GESTION Y SEGURIDAD DE BASES DE DATOS

Aplicación de la norma ISO 27002

Diego Alejandro Torres Correa

Instructor CESAR MANUEL CASTILLO RODRIGUEZ

SENA

AÑO 2019
Introducción
La norma ISO 27002 establece un catálogo de buenas prácticas que determina, desde la
experiencia, una serie de objetivos de control y controles que se integran dentro de todos los
requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.
Es fácil comprender la importancia de la norma ISO 27001 como Sistema de Gestión de Seguridad
de la Información. Sin embargo, es igual de importante el papel que ocupa dentro de todos los
requisitos de la norma ISO 27002 como guía de buenas prácticas para implantar controles y que
garantizarán la seguridad de la información gracias a sus recomendaciones.
La norma ISO 27002 se encuentra estructurada en 14 capítulos que describen las áreas que se
deben considerar para garantizar la seguridad de la información de las que se dispone. El
documento recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que
hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.
1. Políticas de Seguridad de la Información
2. Organización de la Seguridad de la Información
3. Seguridad relativa a los recursos humanos
4. Gestión de activos
5. Control de acceso
6. Criptografía
7. Seguridad física y del entorno
8. Seguridad de las operaciones
9. Seguridad de las comunicaciones
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información
11. Relación de proveedores
12. Gestión de incidentes de seguridad de la información
13. Aspectos de seguridad de la información para la gestión de la continuidad de negocio
14. Cumplimiento
Teniendo en cuenta la información anteriormente mencionada, se realiza una auditoría a una
institución educativa, allí se explora de acuerdo al cuadro informativo cada una de las
descripciones y si cumplen con los valores de seguridad de la información.
En dicha auditoria se evidencian varios puntos sólidos con relación a la norma, los cuales se
mencionarán a continuación:

 Cuenta con roles definidos en la empresa y estos mismos se ven reflejados en las políticas
de seguridad y en el sistema.
 Al tener todos los activos inventariados por sistema, es más sencillo llevar un control de
cada uno de los equipos y las personas que se hacen responsable de los mismos.
 El manejo biométrico para acceso a las oficinas ofrece un parte de control y seguridad
para evitar el acceso de personal no autorizado a los diferentes lugares de la empresa sin
previo aviso.
 Al contar con un formato de control de cambios, se evidencia las diferentes necesidades
y posibles dificultades que se puedan presentar en cualquier actualización, cambio o
ejecución de un proceso.
 Al contar con una solución de Sophos, tienen control de las páginas que visitan los
empleados, además de bloquear sitios de riesgo para la institución. Evitando que los
usuarios puedan ingresar a descargar información maliciosa, que ponga en riesgo la
integridad de los equipos de trabajo. Esto también aplica a que solo con los respectivos
permisos pueden realizar la descarga e instalación de software que no está dentro de los
lineamientos iniciales de la empresa.
 Cuentan con un plan de Backup donde de acuerdo a la norma, se generan copias de
seguridad progresivas, se realizan 3 veces al día a los diferentes aplicativos y bases de
datos, los cuales son almacenamos por un mes en la nube de Amazon. También se cuenta
con un backup semanal de todas las soluciones.
 Se cuenta con el monitoreo de servicios tercerizado, por lo cual se cuenta con un respaldo
y acompañamiento 24/7 garantizando un 99.8% de conectividad y estabilidad en los
servicios informáticos.
 El manejo de la información por parte de los usuarios (usuarios y contraseñas) se tienen
diligenciados a través de un Single sign on que va ligado a un directorio activo que se
soporta bajo el correo institucional de Office 365.
 Al momento de salir algún usuario de la empresa, se solicita la inactivación inmediata de
todos los accesos y servicios, para evitar que se filtre información o se realice algún uso
indebido de la misma.

Aspectos en los que se encontró falencia:

 Comité de la dirección sobre seguridad de la información

 Contacto con grupos de interés
 Controles de procesamiento interno
Con el fin de fortalecer las anteriores falencias encontradas, se realiza un plan de mejora, con el
fin de solventar esto y tener un mejoramiento continuo en los procesos.
 Aspecto Mejora
Comité de la dirección sobre seguridad de la Al no contar con un comité de dirección, se
información requiere conformar uno, donde se puedan
definir de manera correcta las políticas de
seguridad de la información, mejor manejo de
los aspectos de la Norma y en especial, que
velen por los diferentes aspectos que generan
algún riesgo.
Contacto con grupos de interés Se requiere que exista un grupo de interés,
donde no solo participen los trabajadores del
grupo de TI, sino también alguno de los
líderes de los procesos, para que puedan
aportar desde su conocimiento a reducir los
riesgos y se pueda cumplir las diferentes
políticas de seguridad de la institución.
Controles de procesamiento interno Se requiere llevar un control interno de los
diferentes desarrollos y mantenimientos del
sistema, esto con el fin de reducir los errores
o desvíos de datos que pueda presentar la
empresa.

En conclusión, la empresa cuenta con una buena adaptación de la norma ISO 27002, reduce al
máximo los riesgos y cuenta con buenas políticas definidas.
Las acciones de mejora serán compartidas con las respectivas áreas y serán evaluadas por los
líderes procesos, esto como alternativa de reducción de riesgos.