ESPECIALIZACIÓN TECNOLOGICA

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

APLICACIÓN DE LA NORMA ISO 27002

INSTRUCTORA: INGRID CATERINE RAMIREZ ALDANA

PRESENTADO POR: MARIA AZUCENA ATUESTA GAMEZ

SERVICIO NACIONAL DE APRENDIZAJE

CENTRO PARA LA INDUSTRIA DE LA COMUNICACIÓN GRÁFICA CENIGRAF
BOGOTA D.C.
2019

Introducción
 La seguridad Informática y de la información es un concepto de vital importancia
para todas las empresas, esto tiene como propósito proteger la información propia, de clientes
y terceros que cada vez es un proceso relevante para toda organización.

La ISO 27001 es una norma internacional emitida por la organización internacional

de normalización y describe cómo gestionar la seguridad de la información en una empresa.
El eje central de esta norma es proteger la confidencialidad, integridad y disponibilidad de la
información, esto lo hacen investigando cuales son los posibles riesgos a los que está
expuesta la información y luego definiendo estrategias para reducir el riesgo tratándolos
sistemáticamente.

La ultima actualización de la esta norma fue en el 2013 con la ISO 27002, donde
básicamente se extienden los dominios de control se compone de 11 dominios (del 5 al 15),
39 objetivos de control y 133 controles.

En el presente proyecto se pretende revisar el cumplimiento de un sistema de

gestión y las policías de seguridad de la información de acuerdo a la norma estandarizada
ISO 27002:2013 en la Secretaria de Desarrollo Humano de la Alcaldía Municipal de
Ocaña-norte de Santander.

Objetivo General
 Aplicar los estándares establecidas en la Norma Iso 27002 para verificar el
cumplimiento de los protocolos en la seguridad de la información en la secretaria de
Desarrollo Humano de la Alcaldía Municipal de Ocaña.

Objetivos Específicos

 Verificar las condiciones de seguridad de la información implementadas

actualmente.

 Aplicar la plantilla establecida para evaluar los 11 dominios establecidos en

la norma ISO 27002.

 Proponer un plan de mejoramiento de acuerdo a las acciones que se

encuentran por debajo del 70% de cumplimiento.

Alcance
 En la Secretaria de Desarrollo Humano de la Alcaldia Municipal de Ocaña se busca
implementar la auditoria en su “SGSI” Sistema de Gestión de seguridad de la información,
aplicando la plantilla establecida por la Norma Iso 27002, que cuenta con 11 dominios los
cuales se le asignaran puntuación de acuerdo al cumplimiento, y aquellos que estén por
debajo del 70% se le presentaran propuestas de mejoras que ayuden al cumplimiento y
generar seguridad en la información

Resultados De La Auditoria
 ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000
en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas
de gestión de seguridad de información.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles; que están distribuidos como se observa en la siguiente estructura:

A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:

5. Política de seguridad

Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la

información en relación a los requisitos del negocio y regulaciones relevantes.

6. Estructura organizativa para la seguridad

"Organización interna: estos controles gestionan la seguridad de la información dentro de la

Organización. El órgano de dirección debe aprobar la

política de seguridad de la información, asignando los roles de seguridad y coordinando la

implantación de la seguridad en toda la Organización."
"Terceras partes: estos controles velan por mantener la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización."

7. Clasificación y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una
protección adecuada de los activos de la organización.

"Clasificación y control de la información: la información se encuentra clasificada para

indicar las necesidades, prioridades y nivel de protección previsto para su tratamiento."

8. Seguridad del personal

"Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios
de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios."

9. Seguridad fisica y del entorno

"Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados
en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles
de entrada, protegidas físicamente contra accesos no autorizados.

Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y
para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado."

10. Gestión de las comunicaciones y operaciones

"Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la

información, además de la operación correcta y segura de los recursos de tratamiento de
información, minimizando el riesgo de fallos en los sistemas y asegurando la protección de
la información en las redes y la protección de su infraestructura de apoyo."

11. Control de accesos

Controla los accesos a la información y los recursos de tratamiento de la información en base

a las necesidades de seguridad de la organización y las políticas para el control de los accesos.

12. Desarrollo y mantenimiento de sistemas

Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún
efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.

13. Gestión de incidentes de seguridad de la información

"Se establecen informes de los eventos y de los procedimientos realizados, todos los
empleados, contratistas y terceros deben estar al tanto de los procedimientos para informar
de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de
los activos de la organizacion."

14. Gestión de la continuidad del negocio

La seguridad de información debe ser una parte integral del plan general de continuidad del
negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de
gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.

“Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u

obligación contractual y de cualquier requisito de seguridad dentro y fuera de la organización.
Los requisitos legales específicos deberían ser advertidos por los asesores legales de la
organización o por profesionales del área. Además se deberían realizar revisiones regulares
de la seguridad de los sistemas de información."

Aplicación de plantilla Iso 27002

 Objetivo % de cumplimiento de la norma
Dominio Controle
s de
s s Orientació NC. NC. Escal
Control Descripción PD PO PC NC. C
n D O a

1
2 Política de Seguridad 1,5 100 100

2 Política de Seguridad de la Información 100 100

5 Documento de la política de seguridad de
1 Debe 50 100 100
1 la información
Revisión de la política de seguridad de la
2 Debe información 50 100 100
78,
2
11 Estructura organizativa para la seguridad 8,27 18 100
52,
8 Organización Interna 72,73 73
Comité de la dirección sobre seguridad de
1 Debe la información 9,09 30 30
Coordinación de la seguridad de la
2 Debe información 9,09 90 90
Asignación de responsabilidades para la de
3 Debe seguridad de la información 9,09 100 100
1 Proceso de autorización para instalaciones
4 Debe de procesamiento de información 9,09 100 100

5 Debe Acuerdos de confidencialidad 9,09 1OO 1OO

6
6 Puede Contacto con autoridades 9,09 90 90

7 Puede Contacto con grupos de interés 9,09 80 80

Revisión independiente de la seguridad de
8 Puede la información 9,09 90 90
25,
3 Terceras partes 27,27 45
Identificación de riesgos por el acceso de
1 Debe terceras partes 9,09 100 100
2
2 Debe Temas de seguridad a tratar con clientes 9,09 90 90
Temas de seguridad en acuerdos con
3 Debe terceras partes 9,09 90 90
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
2 5 Clasificación y control de activos 3,76 80 100

3 Responsabilidad sobre los activos 60 48

1 Debe Inventario de activos 20 100 100

1
2 Debe Propietario de activos 20 90 90
7
3 Debe Uso aceptable de los activos 20 50 50

2 Clasificación de la información 40 32
2 Debe 20 100 100
1 Guías de clasificación

2 Debe Etiquetado y manejo de la información 20 60 60

81,
3
9 Seguridad en el personal 6,77 1 100
27,
3 Antes del empleo 33,33 78
11,1
1 Debe Roles y responsabilidades 1 90 90
1
11,1
2 Debe Verificación 1 90 90
11,1
3 Debe Términos y condiciones de empleo 1 70 70
23,
3 Durante el empleo 33,33 33
11,1
8
1 Debe Responsabilidades de la gerencia 1 50 50
2
Educación y formación en seguridad de la 11,1
2 Debe información 1 90 90
11,1
3 Debe Procesos disciplinarios 1 70 70

3 Terminación o cambio del empleo 33,33 30

11,1
1 Debe Responsabilidades en la terminación 1 70 70
3
11,1
2 Debe Devolución de activos 1 100 100
11,1
3 Debe Eliminación de privilegios de acceso 1 100 100
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
 76,
2
13 Seguridad fisica y del entorno 9,77 92 100
35,
6 Áreas Seguras 46,15 38

1 Debe Perímetro de seguridad física 7,69 90 90

2 Debe Controles de acceso físico 7,69 80 80

Seguridad de oficinas, recintos e
1
3 Debe instalaciones 7,69 70 70
Protección contra amenazas externas y
4 Debe ambientales 7,69 50 50

5 Debe Trabajo de áreas seguras 7,69 80 80

6 Puede Áreas de carga, entrega y áreas públicas 7,69 90 90

9
41,
7 Seguridad de los Equipos 53,85 54

1 Debe Ubicación y protección del equipo 7,69 80 80

2 Debe Herramientas de soporte 7,69 80 80

3 Debe Seguridad del cableado 7,69 80 80

2
4 Debe Mantenimiento de equipos 7,69 70 70
Seguridad del equipamiento fuera de las
5 Debe instalaciones 7,69 90 90
Seguridad en la reutilización o eliminación
6 Debe de equipos 7,69 90 90

7 Debe Movimientos de equipos 7,69 50 50

Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
69,
10
32 Gestión de comunicaciones y operaciones 24,06 4 100
9,3
4 Procedimientos operacionales y responsabilidades 12,5 8
Procedimientos de operación 3,12
1 Debe documentados 5 60 60
3,12
1
2 Debe Control de cambios 5 80 80
3,12
3 Debe Separación de funciones 5 80 80
Separación de las instalaciones de 3,12
4 Debe desarrollo y producción 5 80 80
5,6
3 Administración de servicios de terceras partes 9,38 3

1 Puede Entrega de servicios 3,12 60 60

2
Monitoreo y revisión de servicios de
2 Puede terceros 3,12 60 60

3 Puede Manejo de cambios a servicios de terceros 3,12 60 60

3,7
2 Planificación y aceptación del sistema 6,25 5
10
3,12
3
1 Debe Planificación de la capacidad 5 60 60
3,12
2 Debe Aceptación del sistema 5 60 60
6,2
2 Protección contra software malicioso y móvil 6,25 5
3,12
4
1 Debe Controles contra software malicioso 5 100 100
3,12
2 Debe Controles contra código móvil 5 100 100

1 Copias de seguridad 3,13 2,5

5
1 Debe Información de copias de seguridad 3,13 80 80

2 Administración de la seguridad en redes 6,25 5

3,12
6 1 Debe Controles de redes 5 80 80
3,12
2 Debe Seguridad de los servicios de red 5 80 80
8,7
7
4 Manejo de medios de soporte 12,5 5
 Administración de los medios de 3,12
1 Debe computación removibles 5 70 70
3,12
2 Debe Eliminación de medios 5 70 70
Procedimientos para el manejo de la 3,12
3 Debe información 5 70 70
3,12
4 Debe Seguridad de la documentación del sistema 5 70 70
9,0
5 Intercambio de información 15,63 7
Políticas y procedimientos para el 3,12
1 Debe intercambio de información 6 60 60
3,12
2 Puede Acuerdos de intercambio 6 60 60
8
3,12
3 Puede Medios físicos en transito 6 60 60
3,12
4 Puede Mensajes electrónicos 6 60 60
3,12
5 Puede Sistemas de información del negocio 6 50 50
8,4
3 Servicios de comercio electronico 9,38 4
3,12
1 Puede Comercio electrónico 6 90 90
9
3,12
2 Puede Transacciones en línea 6 90 90
3,12
3 Puede Información públicamente disponible 6 90 90
10,
6 Monitoreo y supervisión 18,75 63
3,12
1 Debe Logs de auditoria 6 50 50
3,12
2 Debe Monitoreo de uso de sistema 6 50 50
3,12
10
3 Debe Protección de los logs 6 50 50
Registro de actividades de administrador y 3,12
4 Debe operador del sistema 6 50 50
3,12
5 Debe Fallas de login 6 50 50
3,12
6 Puede Sincronización del reloj 6 90 90
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
76,
7
25 Control de accesos 18,8 2 100

1 Requisitos de negocio para el control de acceso 4 4

1
1 Debe Política de control de accesos 4 100
12,
4 Administración de acceso de usuarios 16 8

1 Debe Registro de usuarios 4 80

2 2 Debe Administración de privilegios 4 80

3 Debe Administración de contraseñas 4 80

Revisión de los derechos de acceso de
4 Debe usuario 4 80
11 3 Responsabilidades de los usuarios 12 9,8

1 Debe Uso de contraseñas 4 80

3
Equipos de cómputo de usuario
2 Puede desatendidos 4 80

3 Puede Política de escritorios y pantallas limpias 4 85

21,
7 Control de acceso a redes 28 2

1 Debe Política de uso de los servicios de red 4 80

Autenticación de usuarios para conexiones
4
2 Puede externas 4 80

3 Puede Identificación de equipos en la red 4 70

Administración remota y protección de
4 Debe puertos 4 60
 5 Puede Segmentación de redes 4 80

6 Debe Control de conexión a las redes 4 80

7 Debe Control de enrutamiento en la red 4 80

15,
6 Control de acceso al sistema operativo 24 6
Procedimientos seguros de Log-on en el
1 Debe sistema 4 80
Identificación y autenticación de los
2 Debe usuarios 4 70
5
3 Debe Sistema de administración de contraseñas 4 60

4 Puede Uso de utilidades de sistema 4 80

5 Debe Inactividad de la sesión 4 50

6 Puede Limitación del tiempo de conexión 4 50

2 Control de acceso a las aplicaciones y la información 8 6,4

6 1 Puede Restricción del acceso a la información 4 80

2 Puede Aislamiento de sistemas sensibles 4 80

2 Ordenadores portátiles y teletrabajo 8 6,4

Ordenadores portátiles y comunicaciones
7
1 Puede moviles 4 80

2 Puede Teletrabajo 4 80
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
71,
6
16 Desarrollo y mantenimiento de sistemas 12,03 88 100
Requerimientos de seguridad de sistemas de 3,7
1 información 6,25 5
1
Análisis y especificaciones de los
1 Debe requerimientos de seguridad 6,25 60 60

4 Procesamiento adecuado en aplicaciones 25 15

1 Debe Validación de los datos de entrada 6,25 60 60

2 2 Puede Controles de procesamiento interno 6,25 60 60

3 Puede Integridad de mensajes 6,25 60 60

4 Puede Validación de los datos de salida 6,25 60 60

8,7
2 Controles criptográficos 12,5 5
Política de utilización de controles
3
1 Puede criptográficos 6,25 70 70

2 Puede Administración de llaves 6,25 70 70

12 3 Seguridad de los archivos del sistema 18,75 15

1 Debe Control del software operacional 6,25 80 80

4 Protección de los datos de prueba del
2 Puede sistema 6,25 80 80
Control de acceso al código fuente de las
3 Debe aplicaciones 6,25 80 80

5 Seguridad en los procesos de desarrollo y soporte 31,25 25

1 Debe Procedimientos de control de cambios 6,25 80 80

Revisión técnica de los cambios en el
2 Debe sistema operativo 6,25 80 80
5
Restricciones en los cambio a los paquetes
3 Puede de software 6,25 80 80

4 Debe Fugas de información 6,25 80 80

5 Debe Desarrollo externo de software 6,25 80 80

4,3
1 Gestión de vulnerabilidades técnicas 6,25 8
6
1 Debe Control de vulnerabilidades técnicas 100 70 70
 Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
Gestión de incidentes de la seguridad de la
2
5 información 3,76 56 100
Notificando eventos de seguridad de la información y
2 debilidades 40 20
1 Reportando eventos de seguridad de la
1 Debe información 20 50 50

13 2 Puede Reportando debilidades de seguridad 20 50 50

Gestión de incidentes y mejoramiento de la
3 seguridad de la información 60 36

1 Debe Procedimientos y responsabilidades 20 60 60

2
2 Puede Lecciones aprendidas 20 60 60

3 Debe Recolección de evidencia 20 60 60

1
5 Gestión de la continuidad del negocio 3,76 56 100
Aspectos de seguridad de la información en la
5 gestión de continuidad del negocio 100 56
Inclusión de seguridad de la información en
el proceso de gestión de la continuidad del
1 Debe negocio 20 50 50
Continuidad del negocio y análisis del
14
2 Debe riesgo 20 50 50
1
Desarrollo e implementación de planes de
continuidad incluyendo seguridad de la
3 Debe información 20 50 50
Marco para la planeación de la continuidad
4 Debe del negocio 20 60 60
Prueba, mantenimiento y reevaluación de
5 Debe los planes de continuidad del negocio 20 70 70
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
81,
3
10 Cumplimiento 7,52 11 100

6 Cumplimiento con los requisitos legales 60 38

1 Debe Identificación de la legislación aplicable 10 60 60

2 Debe Derechos de propiedad intelectual (dpi) 10 50 50

Protección de los registros de la
1 3 Debe organización 10 50 50
Protección de datos y privacidad de la
4 Debe información personal 10 90 90
Prevención del uso inadecuado de los
5 Debe recursos de procesamiento de información 10 80 80
15 Regulación de controles para el uso de
6 Debe criptografía 10 50 50
Cumplimiento con las políticas y estándares de
2 seguridad y cumplimiento técnico 20 12
2 Cumplimiento con las políticas y
1 Debe procedimientos 10 60 60

2 Debe Verificación de la cumplimiento técnico 10 60 60

Consideraciones de la auditoria de sistemas de
2 información 20 12
Controles de auditoria a los sistemas de
3
1 Debe información 10 60 60
Protección de las herramientas de auditoria
2 Debe de sistemas 10 60 60

Alto Más del 70% de cumplimiento

Medio Entre el 30 y 69 % de cumplimiento
Bajo Por debajo del 30%
Dominios con puntaje de cumplimiento menor al 70% (NC.D):

 Dominio 10: Gestión de comunicaciones y operaciones - valor asignado

69,4% : se pudo observar que no se tiene establecidos procesos de control
de la documentación y el acceso de terceros a ella ya que por ser un entidad
pública existe cambio de personal por el modo de la contratación y no se
hace empalme del manejo de la documentación de forma correcta.

 Dominio 13: Gestión de incidentes de la seguridad de la información - valor

asignado 56%: no se han establecidos mecanismos que permitan reportar
eventos de seguridad de la información y hacer seguimiento a estos con el
fin de mitigar el riesgos de los mismos.

 Dominio 14: Gestión de la continuidad del negocio – valor asignado 56%: no se

determinan análisis del riesgo debido al que personal es variante en esta entidad y se
expone mucho el manejo de la información.

Dominios superiores al 70% (NC.D) en cumplimiento:

 Dominio 5: Política de Seguridad – valor asignado 100%: Por ser una unidad publica
se debe tener conformidad en el cumplimiento de la norma por tal motivo cuentan
con las policías de seguridad establecidas en las diferentes dependencias incluyendo
la Secretaria auditada.

 Dominio 6: Organización de la información – valor asignado 78,18% dentro de la

secretaria de la alcaldía municipal se encuentran implementadas políticas de
seguridad para el manejo de información con terceros, no existen comités que se
encarguen de seguir esta política pero por medio de charlas y capacitaciones se busca
que el personal mantenga los protocolos de seguridad.

 Dominio 7: Clasificación y control de activos – valor asignado 80% se maneja un

control de inventarios de los activos constantemente se hace verificación por el
equipo contratado por la oficina de control interno de la Alcaldía Municipal quienes
se encargan de hacer el proceso en las diferentes dependencias.

 Dominio 8: Seguridad en el personal- valor asignado 81,1%: desde la oficina de

control interno se realizan las acciones de seguimiento a personal tanto contratista y
 empleados directos, capacitaciones sobre el uso de la seguridad de la información y
socialización de las políticas establecidas.

 Dominio 9: Seguridad física y del entorno – valor asignado 79,6 % desde la oficina
de sistemas se mantiene la infraestructura segura en caso de fallas eléctricas,
problemas con los servidores, cableado de las redes, protección de los equipos de
cómputo, traslados de equipos de una dependencia a otra y por medio de COPASST
se hacen las acciones de seguridad en cuanto a protección de amenazas ambientales
y externas.

 Dominio 11: Control de accesos- valor asignado 76,2% existen políticas de seguridad
desde la oficina de sistemas para control de la red, el manejo de usuarios y
contraseñas, teletrabajo etc.

 Dominio 12: Desarrollo y mantenimiento de sistemas –valor asignado 71,88%: desde

la oficina de sistemas se brinda soporte técnico al mantenimiento de los equipos de
cómputo, cambios y actualizaciones del sistema operativos y de software como
antivirus.

 Dominio 15: Cumplimiento- valor asignado 81,11%: se hace verificación de

cumplimiento a las acciones establecidas en la política de seguridad de la información
se hacen verificación desde la oficina de control interno se hacen seguimiento
trimestrales y de aquellas que se determine incumplimiento se toman acciones dentro
de planes de mejoramientos.
Plan de mejoramiento Propuesto:

Dominios Actividades
Gestión de comunicaciones y operaciones
 Administración de servicios de terceras  Identificar el riesgo del acceso a la
partes. información de los terceros.
*Entrega de servicios

*Monitoreo y revisión de servicios de  Implementación de un software de

terceros seguridad que permita llevar el control
del acceso de terceros.
*Manejo de cambios a servicios de
terceros
 Planificación y aceptación del sistema
 En el momento de cambio de personal
* Planificación de la capacidad se debe resguardar la información
existente dentro de un servidor local.
* aceptación del sistema

 Intercambio de información  Hacer planificación de recursos de los

sistemas para minimizar el riesgo a las
*Políticas y procedimientos para el fallas.
intercambio de información

*Acuerdos de intercambio  La creación de procedimientos para la

generación de copias de seguridad y su
*Medios físicos en transito recuperación, así como la
administración segura de las redes de
*Mensajes electrónicos
comunicaciones.
*Sistemas de información del negocio
 Incorporar, configurar y habilitar un
 Monitoreo y Supervisión firewall físico para evitar ataques
* Logs de auditoria informáticos de externos.
*Monitoreo de uso de sistema
 Restringir el uso de dispositivos de
*Protección de los logs almacenamiento tales como usb,
Memorias SD y celulares entre otros
*Registro de actividades de
administrador y operador del sistema

*Fallas de login

Gestión de incidentes de la seguridad de la

información
  Notificando eventos de seguridad de la
información y debilidades
*Reportando eventos de seguridad de
la información
*Reportando debilidades de seguridad
 Gestión de incidentes y mejoramiento de la
seguridad de la información
*Procedimientos y responsabilidades
*Lecciones aprendidas
*Recolección de evidencia
Gestión de la continuidad del negocio
 Aspectos de seguridad de la información en
la gestión de continuidad del negocio
*Inclusión de seguridad de la
información en el proceso de gestión de
la continuidad del negocio
*Continuidad del negocio y análisis del
riesgo
*Desarrollo e implementación de
planes de continuidad incluyendo
seguridad de la información
*Marco para la planeación de la
continuidad del negocio
*Prueba, mantenimiento
reevaluación de los planes de
continuidad del negocio
 Implementar una plantillo de control
para llevar los registros de eventos en
la seguridad de la información.
 Plan de capacitación a los funcionarios
del reporte de debilidades en el uso de
la información.
 Recolección de las evidencias y
registrarlas en la plantilla diseñada.
 Realizar informes que lleven detalle
del incidente, en que afecto, cual fue el
impacto y como se resolvió.
 Identificar los posibles riesgos que
amenazan la información.
 General un plan de contingencia para
que en momentos de caída de los
sistemas pueda ser resuelto
prontamente.
 Se debe adjudicar un Responsable de
Seguridad en el rol de gestor del
proceso y se encarga de coordinar las
distintas actividades en relación con la
Gestión de la Continuidad del
Negocio.
y
 Conclusión

Luego de la aplicación de la Norma Iso 27002 en la Secretaria de Desarrollo Humano

de la Alcaldía Municipal de Ocaña, se pudo evidenciar que existen algunas deficiencias en
cuando a mantener segura la información, y esto más que todo se debe a cambio de personal
contratista que es constante, exponiendo la información.

Desde la oficina de Control Interno y la oficina de sistemas se viene ejecutando a

cabalidad el plan de acción propuesto y se realizan los respectivos controles.

Se debe recalcar que el tener implementada la política ayuda a mantener control sobre
la seguridad de la información, se debe crear el comité que se encargue de ejercer todas las
acciones contempladas en la política dando continuidad para esto deben ser personal no
contratista.

Es importante trabajar sobre las no conformidades y las acciones de mejora

planteadas.