AA1-E5-APLICACIÓN DE LA NORMA ISO 27002

AA1-E5-APLICACIÓN DE LA NORMA ISO 27002

Descripción breve
Dominar los conceptos de la aplicación de las normas ISO 27002
Entender y las normas compuestas en una empresa y sus normas de seguridad.
 INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para
desarrollar, implementar y mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al
15), 39 objetivos de control y 133 controles.

A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de evaluar los controles de cada uno de
los dominios de la norma ISO 27002:

DOMINIO ESCALA DE CUMPLIMIENTO DEFINICION

DE CONTROL
Política de seguridad bajo Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la
información en relación a los requisitos del negocio y regulaciones relevantes.
Estructura organizativa para la bajo Organización interna: estos controles gestionan la seguridad de la información dentro
seguridad: de la Organización. El órgano de dirección debe aprobar la política de seguridad de la
información, asignando los roles de seguridad y coordinando la implantación de la
seguridad en toda la Organización.
Terceras partes: estos controles velan por mantener la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización.
Clasificación y control de activos:
Seguridad del personal
Seguridad física y del entorno
Gestión de las comunicaciones y
operaciones
Medio Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una
protección adecuada de los activos de la organización. Clasificación y control de de la
información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.
Medio Este conjunto de controles se enfoca en asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios.
Medio Áreas seguras: Los servicios de procesamiento de información sensible deben estar
ubicados en áreas seguras y protegidas en un perímetro de seguridad definido por
barreras y controles de entrada, protegidas físicamente contra accesos no
autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas
físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura
del cableado.
Bajo Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la
información, además de la operación correcta y segura de los recursos de tratamiento
de información, minimizando el riesgo de fallos en los sistemas y asegurando la
 protección de la información en las redes y la protección de su infraestructura de
apoyo.

Control de accesos Bajo Controla los accesos a la información y los recursos de tratamiento de la información
en base a las necesidades de seguridad de la organización y las políticas para el control
de los accesos.

Desarrollo y mantenimiento de Bajo Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen
sistemas algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos
controles se determinan en función de los requisitos de seguridad y la estimación del
riesgo.

Gestión de incidentes de seguridad bajo Se establecen informes de los eventos y de los procedimientos realizados, todos los
de la información empleados, contratistas y terceros deben estar al tanto de los procedimientos para
informar de los diferentes tipos de eventos y debilidades que puedan tener impacto
en la seguridad de los activos de la organización.

Gestión de la continuidad del Bajo La seguridad de información debe ser una parte integral del plan general de
negocio continuidad del negocio (PCN) y de los demás procesos de gestión dentro de la
organización. El plan de gestión de la continuidad debe incluir el proceso de
evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.
 Cumplimiento medio Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,
regulación u obligación contractual y de cualquier requisito de seguridad dentro y
fuera de la organización. Los requisitos legales específicos deberían ser advertidos por
los asesores legales de la organización o por profesionales del área. Además, se
deberían realizar revisiones regulares de la seguridad de los sistemas de información.

OBJETIVO DE LA AUDITORIA
 Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma ISO 27002.
 Revisar la situación actual de la empresa identificando las condiciones de seguridad de la información-
 Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de seguridad de la información con base a la norma 27002.

ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la información relacionada con la empresa IEB, donde se analizaron
todos los requisitos bajo la norma ISO 27002, expuestos en el anexo de este documento.
 RESULTADOS DE LA AUDITORIA
ASPECTOS CONFORMES

 Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando con documentos que soportan la seguridad de
la información, al igual que las revisiones de estas.
 La estructura organizativa para la seguridad se encuentra bien constituida en lo correspondiente a la organización interna y lo relacionado
con las terceras partes.
 La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de la información.
 Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se encuentran bien definidos y documentados, al igual
que la administración de los servicios de terceras partes, monitoreando y revisando sus servicios.
 Los controles de seguridad contra software malicioso se encuentran bien soportados, empleando controles en las redes y seguridad de sus
servicios.
 Se identifican sólidos controles de accesos, empleando políticas de control de accesos, registrando usuarios y administrando sus privilegios
y contraseñas. También se ejerce fuerte control de acceso a las redes, por medio de autenticación para usuarios con conexiones externas.
 Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con la seguridad de la información; recolectando
evidencias y publicando las lecciones aprendidas.

ASPECTOS CONFORMES

 Se logró evidenciar que no se encuentra bien definido un comité relacionado con la dirección sobre la seguridad de la información.
 No se soporta los riesgos identificados por el acceso de terceras personas.
  No se tienen claras las políticas de copias de seguridad de la información, donde posiblemente no se tenga soporte de estas.
 Se pudo observar que no se posee un sistema de administración de contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.

OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN

Estructura organizativa para la seguridad Se considera necesario que se conformen o se definan de manera más clara el comité de la dirección sobre
 Organización Interna. seguridad de la información, esto permitirá una estructura organizativa más sólida para la empresa.
o Comité de la dirección sobre seguridad de
la información.

Estructura organizativa para la seguridad Se considera importante analizar los riesgos por parte de acceso de terceras partes, esto para garantizar la
 Terceras Partes. solidez del esquema de seguridad de la información con una estructura organizativa mejor formada.
o Identificación de riesgos por el acceso de
terceras partes.

Gestión de comunicaciones y operaciones Se deben documentar y soportar las copias de seguridad, con el fin de obtener mejores prestaciones en la
 Copias de seguridad. persistencia de los datos y obteniendo a su vez mejor gestión de comunicaciones y operaciones.
o Información de copias de seguridad.

Control de accesos Para garantizar la robustez de los controles de acceso, es necesario que se mejore el sistema de administración
 Control de acceso al sistema operativo. de contraseñas; permitiéndole a los usuarios realizar cambios periódicos de estas garantizando la seguridad
o Sistema de administración de de los datos privados de la empresa.
contraseñas.
 PLAN DE MEJORA SUGERIDO
FASE ACTIVIDADES MES
1 2 3 4 5
Análisis de la información Estructura organizativa para la seguridad
ISO 27002  Organización Interna.
o Comité de la dirección sobre seguridad de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
o Identificación de riesgos por el acceso de terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de contraseñas.
 % de cumplimiento de la norma
Objetivos
Dominios Controles
de Control Orientación Descripción PD NC. D PO NC. O PC NC. C

1 2 Política de Seguridad 1,5 100 100

2 Política de Seguridad de la Información 100 100
5
1 1 Debe Documento de la política de seguridad de la información 50 100
2 Debe Revisión de la política de seguridad de la información 50 100
2 11 Estructura organizativa para la seguridad 8,27 80.91 100
8 Organización Interna 72,73 61.82
1 Debe Comité de la dirección sobre seguridad de la información 9,09 30
2 Debe Coordinación de la seguridad de la información 9,09 90
3 Debe Asignación de responsabilidades para la de seguridad de la información 9,09 100
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información 9,09 100
5 Debe Acuerdos de confidencialidad 9,09 100
6
6 Puede Contacto con autoridades 9,09 80
7 Puede Contacto con grupos de interés 9,09 100
8 Puede Revisión independiente de la seguridad de la información 9,09 80
3 Terceras partes 27,27 19.09
1 Debe Identificación de riesgos por el acceso de terceras partes 9,09 50
2
2 Debe Temas de seguridad a tratar con clientes 9,09 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9,09 80
 Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
10 32 Gestión de comunicaciones y operaciones 24,06 33,5 100
4 Procedimientos operacionales y responsabilidades 12,5 11,25
1 Debe Procedimientos de operación documentados 3,125 100 100
1 2 Debe Control de cambios 3,125 100 100
3 Debe Separación de funciones 3,125 80 80
4 Debe Separación de las instalaciones de desarrollo y producción 3,125 80 80
3 Administración de servicios de terceras partes 9,38 8,13
1 Puede Entrega de servicios 3,12 100 100
2
2 Puede Monitoreo y revisión de servicios de terceros 3,12 80 80
3 Puede Manejo de cambios a servicios de terceros 3,12 80 80
2 Planificación y aceptación del sistema 6,25 6,25
3 1 Debe Planificación de la capacidad 3,125 100 100
2 Debe Aceptación del sistema 3,125 100 100
10 2 Protección contra software malicioso y móvil 6,25 6,25
4 1 Debe Controles contra software malicioso 3,125 100 100
2 Debe Controles contra código móvil 3,125 100 100
1 Copias de seguridad 3,13 1,57
5
1 Debe Información de copias de seguridad 3,13 50 50
2 Administración de la seguridad en redes 6,25 6,25
6 1 Debe Controles de redes 3,125 100 100
2 Debe Seguridad de los servicios de red 3,125 100 100
4 Manejo de medios de soporte 12,5 12,5
1 Debe Administración de los medios de computación removibles 3,125 100 100
7 2 Debe Eliminación de medios 3,125 100 100
3 Debe Procedimientos para el manejo de la información 3,125 100 100
4 Debe Seguridad de la documentación del sistema 3,125 100 100
8 5 Intercambio de información 15,63 15,63
 1 Debe Políticas y procedimientos para el intercambio de información 3,126 100 100
2 Puede Acuerdos de intercambio 3,126 100 100
3 Puede Medios físicos en transito 3,126 100 100
4 Puede Mensajes electrónicos 3,126 100 100
5 Puede Sistemas de información del negocio 3,126 100 100
3 Servicios de comercio electronico 9,38 9,38
1 Puede Comercio electronico 3,126 90 90
9
2 Puede Transacciones en línea 3,126 100 100
3 Puede Información públicamente disponible 3,126 100 100
6 Monitoreo y supervisión 18,75 18,75
1 Debe Logs de auditoria 3,126 100 100
2 Debe Monitoreo de uso de sistema 3,126 100 100
10 3 Debe Protección de los logs 3,126 100 100
4 Debe Registro de actividades de administrador y operador del sistema 3,126 100 100
5 Debe Fallas de login 3,126 80 80
6 Puede Sincronización del reloj 3,126 90 90
 Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
7 25 Control de accesos 18,8 96.4 100
1 Requisitos de negocio para el control de acceso 4 4
1
1 Debe Política de control de accesos 4 100 100
4 Administración de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100 100
2 2 Debe Administración de privilegios 4 100 100
3 Debe Administración de contraseñas 4 100 100
4 Debe Revisión de los derechos de acceso de usuario 4 100 100
3 Responsabilidades de los usuarios 12 12
1 Debe Uso de contraseñas 4 100 100
3
2 Puede Equipos de cómputo de usuario desatendidos 4 100 100
3 Puede Política de escritorios y pantallas limpias 4 100 100
7 Control de acceso a redes 28 28
1 Debe Política de uso de los servicios de red 4 100 100
2 Puede Autenticación de usuarios para conexiones externas 4 100 100
3 Puede Identificación de equipos en la red 4 100 100
11 4
4 Debe Administración remota y protección de puertos 4 100 100
5 Puede Segmentación de redes 4 100 100
6 Debe Control de conexión a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al sistema operativo 24 20,4
1 Debe Procedimientos seguros de Log-on en el sistema 4 80 80
2 Debe Identificación y autenticación de los usuarios 4 100 100
5 3 Debe Sistema de administración de contraseñas 4 30 30
4 Puede Uso de utilidades de sistema 4 100 100
5 Debe Inactividad de la sesión 4 100 100
6 Puede Limitación del tiempo de conexión 4 100 100
2 Control de acceso a las aplicaciones y la información 8 8
6 1 Puede Restricción del acceso a la información 4 100 100
2 Puede Aislamiento de sistemas sensibles 4 100 100
2 Ordenadores portátiles y teletrabajo 8 8
7
1 Puede Ordenadores portátiles y comunicaciones moviles 4 100 100
2 Puede Teletrabajo 4 100 100