Documente Academic
Documente Profesional
Documente Cultură
Descripción breve
Dominar los conceptos de la aplicación de las normas ISO 27002
Entender y las normas compuestas en una empresa y sus normas de seguridad.
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para
desarrollar, implementar y mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al
15), 39 objetivos de control y 133 controles.
A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de evaluar los controles de cada uno de
los dominios de la norma ISO 27002:
Seguridad del personal Medio Este conjunto de controles se enfoca en asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios.
Seguridad física y del entorno Medio Áreas seguras: Los servicios de procesamiento de información sensible deben estar
ubicados en áreas seguras y protegidas en un perímetro de seguridad definido por
barreras y controles de entrada, protegidas físicamente contra accesos no
autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas
físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura
del cableado.
Gestión de las comunicaciones y Bajo Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la
operaciones información, además de la operación correcta y segura de los recursos de tratamiento
de información, minimizando el riesgo de fallos en los sistemas y asegurando la
protección de la información en las redes y la protección de su infraestructura de
apoyo.
Control de accesos Bajo Controla los accesos a la información y los recursos de tratamiento de la información
en base a las necesidades de seguridad de la organización y las políticas para el control
de los accesos.
Desarrollo y mantenimiento de Bajo Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen
sistemas algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos
controles se determinan en función de los requisitos de seguridad y la estimación del
riesgo.
Gestión de incidentes de seguridad bajo Se establecen informes de los eventos y de los procedimientos realizados, todos los
de la información empleados, contratistas y terceros deben estar al tanto de los procedimientos para
informar de los diferentes tipos de eventos y debilidades que puedan tener impacto
en la seguridad de los activos de la organización.
Gestión de la continuidad del Bajo La seguridad de información debe ser una parte integral del plan general de
negocio continuidad del negocio (PCN) y de los demás procesos de gestión dentro de la
organización. El plan de gestión de la continuidad debe incluir el proceso de
evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.
Cumplimiento medio Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,
regulación u obligación contractual y de cualquier requisito de seguridad dentro y
fuera de la organización. Los requisitos legales específicos deberían ser advertidos por
los asesores legales de la organización o por profesionales del área. Además, se
deberían realizar revisiones regulares de la seguridad de los sistemas de información.
OBJETIVO DE LA AUDITORIA
Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma ISO 27002.
Revisar la situación actual de la empresa identificando las condiciones de seguridad de la información-
Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de seguridad de la información con base a la norma 27002.
ALCANCE DE LA AUDITORIA
La auditoría tiene como alcance el sistema de gestión de seguridad de la información relacionada con la empresa IEB, donde se analizaron
todos los requisitos bajo la norma ISO 27002, expuestos en el anexo de este documento.
RESULTADOS DE LA AUDITORIA
ASPECTOS CONFORMES
Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando con documentos que soportan la seguridad de
la información, al igual que las revisiones de estas.
La estructura organizativa para la seguridad se encuentra bien constituida en lo correspondiente a la organización interna y lo relacionado
con las terceras partes.
La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de la información.
Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se encuentran bien definidos y documentados, al igual
que la administración de los servicios de terceras partes, monitoreando y revisando sus servicios.
Los controles de seguridad contra software malicioso se encuentran bien soportados, empleando controles en las redes y seguridad de sus
servicios.
Se identifican sólidos controles de accesos, empleando políticas de control de accesos, registrando usuarios y administrando sus privilegios
y contraseñas. También se ejerce fuerte control de acceso a las redes, por medio de autenticación para usuarios con conexiones externas.
Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con la seguridad de la información; recolectando
evidencias y publicando las lecciones aprendidas.
ASPECTOS CONFORMES
Se logró evidenciar que no se encuentra bien definido un comité relacionado con la dirección sobre la seguridad de la información.
No se soporta los riesgos identificados por el acceso de terceras personas.
No se tienen claras las políticas de copias de seguridad de la información, donde posiblemente no se tenga soporte de estas.
Se pudo observar que no se posee un sistema de administración de contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.
OPORTUNIDADES DE MEJORA
ASPECTO OBSERVACIÓN
Estructura organizativa para la seguridad Se considera necesario que se conformen o se definan de manera más clara el comité de la dirección sobre
Organización Interna. seguridad de la información, esto permitirá una estructura organizativa más sólida para la empresa.
o Comité de la dirección sobre seguridad de
la información.
Estructura organizativa para la seguridad Se considera importante analizar los riesgos por parte de acceso de terceras partes, esto para garantizar la
Terceras Partes. solidez del esquema de seguridad de la información con una estructura organizativa mejor formada.
o Identificación de riesgos por el acceso de
terceras partes.
Gestión de comunicaciones y operaciones Se deben documentar y soportar las copias de seguridad, con el fin de obtener mejores prestaciones en la
Copias de seguridad. persistencia de los datos y obteniendo a su vez mejor gestión de comunicaciones y operaciones.
o Información de copias de seguridad.
Control de accesos Para garantizar la robustez de los controles de acceso, es necesario que se mejore el sistema de administración
Control de acceso al sistema operativo. de contraseñas; permitiéndole a los usuarios realizar cambios periódicos de estas garantizando la seguridad
o Sistema de administración de de los datos privados de la empresa.
contraseñas.
PLAN DE MEJORA SUGERIDO
FASE ACTIVIDADES MES
1 2 3 4 5
Análisis de la información Estructura organizativa para la seguridad
ISO 27002 Organización Interna.
o Comité de la dirección sobre seguridad de la información.
Estructura organizativa para la seguridad
Terceras Partes.
o Identificación de riesgos por el acceso de terceras partes.
Gestión de comunicaciones y operaciones
Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
Control de acceso al sistema operativo.
o Sistema de administración de contraseñas.
% de cumplimiento de la norma
Objetivos
Dominios Controles
de Control Orientación Descripción PD NC. D PO NC. O PC NC. C