AA1-5 APLICACIÓN DE LA NORMA ISO

27002
Contenido
1. INTRODUCCIÓN.....................................................................................................................2
2. OBJETIVO...............................................................................................................................3
3. PROPOSITO............................................................................................................................4
4. OPORTUNIDAD DE MEJORA..............................................................................................6
5. PLAN DE MEJORA SUGERIDO..........................................................................................7
6. PLANTILLA DE PORCENTAJE DE CUMPLIMIENTO DE ACUERDO A LA
ORGANIZACIÓN............................................................................................................................7
7. BIBLIOGRAFÍA.......................................................................................................................7
 1. INTRODUCCIÓN

La norma ISO 27002 fue diseñada para que la probabilidad de que la información
al ser dañada, robada o se pierda se minimicen al máximo. Ya que esta norma se
encarga de las técnicas de seguridad en las tecnologías de información.

La norma ISO 270002 contiene 39 objetivos de control y 133 controles agrupados

en 11 dominios:

Políticas de Seguridad. Son leyes que se implementan para la seguridad de la

información, estas se implementan de acuerdo a las necesidades de la
organización y deben ser revisadas y actualizadas, a medida que se vayan dando
cambios tecnológicos y otros.

Estructura Organizativa para la seguridad. Estas se pueden dar de dos formas,

por organización interna o por terceros.
Organización Interna: Tiene como objetivo gestionar la seguridad de la
información dentro de la organización.
Organización por Terceros: Es importante también mantener la seguridad con la
información o procesos que son manejados por personas externas, es por esto
que se debe analizar los riesgos que se pueden generar y aplicar para ellos unas
normas o procedimientos a seguir.

Clasificación y control de activos. Es importante tener un control de los activos

de la compañía y para esto es bueno llevar un inventario actualizado que nos
permite tener el conocimiento de los activos que hay, a quién le pertenecen y
llevar una clasificación de estos.

Seguridad del Personal. Implementar roles y responsabilidades en los contratos

de trabajo para los empleados o para terceros ayuda a minimizar los riesgos de
robo, pérdida o daños que se puedan presentar en la organización, también se les
puede dar capacitaciones.

Seguridad física y del entorno. Es importante la seguridad física de los equipos

y de la infraestructura, es por esto que se debería gestionar seguridad en el
control de acceso a las áreas de trabajo y realizar mantenimiento a los equipos
físicos y cableados, ubicar de forma adecuada estos equipos, con todos los
cuidados y seguridad que se implementen se puede evitar riesgos.

Gestión de las comunicaciones y operaciones. Su objetivo es asegurar la

operación correcta y segura de los medios de procesamiento de la información,
por esto es importante tener los procedimientos documentados e implementarlos.
Gestionar la seguridad en las redes para evitar que la información sea expuesta a
personas no autorizadas o malintencionadas. Monitorear y controlar los accesos a
la información y a los recursos de la organización.

Control de Acceso. Es importante implementar políticas de seguridad para el

control de acceso del personal autorizado al manejo de la información y de los
equipos y para el ingreso de las instalaciones de la organización. Que cada equipo
cuente con la seguridad apropiada para el ingreso al sistema y es bueno tener una
bitácora que permita tener un control del acceso a la información o a la
organización.

Desarrollo y mantenimiento de sistemas. Implementar o desarrollar controles

adicionales que eviten los riesgos de la seguridad de la información, es por esto
que es bueno contar con controles al momento de realizar descargas e
instalaciones de programas en los equipos, por ejemplo. Se debe velar por la
seguridad de la información.

Gestión de incidentes de seguridad de la información. Es importante que el

personal de la organización o terceros realicen reportes de los eventos o
debilidades que se puedan presentar con la seguridad de la información, para así
establecer una acción correctiva y oportuna.

Gestión de la continuidad del negocio. Desarrollar planes de continuidad del

negocio, que se estén actualizando para asegurar la integridad y la protección de
la seguridad de la información, esto permite que se pueda reanudar
oportunamente las operaciones esenciales.

Cumplimiento. Definir todos los requerimientos legales por los expertos de la

organización, para evitar que haya incumplimientos de las leyes dentro y fuera de
la organización.
 2. OBJETIVO
 Evaluar la conformidad del sistema de gestión de seguridad de la
información regido bajo la norma ISO 27002.

 Revisar la situación de la organización, identificando las condiciones de

seguridad de la información.

 Proponer un plan de mejora para la organización de acuerdo con los

hallazgos encontrados en el contexto de seguridad de la información.
 3. PROPOSITO

El propósito de este producto de trabajo es mejorar la organización o las unidades

de negocio, y como desempeñar su empleo satisfactoriamente según la norma
ISO 27002, para este ejercicio se tomó la Entidad: Ministerio de Agricultura y
Desarrollo Rural:

El Ministerio de Agricultura y Desarrollo Rural es la entidad encargada de formular,

coordinar y evaluar políticas que promuevan el desarrollo competitivo, equitativo y
sostenible de los procesos agropecuarios, forestales, pesqueros y de desarrollo
rural, que propendan por su armonización con la política macroeconómica y por
una ejecución descentralizada, concertada y participativa.

Es importante anotar que para el cumplimiento de estos desafíos es necesario que

todas las áreas que componen el MADR estén alineadas y estén en la capacidad
de brindar información que permita el análisis y la generación de resultados
enfocados en el cumplimiento de las metas trazadas.

En cuanto a infraestructura tecnológica el MADR cuenta 600 computadores (370

equipos de escritorio y 66 portátiles), 99 Impresoras (60 locales, 39 en red, por tipo
de servicio 25 multifuncionales, 74 solo impresión), 8 video proyectores, 3
Scanner. El nivel de obsolescencia en infraestructura cliente es muy alta, el 88%
de equipos Pc escritorio no cuentan con las características técnicas para
desarrollar un trabajo eficiente, tan solo el 12% de los equipos cuentan con
características técnicas óptimas para el desarrollo de funciones de los usuarios, en
cuanto a licenciamiento se tiene diversidad de sistemas operativos (Windows Xp,
Windows Vista y Win7), lo que ocasiona una difícil administración de remediación,
actualmente este proceso se realiza manualmente ya que no contamos con
infraestructura base que permita la centralización de esta actividad, en
herramientas ofimáticas el Ministerio tiene como estándar Microsoft Office desde
la versión XP hasta la versión 2007, cuenta con licenciamiento para el 80% de la
infraestructura.

En cuanto a la plataforma de impresión, el 60% solamente prestan servicios de

impresión lo que no es funcional por cuanto a la mayoría de los casos los usuarios
requieren servicios como scanner y fotocopias, los cuales son prestados por
impresoras multifuncionales, este servicio es atendido solo por el 40% de los
equipos disponibles en la entidad. Adicionalmente la variedad de tecnologías,
marcas, modelos de impresoras hace compleja la administración, se tiene un
gasto mayor en adquisición de consumibles y no contamos con una herramienta
que permita la administración centralizada del servicio.

Como parte del Plan de Gestión Ambiental, dentro de la línea de acción

relacionada con el uso eficiente de los recursos, se tiene establecido un indicador
de eficiencia, con el fin de controlar el volumen de impresión, cuya información es
tomada de la revisión mensual de cada página de las impresoras multifuncionales,
lo que puede ocasionar un porcentaje de error en la información suministrada.

Actualmente la información institucional reposa en los equipos de escritorio,

equipos portátiles, discos externos de usuarios, memorias o Cd de cada usuario o
dependencia lo que conlleva a que el Ministerio corra un alto grado de riesgos en
cuanto a seguridad de la información, por cuanto la entidad, no cuenta con un
repositorio central que permita el almacenamiento de la información institucional y
los mecanismos de respaldo, lo que hace que en la actualidad, la entidad este
atada a la responsabilidad de cada usuario en la generación de backup para evitar
perdida de información por fallas en los equipos cliente, o la entrega de la misma
en el momento de retiro de la entidad.

El servicio de correo electrónico es prestado por un tercero, a través de un

contrato de internet y hosting, este servicio es prestado sobre plataforma Linux, los
correos son descargados automáticamente por el usuario cuando conecta un
cliente Outlook, lo que causa que la información no pueda ser consultada vía web
una vez el mail es descargado, o que los directores y/o usuarios usen eficiente el
servicio de datos con el que cuentan en sus dispositivos móviles.

Dentro de la infraestructura tecnológica para la prestación de servicios,

actualmente el Ministerio cuenta con 10 Servidores, sobre plataforma Windows,
donde se encuentra el Directorio Activo, Sistemas de Información como Orfeo,
Novasoft, Perno, Isosystem, Antivirus SIGMAR y SIGP. Estos servidores se
encuentran ubicados en un cuarto, que no cuenta con las condiciones adecuadas
para ello (se cuenta con un sistema de ventilación deficiente - Aire Acondicionado
mini Split,) que no suministra la eficiencia requerida, 4 de los servidores no
cuentan con un rack o un sistema seguro en su ubicación (actualmente se
encuentran en el piso), para asegurar la información se generar backup
semanales de forma manual, lo que implica que en caso de pérdida y necesidad
de restauración se requieren altos tiempos para la recuperación del servicio, ya
que no se cuentan con imágenes ni máquinas para realizar las restauraciones de
los mismos.

El Directorio activo actual solamente cuenta con el servicio de autenticación de

usuarios, no se tienen establecidas políticas GPO, ni un uso eficiente que permita
la centralización de autenticación, cada sistema tiene su modelo de autenticación
de usuarios, lo que no permite la admón. centralizada de usuarios, haciendo que
la información se deba actualizar en cada uno de los sistemas de acuerdo a la
rotación de personal.

En cuanto a redes y comunicaciones el Ministerio cuenta con un tendido de

cableado estructurado categoría 4, 5 y 5E en algunas zonas, el tercer piso es
totalmente inalámbrico debido a la imposibilidad de hacer el tendido de cable por
el piso o la pared (que es totalmente en madera), por cuanto este edificio es
considerado un bien de interés cultural del ámbito nacional, para lo cual se
requiere contar con la autorización de Min Cultura.
Los equipos de comunicaciones se encuentran distribuidos en centros de
cableado, en algunos de estos sitios no se cuenta con los sistemas de seguridad
que requiere un cuarto de estas características, los Switch cuentan ya con un nivel
de obsolescencia alto, no permiten la prestación de servicios que exijan calidad de
servicio, no se pueden implementar protocolos que permitan mejorar el tráfico ip.

La red inalámbrica es controlada por un dispositivo central, pero se requiere

optimizar este servicio, con el fin de que todas las dependencias del Ministerio
cuenten con red inalámbrica y a su vez, implementar sistemas de seguridad, por
cuanto los equipos que conforman este servicio, ya están a punto de culminar su
vida útil. Los switch de Core, no tienen las características para implementar
parámetros de seguridad que brinden protección a las diferentes dependencias,
por las condiciones anteriormente mencionadas.

A nivel de seguridad la entidad cuenta con un Firewall Cisco ASA 5500 el cual
debe ser reconfigurado para prestar seguridad de navegación, el Ministerio no
cuenta con filtros de contenido a nivel de internet, la navegación no puede ser
restringida ni se tienen políticas de seguridad que aseguren el acceso a la
infraestructura.

El soporte técnico es prestado por contratistas, y la información para atender las

solicitudes es gestionada mediante archivos de Excel, por cuanto no se cuenta
con una mesa de ayuda que permita prestar un servicio más eficiente, y a su vez
los usuarios puedan hacer el seguimiento correspondiente, herramienta que a su
vez permite hacer análisis y establecer diagnósticos, respecto a l estado de la
plataforma tecnológica.
 4. OPORTUNIDAD DE MEJORA

ASPECTO OBSERVACIÓN
Se considera necesario, analizar y actualizar las políticas
Políticas de Seguridad de la seguridad de la información, esto es necesario para
proteger los equipos y la información de la organización.
Estructura organizativa Es necesario que la dirección organice un comité de
para la seguridad. seguridad de la información, y plantee una estructura
Organización Interna. organizacional de sus departamentos y empleados. Esto
permitirá que mejore la estructura organizativa de la
empresa.
Estructura organizativa Es necesario tener especial cuidado con los terceros que
para la seguridad. manejan, procesan o gestionan la información de la
Organización Por organización es por esto que es bueno analizar los riesgos
Terceros. y organizar los contractos para que no afecten la
seguridad de la información
Se considera necesario que se establezcan roles y
Seguridad del personal responsabilidades del personal de la organización, Esto va
a permitir una mejora en el control de acceso a la
información, y en la seguridad del personal.
Gestión de
Comunicaciones y
Operaciones
 Procedimientos de Se considera que se documenten todos los procedimientos
operación y operacionales. Se realicen copias de seguridad por lo
responsabilidades menos 3 veces a la semana y estos sean guardados de
 Manejo de medio de forma segura y externa.
transporte
 Intercambio de
información
Control de Acceso Se considera necesario que se hagan restricción de
 Requisitos de acceso al sistema según los roles y las responsabilidades
negocios para el que maneje el personal.
control de acceso Se recomienda que se realice una bitácora que tenga el
 Control de acceso al control de acceso del personal en el sistema.
sistema operativo
 Control de acceso a También es necesario que sea controlado el acceso de
las aplicaciones y la
personal a las áreas donde estén los equipos de red.
información.
Esto va hacer que las mejoras en el control de acceso,
mejoren.
Desarrollo y
mantenimiento de
Sistemas Se considera que se realicen procesos de control de
 Controles cambios. Restringir el acceso al código fuente para evitar
Criptográficos robos, daño o pérdida de la información.
 Seguridad en los
procesos de
desarrollo y Soporte
 5. PLAN DE MEJORA SUGERIDO

MES
FASE ACTIVIDADES
1 2 3 4 5 6
Políticas de seguridad
 Documento de la política de seguridad de la
información
 Revisión de la política de seguridad de la información
Estructura organizativa para la seguridad

Organización Interna
 Comité de la dirección sobre seguridad de la
información
 Asignación de responsabilidades para la de seguridad
de la información
 Revisión independiente de la seguridad de la
información

Organización por Terceros

 Temas de seguridad a tratar con clientes
 Temas de seguridad en acuerdos con terceras partes

Seguridad del personal

 Roles y responsabilidades
Gestión de comunicaciones y Operacionales

Procedimientos de operación y responsabilidades

 Procedimientos de operación documentados
Copias de Seguridad
 Información de copias de seguridad
Manejo de medio de transporte
 Procedimientos para el manejo de la información
 Seguridad de la documentación del sistema
Intercambio de información
 Políticas y procedimientos para el intercambio de
información
 Mensajes electrónicos
Control de Acceso

Requisitos de negocio para el control de acceso

 Política de control de accesos

Control de acceso al sistema operativo

 Identificación y autenticación de los usuarios
 Sistema de administración de contraseñas
 Limitación del tiempo de conexión

Control de acceso a las aplicaciones y a la información

 Restricción del acceso a la información
 Aislamiento de sistemas sensibles

Desarrollo y mantenimiento de Sistemas

 MES
FASE ACTIVIDADES
1 2 3 4 5 6

Controles Criptográficos
 Política de utilización de controles criptográficos
 Administración de llaves

Seguridad en los procesos de desarrollo y Soporte

 Procedimientos de control de cambios
 Revisión técnica de los cambios en el sistema
operativo
 Restricciones en los cambios a los paquetes de
software

6. PLANTILLA DE PORCENTAJE DE CUMPLIMIENTO

DE ACUERDO A LA ORGANIZACIÓN

Objetivo   % de cumplimiento de la norma

Dominio Controle
s de Orientació NC. NC. NC. Escal
s s Descripción PD PO PC
Control n D O C a
1 2 Política de Seguridad 1,5 20 100      
Política de Seguridad de la
2 Información 100 20      
Documento de la
política de
5 seguridad de la
1
1 Debe información 50 20 20
Revisión de la
política de
seguridad de la
2 Debe información     50 20 20
6 Estructura organizativa 25,4
2 100      
11 para la seguridad 8,27 5
1   72,7 18,1
8 Organización Interna 3 8      
Comité de la  
dirección sobre
seguridad de la
1 Debe información 9,09 10 10
Coordinación de
la seguridad de
2 Debe la información 9,09 30 30
Asignación de
responsabilidade
s para la de
seguridad de la
3 Debe información 9,09 20 20
Proceso de
autorización para
instalaciones de
procesamiento
4 Debe de información 9,09 30 30
Acuerdos de
5 Debe confidencialidad 9,09 30 30
6 Puede Contacto con 9,09 30 30
autoridades
 Contacto con
grupos de
7 Puede interés 9,09 30 30
Revisión
independiente
de la seguridad
de la
8 Puede información 9,09 20 20
27,2
3 Terceras partes 7 7,27      
Identificación de
riesgos por el
acceso de
1 Debe terceras partes 9,09 30 30
Temas de
2
seguridad a
tratar con
2 Debe clientes 9,09 25 25
Temas de
seguridad en
acuerdos con
3 Debe terceras partes   9,09 25 25
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
Clasificación y control de
2 100      
5 activos 3,76 72
Responsabilidad sobre los
3 activos 60 44      
Inventario de 10
1 Debe activos 20 0 100
1
Propietario de
2 Debe activos 20 60 60
7 Uso aceptable de
3 Debe los activos   20 60 60
Clasificación de la
2 información 40 28      
Guías de
2 1 Debe clasificación 20 70 70
Etiquetado y
manejo de la
2 Debe información     20 70 70
8 3 100      
9 Seguridad en el personal 6,77 74,4
  33,3 16,6
3 Antes del empleo 3 7      
Roles y
responsabilidade 11,1
1 Debe s 1 30 30
1
11,1
2 Debe Verificación 1 60 60
Términos y
condiciones de 11,1
3 Debe empleo   1 60 60
33,3 26,6
3 Durante el empleo 3 6      
Responsabilidad 11,1 10
1 Debe es de la gerencia 1 0 100
Educación y
2
formación en
seguridad de la 11,1
2 Debe información 1 60 60
Procesos 11,1
3 Debe disciplinarios   1 80 80
3 3 Terminación o cambio del 33,3 31,1      
empleo 3 1
 Responsabilidad
es en la 11,1
1 Debe terminación 1 95 95
Devolución de 11,1
2 Debe activos 1 90 90
Eliminación de
privilegios de 11,1
3 Debe acceso   1 95 95
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
Seguridad fisica y del 68,4
2 100      
13 entorno 9,77 7
46,1 31,5
6 Áreas Seguras 5 4      
Perímetro de
1 Debe seguridad física 7,69 65 65
Controles de
2 Debe acceso físico 7,69 70 70
Seguridad de
oficinas, recintos
3 Debe e instalaciones 7,69 65 65
1
Protección
contra amenazas
externas y
4 Debe ambientales 7,69 70 70
Trabajo de áreas
5 Debe seguras 7,69 70 70
Áreas de carga,
entrega y áreas
6 Puede públicas   7,69 70 70
9 53,8 36,9
7 Seguridad de los Equipos 5 3      
Ubicación y
protección del
1 Debe equipo 7,69 60 60
Herramientas de
2 Debe soporte 7,69 60 60
Seguridad del
3 Debe cableado 7,69 60 60
Mantenimiento
2 4 Debe de equipos 7,69 90 90
Seguridad del
equipamiento
fuera de las
5 Debe instalaciones 7,69 70 70
Seguridad en la
reutilización o
eliminación de
6 Debe equipos 7,69 70 70
Movimientos de
7 Debe equipos     7,69 70 70
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
10 Gestión de comunicaciones 24,0
10
32 y operaciones 6 44,1 100      
1 Procedimientos  
operacionales y
4 responsabilidades 12,5 5,47      
Procedimientos  
de operación 3,12
1 Debe documentados 5 25 25
2 Debe Control de 3,12 60 60
cambios 5
 Separación de 3,12
3 Debe funciones 5 30 30
Separación de
las instalaciones
de desarrollo y 3,12
4 Debe producción 5 60 60
Administración de servicios
3 de terceras partes 9,38 4,06      
Entrega de
1 Puede servicios 3,12 45 45
Monitoreo y
revisión de
2
servicios de
2 Puede terceros 3,12 35 35
Manejo de
cambios a
servicios de
3 Puede terceros   3,12 50 50
Planificación y aceptación
2 del sistema 6,25 3,75      
Planificación de 3,12
3
1 Debe la capacidad 5 60 60
Aceptación del 3,12
2 Debe sistema   5 60 60
Protección contra software
2 malicioso y móvil 6,25 3,75      
Controles contra
4 software 3,12
1 Debe malicioso 5 60 60
Controles contra 3,12
2 Debe código móvil   5 60 60
1 Copias de seguridad 3,13 0,63      
5 Información de
copias de
1 Debe seguridad   3,13 20 20
Administración de la
2 seguridad en redes 6,25 3,13      
Controles de 3,12
6
1 Debe redes 5 50 50
Seguridad de los 3,12
2 Debe servicios de red   5 50 50
Manejo de medios de
4 soporte 12,5 5,31      
Administración
de los medios de
computación 3,12
1 Debe removibles 5 65 65
Eliminación de 3,12
7 2 Debe medios 5 65 65
Procedimientos
para el manejo
de la 3,12
3 Debe información 5 20 20
Seguridad de la
documentación 3,12
4 Debe del sistema   5 20 20
8 Intercambio de 15,6
5 información 3 7,5      
Políticas y  
procedimientos
para el
intercambio de 3,12
1 Debe información 6 20 20
2 Puede Acuerdos de 3,12 65 65
intercambio 6
 Medios físicos en 3,12
3 Puede transito 6 50 50
Mensajes 3,12
4 Puede electrónicos 6 25 25
Sistemas de
información del 3,12
5 Puede negocio 6 80 80
Servicios de comercio
3 electronico 9,38 5,63      
Comercio 3,12
1 Puede electronico     6 60 60
9 Transacciones 3,12
2 Puede en línea     6 60 60
Información
públicamente 3,12
3 Puede disponible     6 60 60
18,7
6 Monitoreo y supervisión 5 4,84      
Logs de 3,12
1 Debe auditoria 6 30 30
Monitoreo de 3,12
2 Debe uso de sistema 6 20 20
Protección de los 3,12
3 Debe logs 6 20 20
10 Registro de
actividades de
administrador y
operador del 3,12
4 Debe sistema 6 20 20
3,12
5 Debe Fallas de login 6 25 25
Sincronización 3,12
6 Puede del reloj   6 40 40
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
11 7 25 Control de accesos 18,8 35,2 100      
Requisitos de negocio para  
1 el control de acceso 4 0,8      
1 Política de
control de
1 Debe accesos     4 20  
Administración de acceso
4 de usuarios 16 6,8      
Registro de
1 Debe usuarios 4 40  
Administración
2 Debe de privilegios 4 45  
2
Administración
3 Debe de contraseñas 4 50  
Revisión de los
derechos de
acceso de
4 Debe usuario   4 35  
3 Responsabilidades de los
3 usuarios 12 5,8      
Uso de  
1 Debe contraseñas 4 80  
Equipos de
cómputo de
usuario
2 Puede desatendidos 4 40  
3 Puede Política de 4 25  
escritorios y
pantallas limpias
 7 Control de acceso a redes 28 10      
Política de uso
de los servicios
1 Debe de red 4 50  
Autenticación de
usuarios para
conexiones
2 Puede externas 4 45  
Identificación de
equipos en la
3 Puede red 4 25  
4 Administración
remota y
protección de
4 Debe puertos 4 25  
Segmentación
5 Puede de redes 4 45  
Control de
conexión a las
6 Debe redes 4 40  
Control de
enrutamiento en
7 Debe la red   4 20  
Control de acceso al
6 sistema operativo 24 7      
Procedimientos
seguros de Log-
1 Debe on en el sistema 4 20  
Identificación y
autenticación de
2 Debe los usuarios 4 25  
Sistema de
5
administración
3 Debe de contraseñas 4 25  
Uso de utilidades
4 Puede de sistema 4 40  
Inactividad de la
5 Debe sesión 4 40  
Limitación del
tiempo de
6 Puede conexión   4 25  
Control de acceso a las
aplicaciones y la
2 información 8 2      
Restricción del
6 acceso a la
1 Puede información 4 25  
Aislamiento de
sistemas
2 Puede sensibles   4 25  
Ordenadores portátiles y
2 teletrabajo 8 2,8      
Ordenadores
7 portátiles y
comunicaciones
1 Puede moviles 4 40  
2 Puede Teletrabajo   4 30  
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
12 Desarrollo y 12,0 31,8
6 100      
16 mantenimiento de sistemas 3 8
1 1 Requerimientos de   6,25 3,13     
seguridad de sistemas de
información
 Análisis y
especificaciones
de los
requerimientos
1 Debe de seguridad   6,25 50 50
Procesamiento adecuado
4 en aplicaciones 25 7,19      
Validación de los
1 Debe datos de entrada 6,25 30 30
Controles de
2 procesamiento
2 Puede interno 6,25 25 25
Integridad de
3 Puede mensajes 6,25 40 40
Validación de los
4 Puede datos de salida   6,25 20 20
2 Controles criptográficos 12,5 2,81      
Política de
utilización de
3 controles
1 Puede criptográficos 6,25 20 20
Administración
2 Puede de llaves   6,25 25 25
Seguridad de los archivos 18,7
3 del sistema 5 7,81      
Control del
software
1 Debe operacional 6,25 50 50
Protección de los
4
datos de prueba
2 Puede del sistema 6,25 25 25
Control de
acceso al código
fuente de las
3 Debe aplicaciones   6,25 50 50
Seguridad en los procesos 31,2
5 de desarrollo y soporte 5 8,75      
Procedimientos
de control de
1 Debe cambios 6,25 25 25
Revisión técnica
de los cambios
en el sistema
2 Debe operativo 6,25 25 25
5
Restricciones en
los cambio a los
paquetes de
3 Puede software 6,25 20 20
Fugas de
4 Debe información 6,25 40 40
Desarrollo
externo de
5 Debe software   6,25 30 30
Gestión de vulnerabilidades
1 técnicas 6,25 2,19      
6 Control de
vulnerabilidades
1 Debe técnicas   100 35 35
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
Gestión de incidentes de la
2 seguridad de la
13 5 información 3,76 34 100      
1 2 Notificando eventos de   40 17      
 seguridad de la
información y debilidades
Reportando
eventos de
seguridad de la
1 Debe información 20 45 45
Reportando
debilidades de
2 Puede seguridad   20 40 40
Gestión de incidentes y
mejoramiento de la
seguridad de la
3 información 60 17      
Procedimientos y
2 responsabilidade
1 Debe s 20 40 40
Lecciones
2 Puede aprendidas 20 25 25
Recolección de
3 Debe evidencia   20 20 20
Gestión de la continuidad
1 100      
5 del negocio 3,76 37
Aspectos de seguridad de
la información en la gestión
5 de continuidad del negocio 100 37      
Inclusión de
seguridad de la
información en
el proceso de
gestión de la
continuidad del
1 Debe negocio 20 35 35
Continuidad del
negocio y
análisis del
2 Debe riesgo 20 25 25
14 Desarrollo e
1 implementación
de planes de
continuidad
incluyendo
seguridad de la
3 Debe información 20 40 40
Marco para la
planeación de la
continuidad del
4 Debe negocio 20 35 35
Prueba,
mantenimiento y
reevaluación de
los planes de
continuidad del
5 Debe negocio     20 50 50
Objetivo
Dominio Controle Orientació NC. NC. NC. Escal
s de Descripción PD PO PC
s s n D O C a
Control
15 74,4
3 100      
10 Cumplimiento 7,52 4
1 Cumplimiento con los  
6 requisitos legales 60 34,5      
Identificación de  
la legislación
1 Debe aplicable 10 50 50
2 Debe Derechos de 10 50 50
propiedad
intelectual (dpi)
 Protección de los
registros de la
3 Debe organización 10 70 70
Protección de
datos y
privacidad de la
información
4 Debe personal 10 80 80
Prevención del
uso inadecuado
de los recursos
de
procesamiento
5 Debe de información 10 60 60
Regulación de
controles para el
uso de
6 Debe criptografía 10 35 35
Cumplimiento con las
políticas y estándares de
seguridad y cumplimiento
2 técnico 20 15      
Cumplimiento
2
con las políticas
1 Debe y procedimientos 10 70 70
Verificación de la
cumplimiento
2 Debe técnico   10 80 80
Consideraciones de la
auditoria de sistemas de
2 información 20 13      
Controles de
auditoria a los
3 sistemas de
1 Debe información 10 60 60
Protección de las
herramientas de
auditoria de
2 Debe sistemas   10 70 70

7. BIBLIOGRAFÍA

Sena. Territorium. Material de Apoyo.

Ministro de Agricultura y Desarrollo Rural.
ttps://www.minagricultura.gov.co/Paginas/default.aspx

Ministro de Agricultura y Desarrollo Rural.

https://es.wikipedia.org/wiki/Ministerio_de_Agricultura_y_Desarrollo_Rural

EcuRed. ISO / IEC 27002. Fecha 13 de abril 2020. Disponible en

https://www.ecured.cu/ISO/IEC_27002