Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Actividad AA1 - E5 - Aplicación Norma ISO - 27002

    Cargado por

    kevin jose suarez hernandez
    19 vistas11 páginas

    Título original

    Actividad AA1 - E5 – Aplicación Norma ISO – 27002 (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    19 vistas11 páginas

    Actividad AA1 - E5 - Aplicación Norma ISO - 27002

    Cargado por

    kevin jose suarez hernandez

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    GESTIÓN Y SEGURIDAD DE BASE DE DATOS

    2020

    Actividad AA1 - E5 – Aplicación Norma ISO – 27002

    Ficha No. 2075180

    Presentado por:

    Edgar Fabra Cogollo


    Ever Plaza Martínez
    Bladimiro Montalvo Galeano
    Kevin Suarez Hernandez
    INTRODUCCION

    En el presente trabajo se demostrará la apropiación adquirida del conocimiento de


    La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
    ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
    implementar y mantener sistemas de gestión de seguridad de información. La
    norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control
    y 133 controles.

    Se pretende simular el planteamiento un plan de mejora en la seguridad de la


    información de una empresa de servicios públicos. Para esto se tiene en cuenta la
    observación de la empresa y posterior verificación si cumple o no los distintos
    puntos de control de la seguridad.

    Para el desarrollo de esta actividad se tuvo en cuenta la plantilla en Excel guía del
    SENA, donde nos muestran los diferentes ítems a evaluar para establecer si se
    cumple o no se cumple el control.
    OBJETIVO DE LA AUDITORIA

     Evaluar la conformidad del sistema de gestión de seguridad de la


    información regido bajo la norma ISO 27002.

     Revisar la situación actual de la empresa identificando las condiciones de


    seguridad de la información-

     Proponer un plan de mejora con base a los hallazgos encontrados en el


    contexto de seguridad de la información con base a la norma 27002.
    ALCANCE DE LA AUDITORIA

    La auditoría tiene como alcance el sistema de gestión de seguridad de la


    información relacionada con la seguridad de la información para la empresa
    servienergia donde se analizaron todos los requisitos bajo la norma ISO 27002,
    expuestos en el anexo de este documento.

    Las políticas de seguridad de la información serán aplicadas a todos los procesos


    administrativos y de control, los cuales serán acatados por las dependencias de la
    empresa servienergia y funcionarios directos e indirectos (contratistas) que
    guarden relación con el ente administrativo en el marco del cumplimiento de sus
    funciones, con el fin de garantizar el nivel de protección y seguridad de la
    información, haciéndolos participes en la toma de medidas preventivas y
    correctivas.
    RESULTADOS DE LA AUDITORIA

    A nivel de la escala de valoración de control (ver archivo adjunto xls) se puede


    definir en términos generales que el nivel de seguridad es medio y el nivel de
    exposición es alto. Si bien existen valores dentro del rango bajo, estos no pueden
    ser tenidos como favorables en un marco de seguridad debido que, no pertenecen
    a un conjunto de acciones dentro de un protocolo de seguridad sino a medidas
    particulares sin procedimiento alguno en el cual el cambio de contraseñas, la
    inspección visual del área de trabajo y el control al acceso de los equipos de
    cómputo son las medidas generalizadas en los funcionarios y terceros dentro de la
    empresa Servienergia.

    Es necesario modificar las estructuras o acciones hasta ejecutadas por procesos


    que lleven a la seguridad de los datos que no solo reposan en los equipos de
    cómputo, sino que diariamente se difunden entre funcionarios y que soportan
    información sensible para la sociedad y evitar la corrupción que de documentación
    privilegiada pudiera derivarse hacia terceros interesados.
    DESCRIPCIÓN DE LA EMPRESA

    Empresa: Servienergia Servicio Eléctrico.

    Descripción de la empresa: es una empresa dedicada de prestar servicios


    atención al cliente, construcción de redes eléctricas y cobro directo y online.

    Plan de Mejora en seguridad propuesto

    Política de seguridad:
    Realizar una guía de políticas de seguridad para apoyo de la dirección para la
    seguridad de la información en relación a los requisitos del negocio y regulaciones
    relevantes.

    Estructura organizativa para la seguridad:


    Se debe crear un comité de la dirección de las políticas de seguridad para llevar
    los controles que gestionan la seguridad de la información dentro de la
    Organización.

    Clasificación y control de activos: Responsabilidad sobre los activos:


    Generar políticas para el manejo de la información

    Seguridad del personal: Seguridad física y del entorno:


    Restringir a personal no autorizado ah áreas seguras.
    Establecer una guía para la clasificación de la información.
    Establecer diferente mecanismo de control del acceso a los equipos.
    Mantener actualizado los equipos y revisar a cada momento el estado de los
    equipos
    Verificar las conexiones eléctricas
    Verificar el estado de la red y los terminales de conexiones.
    Gestión de las comunicaciones y operaciones:
    Procurar de no tener el ambiente de producción y desarrollo en el mismo entorno
    Mantener un nivel apropiado de seguridad de la información.
    Minimizar el riesgo de fallos en los sistemas y asegurando la protección de la
    información en las redes y la protección de su infraestructura de apoyo.

    Control de accesos:
    Controlar los accesos a la información y los recursos de tratamiento de la
    información en base a las necesidades de seguridad de la organización y las
    políticas para el control de los accesos.
    Diseñar y desarrollar controles adicionales para los sistemas que procesan o
    tienen algún efecto en activos de información de carácter sensible, valioso o
    crítico.
    Gestión de incidentes de seguridad de la información:

    Hacer los informes de los eventos y de los procedimientos realizados.


    Los empleados, contratistas y terceros deben estar al tanto de los procedimientos
    para informar de los diferentes tipos de eventos y debilidades que puedan tener
    impacto en la seguridad de los activos de la organización.

    Gestión de la continuidad del negocio:


    En el objetivo de controlar los entornos de desarrollo y soporte de los sistemas
    durante todo su ciclo de vida garantizando la seguridad de la información, así
    como establecer medidas para controlar la realización de las respectivas pruebas
    de funcionamiento de forma que no afecten el normal desarrollo de las
    operaciones de la alcaldía.

    .
    Cumplimiento:
    En el marco del cumplimiento a las políticas de seguridad de la información se han
    establecido sanciones administrativas que varían de acuerdo al nivel de afectación
    que le generen a la entidad. De acuerdo al nivel las amonestaciones pueden ser
    escritas, suspensiones, destitución y/o sanciones de tipo legal.

    También podría gustarte