AA1-5: Aplicación de la norma ISO 27002

POR:

Diana Marcela Tilano Zapata

Instructora:

Angélica María Otálvaro

Programa: Especialización Tecnológica Gestión y Seguridad de Base de Datos

Centro de Comercio y Turismo - Regional Quindío

2019
La Norma ISO 27002 hace parte del conjunto de Normas que conforman la serie ISO/IEC 27000 en las que se
reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de seguridad de
información. La Norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles.

A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de
evaluar los controles de cada uno de los dominios de la Norma ISO 27002:

 Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la seguridad
de la información en relación a los requisitos del negocio y regulaciones relevantes.

Estructura organizativa para la seguridad

 Organización interna: estos controles gestionan la seguridad de la información dentro de la
Organización. El órgano de dirección debe aprobar la política de seguridad de la información,
asignando los roles de seguridad y coordinando la implantación de la seguridad en toda la
Organización.
  Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de
la información y de los activos de información de la organización.

Clasificación y control de activos

 Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección
adecuada de los activos de la organización.
 Clasificación y control de la información: la información se encuentra clasificada para indicar las
necesidades, prioridades y nivel de protección previsto para su tratamiento.

Seguridad del personal

Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo,
fraude y mal uso de las instalaciones y medios.

Seguridad fisica y del entorno

 Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en
áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada,
protegidas físicamente contra accesos no autorizados.
 Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.

Gestión de las comunicaciones y operaciones

Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información, además de la

operación correcta y segura de los recursos de tratamiento de información, minimizando el riesgo de fallos en
los sistemas y asegurando la protección de la información en las redes y la protección de su infraestructura de
apoyo.

Control de accesos

Controla los accesos a la información y los recursos de tratamiento de la información en base a las necesidades
de seguridad de la organización y las políticas para el control de los accesos.
 Desarrollo y mantenimiento de sistemas

Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún efecto en activos
de información de carácter sensible, valioso o crítico. Dichos controles se determinan en función de los requisitos
de seguridad y la estimación del riesgo.

Gestión de incidentes de seguridad de la información

Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratistas y
terceros deben estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades
que puedan tener impacto en la seguridad de los activos de la organizacion.

Gestión de la continuidad del negocio

La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN) y
de los demás procesos de gestión dentro de la organización. El plan de gestión de la continuidad debe incluir
el proceso de evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.

Cumplimiento

Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contractual
y de cualquier requisito de seguridad dentro y fuera de la organización. Los requisitos legales específicos
deberían ser advertidos por los asesores legales de la organización o por profesionales del área. Además se
deberían realizar revisiones regulares de la seguridad de los sistemas de información.
 OBJETIVO DE LA AUDITORIA

 Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma
ISO 27002.
 Revisar la situación actual de la empresa identificando las condiciones de seguridad de la información-
 Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de seguridad de la
información con base a la norma 27002.

ALCANCE DE LA AUDITORIA

La auditoria tiene como alcance el sistema de gestión de seguridad de la información relacionada con la
empresa IEB, donde se analizaron todos los requisitos bajo la norma ISO 27002, expuestos en el anexo de
este documento.

RESULTADOS DE LA AUDITORIA

ASPECTOS CONFORMES

 Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando con
documentos que soportan la seguridad de la información, al igual que las revisiones de estas.
 La estructura organizativa para la seguridad se encuentra bien constituida en lo correspondiente a la
organización interna y lo relacionado con las terceras partes.
 La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso aceptable.
Además cuenta con una clasificación organizada, incluyendo las guías de clasificación, etiquetado y
manejo de la información.
 Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se encuentran bien
definidos y documentados, al igual que la administración de los servicios de terceras partes,
monitoreando y revisando sus servicios.
 Los controles de seguridad contra software malicioso se encuentran bien soportados, empleando
controles en las redes y seguridad de sus servicios.
 Se identifican sólidos controles de accesos, empleando políticas de control de accesos, registrando
usuarios y administrando sus privilegios y contraseñas. También se ejerce fuerte control de acceso a
las redes, por medio de autenticación para usuarios con conexiones externas.
 Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con la seguridad
de la información; recolectando evidencias y publicando las lecciones aprendidas.
ASPECTOS CONFORMES

 Se logró evidenciar que no se encuentra bien definido un comité relacionado con la dirección sobre la
seguridad de la información.
 No se soporta los riesgos identificados por el acceso de terceras personas.
 No se tienen claras las políticas de copias de seguridad de la información, donde posiblemente no se
tenga soporte de estas.
 Se pudo observar que no se posee un sistema de administración de contraseñas, no se exigen
controles adicionales para el cambio de estas luego de un lapso determinado de tiempo.

OPORTUNIDADES DE MEJORA

ASPECTO
Estructura organizativa para la seguridad
 Organización Interna.
o Comité de la dirección sobre
seguridad de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
o Identificación de riesgos por el acceso
de terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de
contraseñas.
OBSERVACIÓN
Se considera necesario que se conformen o se definan de
manera más clara el comité de la dirección sobre
seguridad de la información, esto permitirá una
estructura organizativa más sólida para la empresa.
Se considera importante analizar los riesgos por parte de
acceso de terceras partes, esto para garantizar la solidez
del esquema de seguridad de la información con una
estructura organizativa mejor formada.
Se deben documentar y soportar las copias de seguridad,
con el fin de obtener mejores prestaciones en la
persistencia de los datos y obteniendo a su vez mejor
gestión de comunicaciones y operaciones.
Para garantizar la robustez de los controles de acceso, es
necesario que se mejore el sistema de administración de
contraseñas; permitiéndole a los usuarios realizar
cambios periódicos de estas garantizando la seguridad de
los datos privados de la empresa.
 PLAN DE MEJORA SUGERIDO

MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
 Organización Interna.
o Comité de la dirección sobre seguridad de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
Análisis de la información o Identificación de riesgos por el acceso de terceras partes.
ISO 27002 Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de contraseñas.
RESULTADOS DE AUDITORIA
 BIBLIOGRAFIA

https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/

http://www.senasofiaplus.edu.co