1.

Metodología

El estándar ISO/IEC 27002:2013, agrupa un total de 114 controles o salvaguardas

sobre buenas prácticas para la Gestión de la Seguridad de la Información organizado en 14
dominios y 35 objetivos de control. Éste estándar es internacionalmente reconocido y es
perfectamente válido para la mayoría de organizaciones. Para la realización de la auditoría
interna al SGSI de la Municipalidad Distrital de Sayan para evaluar el nivel de cumplimiento,
se tienen en cuenta los dominios de control y los controles planteados por ISO/IEC
27002:2013. Para lo anterior se definió un plan de auditoría (el cual contempla las
exclusiones de acuerdo a la declaración de aplicabilidad), una lista de verificación, y se
utilizan los formatos de “solicitud de acciones” con que se cuenta dentro del sistema de
calidad de la Universidad.

Evaluación de la madurez

El objetivo de esta fase del proyecto es evaluar la madurez de la seguridad en lo que

respecta a los diferentes dominios de control y los 114 controles planteados por la ISO/IEC
27002:2013. De forma resumida, los dominios que deben analizarse son:
• Política de seguridad
• Organización de la seguridad de la información.
• Gestión de activos.
• Seguridad en los recursos humanos
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones.
• Control de acceso.
• Adquisición, desarrollo y mantenimiento de Sistemas de Información
• Gestión de incidentes 34
• Gestión de continuidad de negocio
• Cumplimiento.
El estudio realizó una revisión de los controles planteados por la norma para cumplir
con los diferentes objetivos de control. Esta estimación se realizó basándose en el Modelo
de Madurez de la Capacidad (CMM), utilizando la siguiente tabla:
b. Criterios en las isos, 27002, 14 dominios y 114 controles

ISO/IEC 27002 es una guía de buenas prácticas en seguridad de la información, la

cual no es certificable. Describe tanto los objetivos de control, como los controles
recomendables para la organización. Consta de 11 dominios, 39 objetivos de control y 133
controles. En el año 2000 fue publicada por la ISO y por la comisión electrotécnica
Internacional el estándar ISO/IEC 17799:2000 bajo el título de “Information technology -
Security techniques - Code of practice for information security management”, después de
haber sido publicada por primera vez por el British Standards Institution bajo el nombre de
BS-7799-1. Tras un período de revisión y actualización de los contenidos de este estándar
se publicó en el año 2005 como ISO/IEC 17799:2005. Con la aprobación de la norma
ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la
Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado
como ISO/IEC 27002 en el año 2007. Fue publicada desde el 1 de julio de 2007. “Publicada
en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de
2009”(«ISO27000.es - El portal de ISO 27001 en español. Gestión de Seguridad de la
Información», s. f.). En Colombia se consigue bajo el nombre de (NTC-ISO-IEC 27002).
Esta norma, al igual que 27001 fue recientemente actualizada (2013). Una gran novedad es
la inclusión del teletrabajo.
2. Planeamiento

a. Definió un objetivo

El objetivo general de este trabajo es integrar las estrategias de seguridad de la

información, así como la documentación , políticas y procedimientos en la organización,
basados en la norma ISO/IEC 27002, para mejorar en el corto, mediano y largo plazo los
aspectos de seguridad de la misma, relacionados con los dominios y las cláusulas que se
encuentran en su estado inicial de maduración, de acuerdo con el análisis realizado.

b. Requerimiento información

Para realizar el proceso de auditoría fue necesario un conjunto de información de la

organización, la cual fue proporcionada utilizando las siguientes herramientas.

Entrevista .- Se aplicó entrevistas a los jefes de departamento para realizarles una serie
preguntas sobre cómo perciben la seguridad informática de la organización desde su
posición de jefes, además de cuestionarse sobre incidentes de seguridad en el pasado y
como habían resultado aquello, si es que había habido algun daño informatico a traves de
una vulnerabilidad y de ser asi como se había resulto, si es que se habia descubierto la
causa si las consecuencias en casa caso de existir fueron graves

Cuestionario .- Se realizaron un par de cuestionarios al área de TI, sobre como se han

manejado los incidentes de cyberseguridad en caso de haber sucedido, ademas de si que
se han aplican lineamientos básicos al desarrollo de sistemas, proteccion a la organizacion,
ademas un cuestionario anónimo que busca medir que tan sinceramente creen que la
estructura informatica de la empresa se encuentra protegida con las medidas de seguridad
que se poseen actualmente, o si por el contrario creen que las mismas son deficientes

Encuesta .- La ultima herramienta para la obtencion de informacion fue la encuesta, esta se

realizo a todos los trabajadores de los distintos departamentos, en la misma se formulan
preguntas mas del tipo individual , pero no por ello menos importantes, entre las que
podemos mencionar sobre la gestion de las contraseñas o su periodico cambio, disponibles
electronicos que se poseen que ingresan a la organizacion, web a las que tienen permitido
navegar dentro de la organizacion, si es que existe algun conflicto con el computador,entre
otras.
3. Ejecutó

a. Solicito la información, visita ejecutó el tiempo o plan o cronograma, inicio y fin

Inicio Fin

Visita a la organización 25/08/2020 28/08/2020

Definición del alcance 10/09/2020 17/09/2020

Recoleccion de Informacion 17/09/2020 8/10/2020

Evaluación de los dominios 8/10/2020 8/11/2020

4. Proceso la información

a. Herramientas
NIvel de Madurez utilizando la herramienta excel ISO 27002 en la Municipalidad Distrital de
Sayan
De acuerdo al análisis realizado, siguiendo los procedimientos y normativas de la iso 27002
se ha llegado a la conclusión de que la organización tiene un nivel bajo en dominio de la
gestión de incidentes de seguridad, y una mayor madurez en el dominio 14.
Nivel de Cumplimiento utilizando la herramienta excel ISO 27002 en la Municipalidad
Distrital de Sayan
De acuerdo al análisis realizado, siguiendo los procedimientos y normativas de la iso 27002
se ha llegado a la conclusión de que la organización no cumple con la mayoría de dominios,
sin embargo para llegar a cumplir la mayoría de las mismas no se requiere un esfuerzo
especialmente grande, ya que en promedio no se cumplen por una puntuación faltante del
0.5 , lo cual claramente indica que con una mejora sería suficiente.
5. Emitir el informe

a.Describo lo no cumple y el estado madurez

De acuerdo a analisis realizado los siguientes dominios no no cumplen.

Dominio Estado de Madurez

2.67
Las políticas de seguridad de la información

3.25
Organización de la seguridad de la información

3.39
Seguridad relativa de los recursos humanos

3.05
Gestión de activos

3.48
Control de accesos

3.08
Criptografía

3.59
Seguridad física y del entorno

3.57
Seguridad de las operaciones

3.63
Seguridad de las comunicaciones

2.92
Relación con proveedores

2.26
Gestión de incidentes de seguridad de la información
 3.25
Aspectos de seguridad de la información en la gestión de
continuidad del negocio

3.08
Cumplimiento

b.Recomendaciones o plan de acción