Documentos de Académico
Documentos de Profesional
Documentos de Cultura
27002
Contenido
1. INTRODUCCIÓN.....................................................................................................................2
2. OBJETIVO...............................................................................................................................3
3. PROPOSITO............................................................................................................................4
4. OPORTUNIDAD DE MEJORA..............................................................................................6
5. PLAN DE MEJORA SUGERIDO..........................................................................................7
6. PLANTILLA DE PORCENTAJE DE CUMPLIMIENTO DE ACUERDO A LA
ORGANIZACIÓN............................................................................................................................7
7. BIBLIOGRAFÍA.......................................................................................................................7
1. INTRODUCCIÓN
La norma ISO 27002 fue diseñada para que la probabilidad de que la información
al ser dañada, robada o se pierda se minimicen al máximo. Ya que esta norma se
encarga de las técnicas de seguridad en las tecnologías de información.
A nivel de seguridad la entidad cuenta con un Firewall Cisco ASA 5500 el cual
debe ser reconfigurado para prestar seguridad de navegación, el Ministerio no
cuenta con filtros de contenido a nivel de internet, la navegación no puede ser
restringida ni se tienen políticas de seguridad que aseguren el acceso a la
infraestructura.
ASPECTO OBSERVACIÓN
Se considera necesario, analizar y actualizar las políticas
Políticas de Seguridad de la seguridad de la información, esto es necesario para
proteger los equipos y la información de la organización.
Estructura organizativa Es necesario que la dirección organice un comité de
para la seguridad. seguridad de la información, y plantee una estructura
Organización Interna. organizacional de sus departamentos y empleados. Esto
permitirá que mejore la estructura organizativa de la
empresa.
Estructura organizativa Es necesario tener especial cuidado con los terceros que
para la seguridad. manejan, procesan o gestionan la información de la
Organización Por organización es por esto que es bueno analizar los riesgos
Terceros. y organizar los contractos para que no afecten la
seguridad de la información
Se considera necesario que se establezcan roles y
Seguridad del personal responsabilidades del personal de la organización, Esto va
a permitir una mejora en el control de acceso a la
información, y en la seguridad del personal.
Gestión de
Comunicaciones y
Operaciones
Procedimientos de Se considera que se documenten todos los procedimientos
operación y operacionales. Se realicen copias de seguridad por lo
responsabilidades menos 3 veces a la semana y estos sean guardados de
Manejo de medio de forma segura y externa.
transporte
Intercambio de
información
Control de Acceso Se considera necesario que se hagan restricción de
Requisitos de acceso al sistema según los roles y las responsabilidades
negocios para el que maneje el personal.
control de acceso Se recomienda que se realice una bitácora que tenga el
Control de acceso al control de acceso del personal en el sistema.
sistema operativo
Control de acceso a También es necesario que sea controlado el acceso de
las aplicaciones y la
personal a las áreas donde estén los equipos de red.
información.
Esto va hacer que las mejoras en el control de acceso,
mejoren.
Desarrollo y
mantenimiento de
Sistemas Se considera que se realicen procesos de control de
Controles cambios. Restringir el acceso al código fuente para evitar
Criptográficos robos, daño o pérdida de la información.
Seguridad en los
procesos de
desarrollo y Soporte
5. PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES
1 2 3 4 5 6
Políticas de seguridad
Documento de la política de seguridad de la
información
Revisión de la política de seguridad de la información
Estructura organizativa para la seguridad
Organización Interna
Comité de la dirección sobre seguridad de la
información
Asignación de responsabilidades para la de seguridad
de la información
Revisión independiente de la seguridad de la
información
Controles Criptográficos
Política de utilización de controles criptográficos
Administración de llaves
7. BIBLIOGRAFÍA