SERVICIO NACIONAL DE APRENDIZAJE

Especialización Tecnológica en Gestión y Seguridad de Bases

de Datos

APLICACIÓN DE LA NORMA ISO 27002

INSTRUCTORA TÉCNICA MARIA ANDREA SALCEDO HERNANDEZ

APRENDIZ: IVAN ENRIQUE CALDAS PLATICON

ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE

DATOS

SEPTIEMBRE 2019

1
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

Tabla de Contenido

1. INTRODUCCIÓN ................................................................................................................................. 3
2. OBJETIVO GENERAL.................................................................................................................... 4
2.1 Objetivo Especificos ................................................................................................................... 4
3. MARCO CONCEPTUAL…………………………………………………………………………………………………………………4

3.1 Aspectos Auditados.…………………………………………………………………………………………………………………5

3.2 Aspectos a Mejorar…………………………………………………………………………………………………………………..5

4. PLANILLA ISO_ 27002………………………………………………………………………………………………………………….6

4.1. OPORTUNIDADES DE MEJORA ........................................................................................................ 10

4.2. Plan Sugerido ................................................................................................................................ 10
5. BIBLIOGRAFÍA................................................................................................................................... 11

2
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

1. INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles.

Donde contamos con la Política de seguridad, la cual proporcionan la guía y apoyo

de la dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes. Más la Estructura organizativa para la seguridad
son los controles que gestionan la seguridad de la información dentro de la
Organización también sabemos que la Clasificación y control de activos estos
controles pretenden alcanzar y mantener una protección adecuada de los activos
de la organización es importante la Seguridad del personal porque son los controles
que se enfocan en asegurar que los empleados, contratistas y usuarios de terceras
partes entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.

Seguridad física y del entorno debe ser una Áreas seguras para Los servicios de
procesamiento de información sensible deben estar ubicados en áreas seguras y
protegidas en un perímetro de seguridad definido por barreras y controles de
entrada, protegidas físicamente contra accesos no autorizados. Seguridad de los
equipos: se enfoca en los controles de protección contra amenazas físicas y para

3
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

salvaguardar servicios de apoyo como energía eléctrica e infraestructura del

cableado.

Gestión de las comunicaciones y operaciones Procura asegurar, implementar y

mantener un nivel apropiado de seguridad de la información entre otras gestiones
más que aportaran al buen manejo de la información

2. OBJETIVO GENERAL
Analizar la situación de una empresa real argumentando condiciones de seguridad
de la información de la institución educativa el hormiguero

2.1 Objetivo específicos:

 Evaluar la conformidad del sistema de gestión de seguridad de la información
regido bajo la norma ISO 27002.
 Revisar la situación actual de la empresa identificando las condiciones de
seguridad de la información
 Proponer un plan de mejora con base a los hallazgos encontrados en el
contexto de seguridad de la información con base a la norma 27002.

3. MARCO CONCEPTUAL
3.1. ASPECTOS AUDITADOS
 Se pudo identificar que la empresa cuenta con una política de seguridad
sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.
 La estructura organizativa para la seguridad se encuentra bien constituida en
lo correspondiente a la organización interna y lo relacionado con las terceras
partes.
 La empresa cuenta con el inventario de los activos que posee, sus
propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de la
información.

4
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

 Durante la auditoria se pudo identificar que los procedimientos y

responsabilidades se encuentran bien definidos y documentados, al igual que
la administración de los servicios de terceras partes, monitoreando y
revisando sus servicios.
 Los controles de seguridad contra software malicioso se encuentran bien
soportados, empleando controles en las redes y seguridad de sus servicios.
 Se identifican sólidos controles de accesos, empleando políticas de control
de accesos, registrando usuarios y administrando sus privilegios y
contraseñas. También se ejerce fuerte control de acceso a las redes, por
medio de autenticación para usuarios con conexiones externas.
 Se registran procedimientos, reportes y procedimientos de los incidentes
relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.
3.2. ASPECTOS PARA MEJORAR
 Se logró evidenciar que no se encuentra bien definido un comité relacionado
con la dirección sobre la seguridad de la información.
 No se soporta los riesgos identificados por el acceso de terceras personas.
 No se tienen claras las políticas de copias de seguridad de la información,
donde posiblemente no se tenga soporte de estas.
 Se pudo observar que no se posee un sistema de administración de
contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.

5
 4. PLANILLA- ISO- 27002

ANALIS DE LA EMPRESA

Objetivos % de cumplimiento de la norma

Dominios de Controles NC.
Control Orientación Descripción PD NC. D PO NC. O PC Escala
C
1 2 Política de Seguridad 1.5 100 100
2 Política de Seguridad de la Información 100 100
5
1 1 Debe Documento de la política de seguridad de la información 50 100 100
2 Debe Revisión de la política de seguridad de la información 50 100 100
2 11 Estructura organizativa para la seguridad 8.27 80.91 100
8 Organización Interna 72.73 61.82
1 Debe Comité de la dirección sobre seguridad de la información 9.09 30 30
2 Debe Coordinación de la seguridad de la información 9.09 90 90
Asignación de responsabilidades para la de seguridad de la
3 Debe información 9.09 100 100
1 Proceso de autorización para instalaciones de
4 Debe procesamiento de información 9.09 100 100
6 5 Debe Acuerdos de confidencialidad 9.09 100 100
6 Puede Contacto con autoridades 9.09 80 80
7 Puede Contacto con grupos de interés 9.09 100 100
8 Puede Revisión independiente de la seguridad de la información 9.09 80 80
3 Terceras partes 27.27 19.09
1 Debe Identificación de riesgos por el acceso de terceras partes 9.09 50 50
2
2 Debe Temas de seguridad a tratar con clientes 9.09 80 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9.09 80 80
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases de Datos

Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD PO NC. O PC Escala
D C
Control
2 5 Clasificación y control de activos 3.76 100 100
3 Responsabilidad sobre los activos 60 60
1 Debe Inventario de activos 20 100 100
1
2 Debe Propietario de activos 20 100 100
7
3 Debe Uso aceptable de los activos 20 100 100
2 Clasificación de la información 40 40
2 1 Debe Guías de clasificación 20 100 100
2 Debe Etiquetado y manejo de la información 20 100 100
10 32 Gestión de comunicaciones y operaciones 24.06 33.5 100
4 Procedimientos operacionales y responsabilidades 12.5 11.25
1 Debe Procedimientos de operación documentados 3.125 100 100
1 2 Debe Control de cambios 3.125 100 100
3 Debe Separación de funciones 3.125 80 80
4 Debe Separación de las instalaciones de desarrollo y producción 3.125 80 80
3 Administración de servicios de terceras partes 9.38 8.13
1 Puede Entrega de servicios 3.12 100 100
2
10 2 Puede Monitoreo y revisión de servicios de terceros 3.12 80 80
3 Puede Manejo de cambios a servicios de terceros 3.12 80 80
2 Protección contra software malicioso y móvil 6.25 6.25
4 1 Debe Controles contra software malicioso 3.125 100 100
2 Debe Controles contra código móvil 3.125 100 100
1 Copias de seguridad 3.13 1.57
5
1 Debe Información de copias de seguridad 3.13 50 50
2 Administración de la seguridad en redes 6.25 6.25
6
1 Debe Controles de redes 3.125 100 100

1
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases de Datos

2 Debe Seguridad de los servicios de red 3.125 100 100

Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO PC Escala
O C
Control
7 25 Control de accesos 18.8 96.4 100
1 Requisitos de negocio para el control de acceso 4 4
1
1 Debe Política de control de accesos 4 100 100
4 Administración de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100 100
2 2 Debe Administración de privilegios 4 100 100
3 Debe Administración de contraseñas 4 100 100
4 Debe Revisión de los derechos de acceso de usuario 4 100 100
3 Responsabilidades de los usuarios 12 12
1 Debe Uso de contraseñas 4 100 100
3
2 Puede Equipos de cómputo de usuario desatendidos 4 100 100
3 Puede Política de escritorios y pantallas limpias 4 100 100
11
7 Control de acceso a redes 28 28
1 Debe Política de uso de los servicios de red 4 100 100
2 Puede Autenticación de usuarios para conexiones externas 4 100 100
3 Puede Identificación de equipos en la red 4 100 100
4
4 Debe Administración remota y protección de puertos 4 100 100
5 Puede Segmentación de redes 4 100 100
6 Debe Control de conexión a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al 2istema operativo 24 20.4
1 Debe Procedimientos seguros de Log-on en el sistema 4 80 80
5
2 Debe Identificación y autenticación de los usuarios 4 100 100
3 Debe Sistema de administración de contraseñas 4 30

2
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases de Datos

4 Puede Uso de utilidades de sistema 4 100 100

5 Debe Inactividad de la sesión 4 100 100
6 Puede Limitación del tiempo de conexión 4 100 100
2 Control de acceso a las aplicaciones y la información 8 8
6 1 Puede Restricción del acceso a la información 4 100 100
2 Puede Aislamiento de sistemas sensibles 4 100 100
2 Ordenadores portátiles y teletrabajo 8 8
7 1 Puede Ordenadores portátiles y comunicaciones moviles 4 100 100
2 Puede Teletrabajo 4 100 100

Objetivos
NC. NC.
Dominios de Controles Orientación Descripción PD NC. D PO PC Escala
O C
Control
2 5 Gestión de incidentes de la seguridad de la información 3.76 100 100
2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13 Gestión de incidentes y mejoramiento de la seguridad de la
3 información 60 60

2 1 Debe Procedimientos y responsabilidades 20 100 100

2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100

3
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

4.1. OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN
Estructura organizativa para la Se considera necesario que se
seguridad conformen o se definan de manera más
 Organization Interna. clara el comité de la dirección sobre
o Comité de la direcciónseguridad de la información, esto
sobre seguridad de lapermitirá una Estructura organizativa
información. más sólida para la empresa.
Estructura organizativa para la Se considera importante analizar los
seguridad riesgos por parte de acceso de terceras
 Terceras Partes. partes, esto para garantizar la solidez
o Identificación del esquema de seguridad de la
de
información con una Estructura
riesgos por el acceso de
terceras partes. organizativa mejor formada.
Gestión de comunicaciones y Se deben documentar y soportar las
operaciones copias de seguridad, con el fin de
 Copias de seguridad. obtener mejores prestaciones en la
o Información de copias persistencia de los datos y obteniendo
de seguridad. a su vez mejor gestión de
comunicaciones y operaciones.
Control de accesos Para garantizar la robustez de los
 Control de acceso al sistema controles de acceso, es necesario que
operativo. se mejore el sistema de administración
o Sistema de de contraseñas; permitiéndole a los
administración de usuarios realizar cambios periódicos de
contraseñas. estas garantizando la seguridad de los
datos privados de la empresa.

4.2. PLAN DE MEJORA SUGERIDO

MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
 Organización Interna.
Análisis de la
o Comité de la dirección sobre seguridad de
información
la información.
ISO 27002
Estructura organizativa para la seguridad
 Terceras Partes.

4
 SERVICIO NACIONAL DE APRENDIZAJE
Especialización Tecnológica en Gestión y Seguridad de Bases
de Datos

o Identificación de riesgos por el acceso de

terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de
contraseñas.

5. BIBLIOGRAFÍA
 Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA ISO 27002.
Recuperado de http://www.senasofiaplus.edu.co
 Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de Gestión de
Seguridad de la Información ISO/IEC 27001:2013. Recuperado de
http://es.presidencia.gov.co