muchos casos como un secreto empresaria.

Hay que enfatizar que cuando se implementa un Sistema de Gestión de Seguridad de la Información (SGSI)
para optar a la certificación ISO27001:2013, es necesario revisar y evaluar en todas las áreas de la
organización los controles y procesos, con el fin de buscar estrategias que permitan no sólo obtenerla la
primera vez, sino poder permanecer en el tiempo con procesos prácticos y eficientes que sean a la vez
fáciles de mantener y permitan renovar la certificación sin sobrecostos o esfuerzos extraordinarios. En este
mismo orden de ideas, lo primero será involucrar a todo el personal de la compañía sin importar el área a
la que pertenezcan, pues son ellos los que ayudaran a implementar en la cotidianidad los sistemas de
gestión y evitar que sólo se queden en documentos escritos. Algunos mecanismos para ello son las
campañas de concientización sobre la seguridad de la información, la publicación de resultados y las
auditorias de seguridad de la información tipo inspección para verificar el cumplimiento de políticas.
Actualmente Gimnasio del saber cuenta con diferentes procesos y procedimientos en el área de tecnología
que están enfocados y basados en la Norma ISO 9001, con el transcurso del tiempo estos procesos no se
han modificado y se crea la necesidad de evolucionar y actualizar estos procesos a una norma más
actualizada y que este enfocada en la Seguridad de la Información.

Basados en la norma ISO 27001:2013 se evaluara el estado actual de los procesos relacionados con la
seguridad de la información en Gimsaber, realizándose un análisis de riesgos en miras a identificar y
desarrollar los proyectos a generarse que le permitan la implementación de un sistema de Seguridad de la
información.

OBJETIVOS

Desarrollar un plan de mejora de seguridad en la organización educativa Gimnasio del Saber acorde con
las necesidades de la plantilla ISO 27002 donde se determinara los cumplimientos, las oportunidades de
mejora en cada uno de sus dominios y objetos de control.
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo Escala visual de la valoración del control
NC.O Nivel de cumplimineto del dominio
PC Peso del control Alto Mas del 70% de cumplimiento
NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30%

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en cuenta
que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores intermedios
cuando se cumple parcialmente cualquiera de los controles.

% de cumplimiento de la norma
Objetivos
Dominios Controles
de Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

1 2 Política de Seguridad 1,5 65 100

2 Política de Seguridad de la Información 100 65
5
1 1 Debe Documento de la política de seguridad de la información 50 70 70
2 Debe Revisión de la política de seguridad de la información 50 60 60
2 11 Estructura organizativa para la seguridad 8,27 53,64 100
8 Organización Interna 72,73 36,37
1 Debe Comité de la dirección sobre seguridad de la información 9,09 70 70
2 Debe Coordinación de la seguridad de la información 9,09 70 70
3 Debe Asignación de responsabilidades para la de seguridad de la información 9,09 70 70
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información 9,09 50 50
5 Debe Acuerdos de confidencialidad 9,09 40 40
6
6 Puede Contacto con autoridades 9,09 40 40
7 Puede Contacto con grupos de interés 9,09 40 40
8 Puede Revisión independiente de la seguridad de la información 9,09 20 20
3 Terceras partes 27,27 17,27
1 Debe Identificación de riesgos por el acceso de terceras partes 9,09 70 70
2
2 Debe Temas de seguridad a tratar con clientes 9,09 70 70
3 Debe Temas de seguridad en acuerdos con terceras partes 9,09 50 50
 Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

2 5 Clasificación y control de activos 3,76 70 100

3 Responsabilidad sobre los activos 60 50
1 Debe Inventario de activos 20 90 90
1
2 Debe Propietario de activos 20 90 90
7
3 Debe Uso aceptable de los activos 20 70 70
2 Clasificación de la información 40 20
2 1 Debe Guías de clasificación 20 50 50
2 Debe Etiquetado y manejo de la información 20 50 50
3 9 Seguridad en el personal 6,77 63,3 100
3 Antes del empleo 33,33 23,33
1 Debe Roles y responsabilidades 11,11 70 70
1
2 Debe Verificación 11,11 70 70
3 Debe Términos y condiciones de empleo 11,11 70 70
3 Durante el empleo 33,33 21,11
8 1 Debe Responsabilidades de la gerencia 11,11 70 70
2
2 Debe Educación y formación en seguridad de la información 11,11 70 70
3 Debe Procesos disciplinarios 11,11 50 50
3 Terminación o cambio del empleo 33,33 18,89
1 Debe Responsabilidades en la terminación 11,11 50 50
3
2 Debe Devolución de activos 11,11 50 50
3 Debe Eliminación de privilegios de acceso 11,11 70 70
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

2 13 Seguridad fisica y del entorno 9,77 59,23 100

6 Áreas Seguras 46,15 28,46
1 Debe Perímetro de seguridad física 7,69 60 60
2 Debe Controles de acceso físico 7,69 70 70
1 3 Debe Seguridad de oficinas, recintos e instalaciones 7,69 60 60
4 Debe Protección contra amenazas externas y ambientales 7,69 60 60
5 Debe Trabajo de áreas seguras 7,69 60 60
6 Puede Áreas de carga, entrega y áreas públicas 7,69 60 60
9
7 Seguridad de los Equipos 53,85 30,77
1 Debe Ubicación y protección del equipo 7,69 70 70
2 Debe Herramientas de soporte 7,69 70 70
3 Debe Seguridad del cableado 7,69 60 60
2
4 Debe Mantenimiento de equipos 7,69 80 80
5 Debe Seguridad del equipamiento fuera de las instalaciones 7,69 40 40
6 Debe Seguridad en la reutilización o eliminación de equipos 7,69 40 40
7 Debe Movimientos de equipos 7,69 40 40
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

10 32 Gestión de comunicaciones y operaciones 24,06 62,8 100

 4 Procedimientos operacionales y responsabilidades 12,5 7,19
1 Debe Procedimientos de operación documentados 3,125 60 60
1 2 Debe Control de cambios 3,125 60 60
3 Debe Separación de funciones 3,125 70 70
4 Debe Separación de las instalaciones de desarrollo y producción 3,125 40 40
3 Administración de servicios de terceras partes 9,38 5,63
1 Puede Entrega de servicios 3,12 60 60
2
2 Puede Monitoreo y revisión de servicios de terceros 3,12 60 60
3 Puede Manejo de cambios a servicios de terceros 3,12 60 60
2 Planificación y aceptación del sistema 6,25 3,75
3 1 Debe Planificación de la capacidad 3,125 60 60
2 Debe Aceptación del sistema 3,125 60 60
2 Protección contra software malicioso y móvil 6,25 4,38
4 1 Debe Controles contra software malicioso 3,125 70 70
2 Debe Controles contra código móvil 3,125 70 70
1 Copias de seguridad 3,13 2,19
5
1 Debe Información de copias de seguridad 3,13 70 70
2 Administración de la seguridad en redes 6,25 5,63
6 1 Debe Controles de redes 3,125 90 90
2 Debe Seguridad de los servicios de red 3,125 90 90
10 4 Manejo de medios de soporte 12,5 9,69
1 Debe Administración de los medios de computación removibles 3,125 90 90
7 2 Debe Eliminación de medios 3,125 90 90
3 Debe Procedimientos para el manejo de la información 3,125 60 60
4 Debe Seguridad de la documentación del sistema 3,125 70 70
5 Intercambio de información 15,63 7,82
1 Debe Políticas y procedimientos para el intercambio de información 3,126 50 50
2 Puede Acuerdos de intercambio 3,126 50 50
8
3 Puede Medios físicos en transito 3,126 50 50
4 Puede Mensajes electrónicos 3,126 50 50
5 Puede Sistemas de información del negocio 3,126 50 50
3 Servicios de comercio electronico 9,38 3,75
1 Puede Comercio electronico 3,126 40 40
9
2 Puede Transacciones en línea 3,126 40 40
3 Puede Información públicamente disponible 3,126 40 40
6 Monitoreo y supervisión 18,75 12,81
1 Debe Logs de auditoria 3,126 70 70
2 Debe Monitoreo de uso de sistema 3,126 70 70
10 3 Debe Protección de los logs 3,126 70 70
4 Debe Registro de actividades de administrador y operador del sistema 3,126 50 50
5 Debe Fallas de login 3,126 50 50
6 Puede Sincronización del reloj 3,126 100 100
 Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

7 25 Control de accesos 18,8 76,4 100

1 Requisitos de negocio para el control de acceso 4 3,6
1
1 Debe Política de control de accesos 4 90 90
4 Administración de acceso de usuarios 16 13,6
1 Debe Registro de usuarios 4 90 90
2 2 Debe Administración de privilegios 4 90 90
3 Debe Administración de contraseñas 4 90 90
4 Debe Revisión de los derechos de acceso de usuario 4 70 70
3 Responsabilidades de los usuarios 12 7,6
1 Debe Uso de contraseñas 4 90 90
3
2 Puede Equipos de cómputo de usuario desatendidos 4 50 50
3 Puede Política de escritorios y pantallas limpias 4 50 50
7 Control de acceso a redes 28 24,4
1 Debe Política de uso de los servicios de red 4 80 80
2 Puede Autenticación de usuarios para conexiones externas 4 50 50
3 Puede Identificación de equipos en la red 4 90 90
4
11 4 Debe Administración remota y protección de puertos 4 100 100
5 Puede Segmentación de redes 4 90 90
6 Debe Control de conexión a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al sistema operativo 24 16,8
1 Debe Procedimientos seguros de Log-on en el sistema 4 10 10
2 Debe Identificación y autenticación de los usuarios 4 70 70
5 3 Debe Sistema de administración de contraseñas 4 90 90
4 Puede Uso de utilidades de sistema 4 70 70
5 Debe Inactividad de la sesión 4 90 90
6 Puede Limitación del tiempo de conexión 4 90 90
2 Control de acceso a las aplicaciones y la información 8 5,2
6 1 Puede Restricción del acceso a la información 4 60 60
2 Puede Aislamiento de sistemas sensibles 4 70 70
2 Ordenadores portátiles y teletrabajo 8 5,2
7 1 Puede Ordenadores portátiles y comunicaciones moviles 4 90 90
2 Puede Teletrabajo 4 40 40
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

6 16 Desarrollo y mantenimiento de sistemas 12,03 61,89 100

1 Requerimientos de seguridad de sistemas de información 6,25 4,38
1
1 Debe Análisis y especificaciones de los requerimientos de seguridad 6,25 70 70
4 Procesamiento adecuado en aplicaciones 25 15
1 Debe Validación de los datos de entrada 6,25 60 60
2 2 Puede Controles de procesamiento interno 6,25 60 60
3 Puede Integridad de mensajes 6,25 60 60

12
 2

4 Puede Validación de los datos de salida 6,25 60 60

2 Controles criptográficos 12,5 3,75
3 1 Puede Política de utilización de controles criptográficos 6,25 30 30
2 Puede Administración de llaves 6,25 30 30
12 3 Seguridad de los archivos del sistema 18,75 13,13
1 Debe Control del software operacional 6,25 70 70
4
2 Puede Protección de los datos de prueba del sistema 6,25 70 70
3 Debe Control de acceso al código fuente de las aplicaciones 6,25 70 70
5 Seguridad en los procesos de desarrollo y soporte 31,25 21,88
1 Debe Procedimientos de control de cambios 6,25 70 70
2 Debe Revisión técnica de los cambios en el sistema operativo 6,25 60 60
5
3 Puede Restricciones en los cambio a los paquetes de software 6,25 70 70
4 Debe Fugas de información 6,25 60 60
5 Debe Desarrollo externo de software 6,25 90 90
1 Gestión de vulnerabilidades técnicas 6,25 3,75
6
1 Debe Control de vulnerabilidades técnicas 100 60 60
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

2 5 Gestión de incidentes de la seguridad de la información 3,76 54 100

2 Notificando eventos de seguridad de la información y debilidades 40 24
1 1 Debe Reportando eventos de seguridad de la información 20 60 60
2 Puede Reportando debilidades de seguridad 20 60 60
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 30
1 Debe Procedimientos y responsabilidades 20 60 60
2
2 Puede Lecciones aprendidas 20 60 60
3 Debe Recolección de evidencia 20 30 30
1 5 Gestión de la continuidad del negocio 3,76 78 100
5 Aspectos de seguridad de la información en la gestión de continuidad del negocio 100 78
Inclusión de seguridad de la información en el proceso de gestión de la continuidad
1 Debe del negocio 20 80 80
14 2 Debe Continuidad del negocio y análisis del riesgo 20 80 80
1
Desarrollo e implementación de planes de continuidad incluyendo seguridad de la
3 Debe información 20 70 70
4 Debe Marco para la planeación de la continuidad del negocio 20 70 70
5 Debe Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio 20 90 90
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

3 10 Cumplimiento 7,52 63,33 100

6 Cumplimiento con los requisitos legales 60 23
1 Debe Identificación de la legislación aplicable 10 30 30
2 Debe Derechos de propiedad intelectual (dpi) 10 30 30
1 3 Debe Protección de los registros de la organización 10 50 50
4 Debe Protección de datos y privacidad de la información personal 10 50 50
5 Debe Prevención del uso inadecuado de los recursos de procesamiento de información 10 60 60
15
6 Debe Regulación de controles para el uso de criptografía 10 10 10
 15

2 Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico 20 12

2 1 Debe Cumplimiento con las políticas y procedimientos 10 60 60
2 Debe Verificación de la cumplimiento técnico 10 60 60
2 Consideraciones de la auditoria de sistemas de información 20 2
3 1 Debe Controles de auditoria a los sistemas de información 10 10 10
2 Debe Protección de las herramientas de auditoria de sistemas 10 10 10

Dominios 11

Objetivos de control 39
Controles 133
 Nombre de la empresa GIMNASIO DEL SABER
Sector de la empresa Educación preescolar, primaria, secundaria y media

Consideracion de aspectos criticos

Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la
información en el dominio 5 de la auditoria.

Valor de cumplimiento del dominio 5 60

DOMINIO OBJETIVOS CRITICOS VALOR MEJORA PROPUESTA

Proceso de autorización para instalaciones de Creación y gestión de formularios de
50
procesamiento de información autorización de servicios
Creación y gestión de formularios de
Acuerdos de confidencialidad 40
autorización de servicios

Contacto con autoridades Buscar acompañamiento de entidades

40
6 como la policia.
Contacto con grupos de interes 40 Contactar organizaciones con
experiencia en SI
Revisión independiente de la seguridad de la info. 20
Realizar auditorias externas y
Identificación de riesgos por el acceso de terceras certificacion en SI
40
partes

Guías de clasificación 50 Organizar la información según los

7 procesos de calidad y la organización de
Etiquetado y manejo de la información 50 la empresa

Procesos disciplinarios 50 Desarrollar una politica de terminación

de contrato para empleados teniendo
8 Responsabilidades en la terminación 50 encuenta los activos y accesos en el
Devolución de activos 50 sistema y organización

Seguridad del equipamiento fuera de las

40 Desarrollo de una politica para el
instalaciones
manejo de equipos dentro de la
9 Seguridad en la reutilización o eliminación de
40 empresa desde su compra hasta su
equipos eliminacionde los activos
Movimientos de equipos 40

Separación de las instalaciones de desarrollo y mejorar la organización fisica de las

producción instalaciones y procesos independientes
40
 Políticas y procedimientos para el intercambio 50 Desarrollar la politica para el manejo de
de información 50 la información interna y los canales de
Acuerdos de intercambio 50 trabajo para el manejo de email o
Medios físicos en transito 50 medios fisicos como CD, USB u otros
Mensajes electrónicos 50 dispositivos. Asi como tambien archivos
10 en la nube
Sistemas de información del negocio 40
Comercio electronico Adjustar las politicas del manual de
Transacciones en línea 40 seguridad para el comercio y
Información públicamente disponible 40 transaciones en linea
Aprovechar la información de los log
Registro de actividades de administrador y 50
operador del sistema como lecciones aprendidas
50 almacenando y protegiendo los casos
Fallas de login
dados

Equipos de cómputo de usuario desatendidos 50 Orientar los contenidos de los equipos a

Política de escritorios y pantallas limpias 50 la identidadde la empresa

Autenticación de usuarios para conexiones proteger las contraseñas y acceso

11 50
externas remoto

Procedimientos seguros de Log-on en el sistema 10 definir politicas de registro al sistema

Teletrabajo 40 definir el teletrabajo

Implementar criptografia en
Política de utilización de controles criptográficos 30
12 informacion sensible de la empresa y
Administración de llaves 30 clientes

Unificar el procedimiento de lecciones

13 Recolección de evidencia 30
aprendidas

14 Gestion de continuidad del negocio 78 Aplicar practicas de continuidad

Identificación de la legislación aplicable 30

Derechos de propiedad intelectual (dpi) Orientar y articular politicas con
30
legislacion internacional y normas de
Protección de los registros de la organización 50 seguridad y protección de datos de la
Protección de datos y privacidad de la empresa
información personal 30
15 Regulación de controles para el uso de
Utilizar cifrado y criptografia en información sensible
criptografía 10
Controles de auditoria a los sistemas de
información 10 Establecer los controles de auditoria
Protección de las herramientas de auditoria de interna y externa de la SI
sistemas 10