Documente Academic
Documente Profesional
Documente Cultură
Introducción
La seguridad Informática y de la información es un concepto de vital importancia
para todas las empresas, esto tiene como propósito proteger la información propia, de clientes
y terceros que cada vez es un proceso relevante para toda organización.
La ultima actualización de la esta norma fue en el 2013 con la ISO 27002, donde
básicamente se extienden los dominios de control se compone de 11 dominios (del 5 al 15),
39 objetivos de control y 133 controles.
Objetivo General
Aplicar los estándares establecidas en la Norma Iso 27002 para verificar el
cumplimiento de los protocolos en la seguridad de la información en la secretaria de
Desarrollo Humano de la Alcaldía Municipal de Ocaña.
Objetivos Específicos
Alcance
En la Secretaria de Desarrollo Humano de la Alcaldia Municipal de Ocaña se busca
implementar la auditoria en su “SGSI” Sistema de Gestión de seguridad de la información,
aplicando la plantilla establecida por la Norma Iso 27002, que cuenta con 11 dominios los
cuales se le asignaran puntuación de acuerdo al cumplimiento, y aquellos que estén por
debajo del 70% se le presentaran propuestas de mejoras que ayuden al cumplimiento y
generar seguridad en la información
Resultados De La Auditoria
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000
en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas
de gestión de seguridad de información.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles; que están distribuidos como se observa en la siguiente estructura:
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
5. Política de seguridad
Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una
protección adecuada de los activos de la organización.
"Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios
de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios."
"Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados
en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles
de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y
para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado."
Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún
efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.
La seguridad de información debe ser una parte integral del plan general de continuidad del
negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de
gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.
1
2 Política de Seguridad 1,5 100 100
2 Clasificación de la información 40 32
2 Debe 20 100 100
1 Guías de clasificación
2 Puede Teletrabajo 4 80
Objetivo
Dominio Controle Orientació NC. NC. Escal
s de Descripción PD PO PC NC. C
s s n D O a
Control
71,
6
16 Desarrollo y mantenimiento de sistemas 12,03 88 100
Requerimientos de seguridad de sistemas de 3,7
1 información 6,25 5
1
Análisis y especificaciones de los
1 Debe requerimientos de seguridad 6,25 60 60
Dominio 5: Política de Seguridad – valor asignado 100%: Por ser una unidad publica
se debe tener conformidad en el cumplimiento de la norma por tal motivo cuentan
con las policías de seguridad establecidas en las diferentes dependencias incluyendo
la Secretaria auditada.
Dominio 9: Seguridad física y del entorno – valor asignado 79,6 % desde la oficina
de sistemas se mantiene la infraestructura segura en caso de fallas eléctricas,
problemas con los servidores, cableado de las redes, protección de los equipos de
cómputo, traslados de equipos de una dependencia a otra y por medio de COPASST
se hacen las acciones de seguridad en cuanto a protección de amenazas ambientales
y externas.
Dominio 11: Control de accesos- valor asignado 76,2% existen políticas de seguridad
desde la oficina de sistemas para control de la red, el manejo de usuarios y
contraseñas, teletrabajo etc.
Dominios Actividades
Gestión de comunicaciones y operaciones
Administración de servicios de terceras Identificar el riesgo del acceso a la
partes. información de los terceros.
*Entrega de servicios
*Fallas de login
*Prueba, mantenimiento y
reevaluación de los planes de
continuidad del negocio
Conclusión
Se debe recalcar que el tener implementada la política ayuda a mantener control sobre
la seguridad de la información, se debe crear el comité que se encargue de ejercer todas las
acciones contempladas en la política dando continuidad para esto deben ser personal no
contratista.