SENA Centro de Manufactura en Textiles y Cuero

Especialización en Gestión y Seguridad de una base de datos

Ficha 1966118
Nelson Yesid Reino Calderón cc 19307048

Aplicación de la Norma ISO 27002

Aprendiz :

Nelson Yesid Reino Calderón

Ficha : 1966118

Instructor:

Ing. Alonso Rafael Campo Arrieta

Bogotá D.C. - Septiembre de 2019

Tabla de contenido.-

Pág.

Introducción.................................................................................3
Objetivo de la Auditoría..................................................................4
Alcance de la Auditoría..................................................................5
Resultados de la Auditoría..............................................................6
Aspectos no conformes.................................................................11
Oportunidades de mejora..............................................................12
Plan de mejora sugerido...............................................................14
Conclusiones de la Auditoría..........................................................15
Bibliografía.................................................................................17
 INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que

conforman la serie ISO/IEC 27000 en las que se reúnen las mejores
prácticas para desarrollar, implementar y mantener sistemas de gestión
de seguridad de información. La norma ISO 27002 se compone de 11
dominios (del 5 al 15), 39 objetivos de control y 133 controles.

A continuación se realiza una descripción de los aspectos que deben ser

tenidos en cuenta al momento de evaluar los controles de cada uno de
los dominios de la norma ISO 27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de

la dirección para la seguridad de la información en relación a los
requisitos del negocio y regulaciones relevantes.

Estructura organizativa para la seguridad:

Organización interna: estos controles gestionan la seguridad de la

información dentro de la Organización. El órgano de dirección debe
aprobar la política de seguridad de la información, asignando los roles
de seguridad y coordinando la implantación de la seguridad en toda la
Organización.

Terceras partes: estos controles velan por mantener la seguridad de

los recursos de tratamiento de la información y de los activos de
información de la organización.

Clasificación y control de activos: (Responsabilidad sobre los

activos). Estos controles pretenden alcanzar y mantener una protección

1
adecuada de los activos de la organización. Clasificación y control de la
información: la información se encuentra clasificada para indicar las
necesidades, prioridades y nivel de protección previsto para su
tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en

asegurar que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen, para reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios.

Seguridad física y del entorno: Áreas seguras: Los servicios de

procesamiento de información sensible deben estar ubicados en áreas
seguras y protegidas en un perímetro de seguridad definido por barreras
y controles de entrada, protegidas físicamente contra accesos no
autorizados. Seguridad de los equipos: se enfoca en los controles de
protección contra amenazas físicas y para salvaguardar servicios de
apoyo como energía eléctrica e infraestructura del cableado.

Gestión de las comunicaciones y operaciones: Procura asegurar,

implementar y mantener un nivel apropiado de seguridad de la
información, además de la operación correcta y segura de los recursos
de tratamiento de información, minimizando el riesgo de fallos en los
sistemas y asegurando la protección de la información en las redes y la
protección de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la información y los recursos

de tratamiento de la información en base a las necesidades de seguridad
de la organización y las políticas para el control de los accesos.

2
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan
controles adicionales para los sistemas que procesan o tienen algún
efecto en activos de información de carácter sensible, valioso o crítico.
Dichos controles se determinan en función de los requisitos de seguridad
y la estimación del riesgo.

Gestión de incidentes de seguridad de la información: Se

establecen informes de los eventos y de los procedimientos realizados,
todos los empleados, contratistas y terceros deben estar al tanto de los
procedimientos para informar de los diferentes tipos de eventos y
debilidades que puedan tener impacto en la seguridad de los activos de
la organización.

Gestión de la continuidad del negocio: La seguridad de información

debe ser una parte integral del plan general de continuidad del negocio
(PCN) y de los demás procesos de gestión dentro de la organización. El
plan de gestión de la continuidad debe incluir el proceso de evaluación y
asegurar la reanudación a tiempo de las operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de

cualquier ley, estatuto, regulación u obligación contractual y de
cualquier requisito de seguridad dentro y fuera de la organización. Los
requisitos legales específicos deberían ser advertidos por los asesores
legales de la organización o por profesionales del área. Además se
deberían realizar revisiones regulares de la seguridad de los sistemas de
información.

3
 OBJETIVO DE LA AUDITORÍA

 Evaluar la conformidad del sistema de gestión de seguridad de la

información regido bajo la norma ISO 27002.

 Revisar la situación actual de la empresa identificando las

condiciones de seguridad de la información.

 Proponer un plan de mejora con base a los hallazgos encontrados

en el contexto de seguridad de la información con base a la
norma 27002.

4
 ALCANCE DE LA AUDITORÍA

La auditoría tiene como alcance el sistema de gestión de seguridad de la

información relacionada con el diseño y administración de una bodega
de datos para la alcaldía de San Antonio del Sena, donde se
analizaron todos los requisitos bajo la norma ISO 27002, expuestos en
el anexo de este documento.

Las políticas de seguridad de la información serán aplicadas a todos los

procesos administrativos y de control, los cuales serán acatados por la
las dependencias, órganos adscritos a la alcaldía y funcionarios directos
e indirectos (contratistas) que guarden relación con el ente
administrativo en el marco del cumplimiento de sus funciones, con el fin
de garantizar el nivel de protecdón y seguridad de la información,
haciéndolos participes en la toma de medidas preventivas y correctivas.

La política de seguridad es de obligatorio cumplimiento para todos los

servidores públicos y particulares que accedan, manipulen o tengan
acceso a la información de la administración municipal.

5
 RESULTADOS DE LA AUDITORÍA

Evaluación de cumplimiento de los controles de la norma ISO/IEC

27002-2013.

A nivel de la escala de valoración de control (ver archivo adjunto xls) se

puede definir en términos generales que el nivel de seguridad es bajo y
el nivel de exposición es alto. Si bien existen valores dentro del rango
medio, estos no pueden ser tenidos como favorables en un marco de
seguridad debido que, no pertenecen a un conjunto de acciones dentro
de un protocolo de seguridad sino a medidas particulares sin
procedimiento alguno en el cual el cambio de contraseñas, la inspección
visual del área de trabajo y el control al acceso de los equipos de
cómputo son las medidas generalizadas en los funcionarios y terceros
dentro de la alcaldía.

Es necesario modificar las estructuras o acciones hasta ejecutadas por

procesos que lleven a la seguridad de los datos que no solo reposan en
los equipos de computo, sino que diariamente se difunden entre
funcionarios y que soportan información sensible para la sociedad y
evitar la corrupción que de documentación privilegiada pudiera derivarse
hacia terceros interesados.

Políticas de seguridad.-

Existen políticas de seguridad desactualizadas que continúan rigiendo el

uso de los activos de la información, estas no fueron publicadas y
comunicadas al personal de la empresa en su debido momento.

6
Las políticas de seguridad están sujetas a revisión, pero esta actividad
no se realiza con base a un procedimiento establecido que permita
hacerle las respectivas mejoras en determinado momento.

Acción correctora Propuesta:

Formular políticas de seguridad en base a los controles aplicados en esta

evaluación. Establecer periodos para la revisión de las políticas de
seguridad, lo recomendado sería una vez al año o cuando se
implementen nuevas tecnologías.

Gestión de activos:

Dado que esta política conlleva a la empresa a identificar y clasificar sus

activos de información, definir las respectivas responsabilidades para su
adecuada protección, además regula las prácticas para su uso adecuado
y la devolución por parte del personal al finalizar su contrato laboral.
Igualmente se hace necesario reglamentar la gestión de los soportes de
almacenamiento estableciendo una serie de indicaciones para evitar el
hurto, modificación, eliminación de la información a través de la
deshabilitación de los puertos usb, la activación del escaneo automático
de virus y el bloqueo de la reproducción automática de archivos
ejecutables.

7
Control de acceso:

Al reglamentar una serie de controles para evitar el acceso de personas

no autorizadas a las instalaciones , a las áreas de procesamiento de
información y a las diferentes

Oficinas, entre los controles establecidos se encuentran: autorizaciones

para el ingreso a áreas sensibles, registrar información de acceso en
bitácoras, tener un sistema lector de tarjetas o biométrico para controlar
el acceso al edificio y a los cuartos de telecomunicaciones.

Igualmente regular la adecuada gestión de cuentas de usuario desde su

creación hasta su desactivación estableciendo parámetros de acceso
para el personal de acuerdo a sus funciones, el cambio de contraseña a
determinados intervalos para minimizar el riesgo de que ataques
cibernéticos que accedan a los sistemas y a la información confidencial
de la empresa.

Seguridad física y ambiental:

En tanto se encarga de regular el acceso al edificio, las instalaciones de

procesamiento de información y a las oficinas, se hace necesario
establecer medidas para la protección de los activos de información
tales como: el uso de extintores, sistemas de alarma contra incendios,
cámaras de seguridad, el registro de ingreso y salida de los visitantes de
la empresa y del acceso del personal autorizado a las instalaciones
donde reside el archivo, la constante revisión de los soportes eléctricos y

8
ambientales para garantizar el óptimo funcionamiento de los equipos de
cómputo ubicados en los cuartos de telecomunicaciones, la instalación
adecuada del cableado para evitar posibles interferencias en la
transmisión de la información, el mantenimiento preventivo y correctivo
de los dispositivos informáticos.

Seguridad en la operativa:

Este parámetro rige diversos controles que permiten la detección,

prevención y recuperación de información en caso de que el sistema sea
infectado por programas maliciosos, a través del uso de antivirus
licenciados con un control de acceso a su configuración para evitar que
el personal no autorizado la modifique. Además deberá contar con la
adecuada gestión de las respectivas copias de seguridad de la
información de manera que se garantice su integridad y debida
protección durante la generación, transporte y almacenamiento.

Seguridad en las telecomunicaciones:

Al determinar la segmentación física y lógica de la red de datos en

función de los usuarios y los servicios con la finalidad de mejorar el
tráfico de la red y de esta manera darle mayor rendimiento a las
distintas operaciones de la empresa, se requiere realizar la división de
estos segmentos por medio de dispositivos perimetrales e internos de
enrutamiento (Switch o Router), a los cuales se les debe verificar los

9
puertos físicos y lógicos que no están en uso para tenerlos restringidos y
monitoreados con el fin de prevenir accesos no autorizados. Por otra
parte, establece el uso de acuerdos de transferencias seguras de la
información entre las dependencias de la alcaldía con entes externos por
los diferentes canales de transmisión a fin de garantizar su
confidencialidad e integridad.

Adquisición, desarrollo y mantenimiento de los sistemas de

información:

En el objetivo de controlar los entornos de desarrollo y soporte de los

sistemas durante todo su ciclo de vida garantizando la seguridad de la
información, así como establecer medidas para controlar la realización
de las respectivas pruebas de funcionamiento de forma que no afecten
el normal desarrollo de las operaciones de la alcaldía.

Cumplimiento:

En el marco del cumplimiento a las políticas de seguridad de la

información se han establecido sanciones administrativas que varían de
acuerdo al nivel de afectación que le generen a la entidad.  De acuerdo
al nivel las amonestaciones pueden ser escritas, suspensiones,
destitución y/o sanciones de tipo legal.

10
ASPECTOS NO CONFORMES.-

 Se pudo identificar la falta de una política de seguridad sólida,

donde los documentos físicos son el único soporte por falta de
firma electrónica creada.

 La estructura organizativa para la seguridad no se encuentra bien

constituida en lo correspondiente a la organización interna y lo
relacionado con las terceras partes, siendo posible la fuga de
información privilegiada en algunos casos.

 La empresa cuenta con un inventario deficiente de los activos que

posee, de su poseedor y de aquellos que se encuentran en
bodeda. Además de ello, no cuenta con una clasificación
organizada, fechas de adquisición, estado de la devolución entre
los diferentes usuarios (funcionarios).

 Durante la auditoría se pudo identificar que los procedimientos y

responsabilidades no se encuentran bien definidos y
documentados, al igual que la administración de los servicios de
terceras partes, monitoreando y revisando sus servicios.

 Los controles de seguridad contra software malicioso no se

encuentran bien soportados, y se encuentran empleando controles
desactualizados en redes y seguridad de sus servicios.

 No se identifican sólidos controles de accesos, asi como la falta de

políticas de control de accesos, el registro de usuarios y
administración de privilegios y contraseñas.

11
  No se registran reportes y procedimientos de los incidentes
relacionados con la seguridad de la información asi como tampoco
se procesa la recoleccion de evidencias y planes de mejora.

Posibles Riesgos:

 Resistencia al cambio por parte de los funcionarios y contratistas.

 Diferencias a nivel conceptual en la resolución de problemas en los
comités.
 Delegación de todas las responsabilidades en los diferentes
procesos.
 No asumir por parte de la administración Municipal la importancia
de la seguridad de la información.
 Planes de capacitación y concientización inadecuados.
 Delimitación y alcance real y medible.
 Falta de Socialización de los avances al personal de la
administración.

OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN
Estructura organizativa para la Se considera necesario que se
seguridad conformen o se definan de manera
 Organización Interna. más clara el comité de la dirección
o Comité de la dirección sobre seguridad de la información,
sobre seguridad de la esto permitirá una estructura
información. organizativa más sólida para la
alcaldía.
Estructura organizativa para la Se considera importante analizar
seguridad los riesgos por parte de acceso de
 Terceras Partes. terceras partes, esto para
o Identificación de garantizar la solidez del esquema
riesgos por el acceso de seguridad de la información con
de terceras partes. una estructura organizativa mejor
formada.

12
Gestión de comunicaciones y Se deben documentar y soportar
operaciones las copias de seguridad, con el fin
 Copias de seguridad. de obtener mejores prestaciones
o Información de copias en la persistencia de los datos y
de seguridad. obteniendo a su vez mejor gestión
de comunicaciones y operaciones.
Control de accesos Para garantizar la robustez de los
 Control de acceso al sistema controles de acceso, es necesario
operativo. que se mejore el sistema de
o Sistema de administración de contraseñas;
administración de permitiéndole a los usuarios
contraseñas. realizar cambios periódicos de
estas garantizando la seguridad de
los datos privados de la alcaldía.

13
 PLAN DE MEJORA SUGERIDO

M
E
FASE ACTIVIDADES
S
1 2 3 4 5
Estructura organizativa para la seguridad
 Organización Interna.
o Comité de la dirección sobre
seguridad de la información.
Estructura organizativa para la seguridad
 Terceras Partes.
o Identificación de riesgos por el
Análisis de la
acceso de terceras partes.
información
Gestión de comunicaciones y operaciones
ISO 27002
 Copias de seguridad.
o Información de copias de
seguridad.
Control de accesos
 Control de acceso al sistema operativo.
o Sistema de administración de
contraseñas.

14
 CONCLUSIONES DE LA AUDITORÍA

Al momento de realizar la inspección acerca de la seguridad de la

información en la alcaldía de San Antonio del Sena se evidenciaron una
serie de factores que ponen en riesgo los activos de información de la
institución. Entre ellos se encuentran los bajos controles de acceso físico
desplegados para evitar el acceso de personas no autorizadas a las
áreas de procesamiento de información. Esta incidencia aumenta la
probabilidad de perdida, deterioro e indisponibilidad de la información y
los equipos de cómputo, así como también, el mal funcionamiento de los
sistemas de detención de amenazas físicas por cambio de temperaturas
en los equipos y fuentes de energía, denominados estabilizadores. Si
bien cualquier cambio en los voltajes o el deterioro de los componentes
físicos y la falta de respaldos de la información traerían consigo la
perdida de lo allí contenido. Son diversas las vulnerabilidades de la
información, físicas, lógicas y de respaldo; internas y externas, en el
desconocimiento del personal sobre el manejo de contraseñas, servicios
en la nube y cadena de confidencialidad de los datos.

 La inadecuada gestión de los activos de información debida a la falta de

prácticas para su uso adecuado, no tener definidas las responsabilidades
del personal sobre ellos, ni tener establecidos controles que garanticen
su devolución al finalizar el contrato laboral de los empleados.
Igualmente, que la infraestructura tecnológica de la alcaldía no sea
administrada por personal idóneo, los programas de detención de
software malicioso sean desactivados en ciertas ocasiones y su

15
configuración esté expuesta a la modificación de personas no
autorizadas. Otro de los factores que aumentan los niveles de riesgo de
los activos de información es el desconocimiento o la falta de conciencia
por parte del personal para evitar aquellas situaciones que pueden
afectar la disponibilidad, integridad y confidencialidad de la información.
Por otra parte, se evidenciaron determinadas causas que afectan la
óptima gestión de la información tales como el desconocimiento
reiterativo en el manejo de herramientas tecnológicas más allá del
correo institucional y software de ofimática (office).

16
 SENA Centro de Manufactura en Textiles y Cuero
Especialización en Gestión y Seguridad de una base de datos
Proyecto
Ficha 1966118
Nelson Yesid Reino Calderón cc 19307048

BIBLIOGRAFÍA

 Servicio Nacional de Aprendizaje SENA.

Descripcion de la plantilla ISO 27002. Recuperado de
http://www.senasofiaplus.edu.co

 Welivesecurity by esett.
https://www.welivesecurity.com/la-es/2013/12/12/iso-iec-27002-2013-cambios-dominios-
control/

 Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría

interna Sistema de Gestión de Seguridad de la Información
ISO/IEC 27001:2013. Recuperado de http://es.presidencia.gov.co

 ISO. (2008). ISO/IEC 21827:2008 - Information technology -

Security techniques - Systems Security Engineering - Capability
Maturity-Model®-(SSE-CMM®). https://www.iso.org/standard/44716. html

 Colombia, Congreso de La República de Colombia. (2014). Ley

1712 de 2014, Por medio de la cual se crea la Ley de
Transparencia y del Derecho al Acceso a la Información Pública
Nacional y se dictan otras dospisiciones”. Recuperado a partir de
http://www.secretariasenado.gov.co/senado/basedoc/ley_1712_2014.html

 Colombia, Congreso de la República (2012). Ley 1581 de 2012,

Por la cual se dictan disposiciones generales para la protección de
datos personales. Bogotá: En Diario Oficial, núm. Recuperado a
partir de :
http://www.alcaldiabogota. gov.co/sisjurMantenimiento/normas/Norma1.jsp?i=49981

17
 SENA Centro de Manufactura en Textiles y Cuero
Especialización en Gestión y Seguridad de una base de datos
Proyecto
Ficha 1966118
Nelson Yesid Reino Calderón cc 19307048

 Ministerio de Tecnologías de la Información y las Comunicaciones.

(2015b). Modelo de Seguridad y Privacidad de la Información.
Bogotá D.C. Recuperado a partir de:
https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_
Seguridad_Privacidad.pdf

18