Está en la página 1de 9

ACTA No 1.

REUNIÓN Y PLAN DE MEJORAMIENTO

CIUDAD Y FECHA: San José del HORA DE INICIO: 10:00 am HORA FIN: 11:00 am
Guaviare, 05 de julio del 2019.

LUGAR: Ambiente Virtual LMS Centro de Desarrollo Agroindustrial Turístico y Tecnológico del
Guaviare.
TEMAS: Plan de mejoramiento del resultado de aprendizaje Identificar la infraestructura tecnológica dispuesta
en el manejo de las bases de datos para determinar las amenazas y vulnerabilidades objeto de la seguridad
de la información.
OBJETIVO(S) DE LA REUNIÓN: Establecer tiempos de entrega para las actividades de este plan de
mejoramiento, para los aprendices de la especialización tecnológica gestión y seguridad de bases de datos de
la ficha 1881794.
DESARROLLO DE LA REUNIÓN

En la siguiente reunión se establecieron las actividades que debe presentar el aprendiz o los aprendices
responsables en esta acta como parte de su plan de mejoramiento, incluyendo tiempos y forma de entrega.

Forma de
Fecha de ¿Entregó?
# Ítem. Actividad a desarrollar. entrega
entrega
Físico Digital Sí No
AA1-E5-Aplicación de la norma ISO
1 X 05/07/2019 X
27002
CONCLUSIONES

COMPROMISOS
ACTIVIDAD RESPONSABLE FECHA
Todas las establecidas en esta Sacar el tiempo para realizar las Las fechas establecidas mediante
guía mediante cronograma actividades. cronograma básico.
básico.
ASISTENTES
NOMBRE CARGO/DEPENDENCIA/ENTIDAD FIRMA
Instructor formación profesional
EDGAR MAURICIO CAMPOS
integral.
Instructor formación profesional
EDGAR CAMILO FIGUEROA
integral.
Aprendiz. LILIANA DÍAZ A.
LILIANA DÍAZ ACOSTA
INVITADOS (Opcional)
NOMBRE CARGO ENTIDAD

GD-F-007 V01

Página 1 de 9
APLICACIÓN DE LA NORMA
ISO 27002
a norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La
norma ISO 27002 se compone de 11 dominios (del 5 al 15),39 objetivos de control
y 133 controles. A continuación, se realiza una descripción de los aspectos que
deben ser tenidos en cuenta al momento de evaluar los controles de cada uno
de los dominios de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la
dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos controles
gestionan la seguridad de la información dentro de la Organización. El órgano
de dirección debe aprobar la política de seguridad de la información,
asignando los roles de seguridad y coordinando la implantación de la seguridad
en toda la Organización. Terceras partes: estos controles velan por mantener la
seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización.
Clasificación y control de activos: Responsabilidad sobre los activos: estos
controles pretenden alcanzar y mantener una protección adecuada de los
activos de la organización. Clasificación y control de de la información: la
información se encuentra clasificada para indicar las necesidades, prioridades
y nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que
los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir
el riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de
información sensible deben estar ubicados en áreas seguras y protegidas en
un perímetro de seguridad definido por barreras y controles de entrada,
protegidas físicamente contra accesos no autorizados. Seguridad de los
equipos: se enfoca en los controles de protección contra amenazas físicas y
para salvaguardar servicios de apoyo como energía eléctrica e infraestructura
del cableado.
Página 2 de 9
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar
y mantener un nivel apropiado de seguridad de la información, además de la
operación correcta y segura de los recursos de tratamiento de información,
minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
información en las redes y la protección de su infraestructura de apoyo. Control
de accesos: Controla los accesos a la información y los recursos de tratamiento
de la información en base a las necesidades de seguridad de la organización
y las políticas para el control de los accesos.
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles
adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso crítico. Dichos controles se determinan
en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información: Se establecen informes
de los eventos y delos procedimientos realizados, todos los empleados,
contratistas y terceros deben estar al tanto delos procedimientos para informar
de los diferentes tipos de eventos y debilidades que puedan tener impacto en
la seguridad de los activos de la organización.
Gestión de la continuidad del negocio: La seguridad de información debe ser
una parte integral del plan general de continuidad del negocio (PCN) y de los
demás procesos de gestión dentro de la organización. El plan de gestión de la
continuidad debe incluir el proceso de evaluación y asegurarla reanudación
a tiempo de las operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier
ley, estatuto, regulación u obligación contractual y de cualquier requisito de
seguridad dentro y fuera de la organización. Los requisitos legales específicos
deberían ser advertidos por los asesores legales dela organización o
por profesionales del área. Además, se deberían realizar revisiones regulares de
la seguridad de los sistemas de información.

Página 3 de 9
OBJETIVO DE LA AUDITORIA

o Evaluar la conformidad del sistema de gestión de seguridad de


la información regido bajo la norma ISO 27002.
o Revisar la situación actual de la empresa identificando las condiciones de
seguridad de la información.
o Proponer un plan de mejora con base a los hallazgos encontrados en el
contexto de seguridad de la información con base a la norma 27002.

ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la


información relacionada con la empresa IEB, donde se analizaron todos los
requisitos bajo la norma ISO27002, expuestos en el anexo de este documento.

Página 4 de 9
RESULTADO DE LA AUDITORIA

ASPECTOS CONFORMES

o Se pudo identificar que la empresa cuenta con una política de seguridad


sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.

o La estructura organizativa para la seguridad se encuentra bien constituida


en lo correspondiente a la organización interna y lo relacionado con las
terceras partes.

o La empresa cuenta con el inventario de los activos que posee, sus


propietarios y uso aceptable. Además, cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de
la información.

o Durante la auditoria se pudo identificar que los procedimientos y


responsabilidades se encuentran bien definidos y documentados, al igual
que la administración de los servicios de terceras partes, monitoreando y
revisando sus servicios.

o Los controles de seguridad contra software malicioso se encuentran bien


soportados, empleando controles en las redes y seguridad de sus servicios.

o Se identifican sólidos controles de accesos, empleando políticas de control


de accesos, registrando usuarios y administrando sus privilegios y
contraseñas. También se ejerce fuerte control de acceso a las redes, por
medio de autenticación para usuarios con conexiones externas.

o Se registran procedimientos, reportes y procedimientos de los incidentes


relacionados con la seguridad de la información; recolectando evidencias
y publicando las lecciones aprendidas.

o Se logró evidenciar que no se encuentra bien definido un comité


relacionado con la dirección sobre la seguridad de la información.

o No se soporta los riesgos identificados por el acceso de terceras personas.

Página 5 de 9
o No se tienen claras las políticas de copias de seguridad de la información,
donde posiblemente no se tenga soporte de estas.

o Se pudo observar que no se posee un sistema de administración de


contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.

OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN
Estructura organizativa para la seguridad Se considera necesario que se
o Organización Interna. conformen o se definan de
o Comité de la dirección sobre manera más clara el comité de la
seguridad de la información. dirección sobre seguridad de la
información, esto permitirá una
estructura organizativa más sólida
para la empresa.
Estructura organizativa para la seguridad Se considera importante analizar
o Terceras Partes. los riesgos por parte de acceso de
o Identificación de riesgos por el terceras partes, esto para
acceso de terceras partes. garantizar la solidez del esquema
de seguridad de la información
con una estructura organizativa
mejor formada.
Gestión de comunicaciones y Se deben documentar y soportar
operaciones las copias de seguridad, con el fin
o Copias de seguridad. de obtener mejores prestaciones
o Información de copias de seguridad. en la persistencia de los datos y
obteniendo a su vez mejor gestión
de comunicaciones y
operaciones.
Control de accesos Para garantizar la robustez de los
o Control de acceso al sistema controles de acceso, es necesario
operativo. que se mejore el sistema de
o Sistema de administración de administración de contraseñas;
contraseñas. permitiéndole a los usuarios
realizar cambios periódicos de
estas garantizando la seguridad
delos datos privados de la
empresa.

Página 6 de 9
PLAN DE MEJORA SUGERIDO
FASE ACTIVIDADES MES
1 2 3 4 5
Estructura organizativa
para la seguridad
o Organización
Interna.
 Comité de la
Análisis de la dirección sobre
información ISO 27002 seguridad de la
información.

Estructura organizativa
para la seguridad
o Terceras Partes.
 Identificación de
riesgos por el
acceso de
terceras partes

Gestión de
comunicaciones y
operaciones
o Copias de
seguridad.
 Información de
copias de
seguridad

Control de accesos
o Control de acceso al
sistema operativo.
 Sistema de
administración de
contraseñas.

Página 7 de 9
Página 8 de 9
Página 9 de 9