AA1-E5-APLICACIN DE LA NORMA ISO 27002

AA1-E5-APLICACIN DE LA NORMA ISO 27002

Descripcin breve
Dominar los conceptos claves para preservar la seguridad de la informacin.
Conocer estndares internaciones como gua y apoyo en la seguridad de la informacin.

Adrian Mauricio Rodrguez Amaya

Amrodriguez.amaya@gmail.com
 TABLA DE CONTENIDO
Pg.

INTRODUCCIN ................................................................................................................................... 1
OBJETIVO DE LA AUDITORIA ............................................................................................................... 3
ALCANCE DE LA AUDITORIA ................................................................................................................ 4
RESULTADOS DE LA AUDITORIA .......................................................................................................... 5
ASPECTOS CONFORMES .................................................................................................................. 5
ASPECTOS CONFORMES .................................................................................................................. 6
OPORTUNIDADES DE MEJORA ............................................................................................................ 7
PLAN DE MEJORA SUGERIDO .............................................................................................................. 8
RESULTADOS DE LA AUDITORIA .......................................................................................................... 0
BIBLIOGRAFA ...................................................................................................................................... 0
 INTRODUCCIN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en
las que se renen las mejores prcticas para desarrollar, implementar y mantener sistemas de
gestin de seguridad de informacin. La norma ISO 27002 se compone de 11 dominios (del 5 al 15),
39 objetivos de control y 133 controles.

A continuacin se realiza una descripcin de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:

Poltica de seguridad: Estos controles proporcionan la gua y apoyo de la direccin para la seguridad
de la informacin en relacin a los requisitos del negocio y regulaciones relevantes.

Estructura organizativa para la seguridad: Organizacin interna: estos controles gestionan la

seguridad de la informacin dentro de la Organizacin. El rgano de direccin debe aprobar la
poltica de seguridad de la informacin, asignando los roles de seguridad y coordinando la
implantacin de la seguridad en toda la Organizacin. Terceras partes: estos controles velan por
mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de
informacin de la organizacin.

Clasificacin y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una proteccin adecuada de los activos de la organizacin. Clasificacin y
control de de la informacin: la informacin se encuentra clasificada para indicar las necesidades,
prioridades y nivel de proteccin previsto para su tratamiento.

Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.

Seguridad fsica y del entorno: reas seguras: Los servicios de procesamiento de informacin
sensible deben estar ubicados en reas seguras y protegidas en un permetro de seguridad definido
por barreras y controles de entrada, protegidas fsicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de proteccin contra amenazas fsicas y para
salvaguardar servicios de apoyo como energa elctrica e infraestructura del cableado.
Gestin de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un nivel
apropiado de seguridad de la informacin, adems de la operacin correcta y segura de los recursos
de tratamiento de informacin, minimizando el riesgo de fallos en los sistemas y asegurando la
proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo.

Control de accesos: Controla los accesos a la informacin y los recursos de tratamiento de la

informacin en base a las necesidades de seguridad de la organizacin y las polticas para el control
de los accesos.

Desarrollo y mantenimiento de sistemas: Se disean y desarrollan controles adicionales para los

sistemas que procesan o tienen algn efecto en activos de informacin de carcter sensible, valioso
o crtico. Dichos controles se determinan en funcin de los requisitos de seguridad y la estimacin
del riesgo.

Gestin de incidentes de seguridad de la informacin: Se establecen informes de los eventos y de

los procedimientos realizados, todos los empleados, contratistas y terceros deben estar al tanto de
los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener
impacto en la seguridad de los activos de la organizacin.

Gestin de la continuidad del negocio: La seguridad de informacin debe ser una parte integral del
plan general de continuidad del negocio (PCN) y de los dems procesos de gestin dentro de la
organizacin. El plan de gestin de la continuidad debe incluir el proceso de evaluacin y asegurar
la reanudacin a tiempo de las operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,

regulacin u obligacin contractual y de cualquier requisito de seguridad dentro y fuera de la
organizacin. Los requisitos legales especficos deberan ser advertidos por los asesores legales de
la organizacin o por profesionales del rea. Adems se deberan realizar revisiones regulares de la
seguridad de los sistemas de informacin.
 OBJETIVO DE LA AUDITORIA
Evaluar la conformidad del sistema de gestin de seguridad de la informacin regido bajo la
norma ISO 27002.
Revisar la situacin actual de la empresa identificando las condiciones de seguridad de la
informacin-
Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de
seguridad de la informacin con base a la norma 27002.
 ALCANCE DE LA AUDITORIA
La auditora tiene como alcance el sistema de gestin de seguridad de la informacin
relacionada con la empresa IEB, donde se analizaron todos los requisitos bajo la norma ISO
27002, expuestos en el anexo de este documento.
 RESULTADOS DE LA AUDITORIA
ASPECTOS CONFORMES

Se pudo identificar que la empresa cuenta con una poltica de seguridad slida, contando
con documentos que soportan la seguridad de la informacin, al igual que las revisiones de
estas.
La estructura organizativa para la seguridad se encuentra bien constituida en lo
correspondiente a la organizacin interna y lo relacionado con las terceras partes.
La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso
aceptable. Adems cuenta con una clasificacin organizada, incluyendo las guas de
clasificacin, etiquetado y manejo de la informacin.
Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se
encuentran bien definidos y documentados, al igual que la administracin de los servicios
de terceras partes, monitoreando y revisando sus servicios.
Los controles de seguridad contra software malicioso se encuentran bien soportados,
empleando controles en las redes y seguridad de sus servicios.
Se identifican slidos controles de accesos, empleando polticas de control de accesos,
registrando usuarios y administrando sus privilegios y contraseas. Tambin se ejerce fuerte
control de acceso a las redes, por medio de autenticacin para usuarios con conexiones
externas.
Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con
la seguridad de la informacin; recolectando evidencias y publicando las lecciones
aprendidas.
ASPECTOS CONFORMES

Se logr evidenciar que no se encuentra bien definido un comit relacionado con la

direccin sobre la seguridad de la informacin.
No se soporta los riesgos identificados por el acceso de terceras personas.
No se tienen claras las polticas de copias de seguridad de la informacin, donde
posiblemente no se tenga soporte de estas.
Se pudo observar que no se posee un sistema de administracin de contraseas, no se
exigen controles adicionales para el cambio de estas luego de un lapso determinado de
tiempo.
 OPORTUNIDADES DE MEJORA
ASPECTO
Estructura organizativa para la seguridad
Organizacin Interna.
o Comit de la direccin
seguridad de la informacin.
Estructura organizativa para la seguridad
Terceras Partes.
o Identificacin de riesgos por el acceso
de terceras partes.
Gestin de comunicaciones y operaciones
Copias de seguridad.
o Informacin de copias de seguridad.
Control de accesos
Control de acceso al sistema operativo.
o Sistema de administracin
contraseas.
OBSERVACIN
Se considera necesario que se conformen o se definan de
manera ms clara el comit de la direccin sobre
sobre
seguridad de la informacin, esto permitir una
estructura organizativa ms slida para la empresa.
Se considera importante analizar los riesgos por parte de
acceso de terceras partes, esto para garantizar la solidez
del esquema de seguridad de la informacin con una
estructura organizativa mejor formada.
Se deben documentar y soportar las copias de seguridad,
con el fin de obtener mejores prestaciones en la
persistencia de los datos y obteniendo a su vez mejor
gestin de comunicaciones y operaciones.
Para garantizar la robustez de los controles de acceso, es
necesario que se mejore el sistema de administracin de
de contraseas; permitindole a los usuarios realizar
cambios peridicos de estas garantizando la seguridad de
los datos privados de la empresa.
 PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
Organizacin Interna.
o Comit de la direccin sobre seguridad de la informacin.
Estructura organizativa para la seguridad
Terceras Partes.
Anlisis de la informacin o Identificacin de riesgos por el acceso de terceras partes.
ISO 27002 Gestin de comunicaciones y operaciones
Copias de seguridad.
o Informacin de copias de seguridad.
Control de accesos
Control de acceso al sistema operativo.
o Sistema de administracin de contraseas.
 RESULTADOS DE LA AUDITORIA
Objetivos % de cumplimiento de la norma
Dominios de Controles NC.
Control Orientacin Descripcin PD NC. D PO NC. O PC Escala
C
1 2 Poltica de Seguridad 1.5 100 100
2 Poltica de Seguridad de la Informacin 100 100
5
1 1 Debe Documento de la poltica de seguridad de la informacin 50 100 100
2 Debe Revisin de la poltica de seguridad de la informacin 50 100 100
2 11 Estructura organizativa para la seguridad 8.27 80.91 100
8 Organizacin Interna 72.73 61.82
1 Debe Comit de la direccin sobre seguridad de la informacin 9.09 30 30
2 Debe Coordinacin de la seguridad de la informacin 9.09 90 90
Asignacin de responsabilidades para la de seguridad de la
3 Debe informacin 9.09 100 100
1 Proceso de autorizacin para instalaciones de
4 Debe procesamiento de informacin 9.09 100 100
6 5 Debe Acuerdos de confidencialidad 9.09 100 100
6 Puede Contacto con autoridades 9.09 80 80
7 Puede Contacto con grupos de inters 9.09 100 100
8 Puede Revisin independiente de la seguridad de la informacin 9.09 80 80
3 Terceras partes 27.27 19.09
1 Debe Identificacin de riesgos por el acceso de terceras partes 9.09 50 50
2
2 Debe Temas de seguridad a tratar con clientes 9.09 80 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9.09 80 80
 Objetivos
NC. NC.
Dominios de Controles Orientacin Descripcin PD PO NC. O PC Escala
D C
Control
2 5 Clasificacin y control de activos 3.76 100 100
3 Responsabilidad sobre los activos 60 60
1 Debe Inventario de activos 20 100 100
1
2 Debe Propietario de activos 20 100 100
7
3 Debe Uso aceptable de los activos 20 100 100
2 Clasificacin de la informacin 40 40
2 1 Debe Guas de clasificacin 20 100 100
2 Debe Etiquetado y manejo de la informacin 20 100 100
10 32 Gestin de comunicaciones y operaciones 24.06 33.5 100
4 Procedimientos operacionales y responsabilidades 12.5 11.25
1 Debe Procedimientos de operacin documentados 3.125 100 100
1 2 Debe Control de cambios 3.125 100 100
3 Debe Separacin de funciones 3.125 80 80
4 Debe Separacin de las instalaciones de desarrollo y produccin 3.125 80 80
3 Administracin de servicios de terceras partes 9.38 8.13
1 Puede Entrega de servicios 3.12 100 100
2
2 Puede Monitoreo y revisin de servicios de terceros 3.12 80 80
10
3 Puede Manejo de cambios a servicios de terceros 3.12 80 80
2 Proteccin contra software malicioso y mvil 6.25 6.25
4 1 Debe Controles contra software malicioso 3.125 100 100
2 Debe Controles contra cdigo mvil 3.125 100 100
1 Copias de seguridad 3.13 1.57
5
1 Debe Informacin de copias de seguridad 3.13 50 50
2 Administracin de la seguridad en redes 6.25 6.25
6 1 Debe Controles de redes 3.125 100 100
2 Debe Seguridad de los servicios de red 3.125 100 100
 Objetivos
NC. NC.
Dominios de Controles Orientacin Descripcin PD NC. D PO PC Escala
O C
Control
7 25 Control de accesos 18.8 96.4 100
1 Requisitos de negocio para el control de acceso 4 4
1
1 Debe Poltica de control de accesos 4 100 100
4 Administracin de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100 100
2 2 Debe Administracin de privilegios 4 100 100
3 Debe Administracin de contraseas 4 100 100
4 Debe Revisin de los derechos de acceso de usuario 4 100 100
3 Responsabilidades de los usuarios 12 12
1 Debe Uso de contraseas 4 100 100
3
2 Puede Equipos de cmputo de usuario desatendidos 4 100 100
3 Puede Poltica de escritorios y pantallas limpias 4 100 100
7 Control de acceso a redes 28 28
11
1 Debe Poltica de uso de los servicios de red 4 100 100
2 Puede Autenticacin de usuarios para conexiones externas 4 100 100
3 Puede Identificacin de equipos en la red 4 100 100
4
4 Debe Administracin remota y proteccin de puertos 4 100 100
5 Puede Segmentacin de redes 4 100 100
6 Debe Control de conexin a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al 2istema operativo 24 20.4
1 Debe Procedimientos seguros de Log-on en el sistema 4 80 80
2 Debe Identificacin y autenticacin de los usuarios 4 100 100
5
3 Debe Sistema de administracin de contraseas 4 30
4 Puede Uso de utilidades de sistema 4 100 100
5 Debe Inactividad de la sesin 4 100 100
 6 Puede Limitacin del tiempo de conexin 4 100 100
2 Control de acceso a las aplicaciones y la informacin 8 8
6 1 Puede Restriccin del acceso a la informacin 4 100 100
2 Puede Aislamiento de sistemas sensibles 4 100 100
2 Ordenadores porttiles y teletrabajo 8 8
7 1 Puede Ordenadores porttiles y comunicaciones moviles 4 100 100
2 Puede Teletrabajo 4 100 100

Objetivos
NC. NC.
Dominios de Controles Orientacin Descripcin PD NC. D PO PC Escala
O C
Control
2 5 Gestin de incidentes de la seguridad de la informacin 3.76 100 100
2 Notificando eventos de seguridad de la informacin y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la informacin 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13 Gestin de incidentes y mejoramiento de la seguridad de la
3 informacin 60 60

2 1 Debe Procedimientos y responsabilidades 20 100 100

2 Puede Lecciones aprendidas 20 100 100
3 Debe Recoleccin de evidencia 20 100 100
 BIBLIOGRAFA
Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA ISO 27002.
Recuperado de http://www.senasofiaplus.edu.co
Angarita, Juan; Alarcn, Juan. (2016). Informe de auditora interna Sistema de Gestin de
Seguridad de la Informacin ISO/IEC 27001:2013. Recuperado de
http://es.presidencia.gov.co