Académique Documents
Professionnel Documents
Culture Documents
Descripcin breve
Dominar los conceptos claves para preservar la seguridad de la informacin.
Conocer estndares internaciones como gua y apoyo en la seguridad de la informacin.
INTRODUCCIN ................................................................................................................................... 1
OBJETIVO DE LA AUDITORIA ............................................................................................................... 3
ALCANCE DE LA AUDITORIA ................................................................................................................ 4
RESULTADOS DE LA AUDITORIA .......................................................................................................... 5
ASPECTOS CONFORMES .................................................................................................................. 5
ASPECTOS CONFORMES .................................................................................................................. 6
OPORTUNIDADES DE MEJORA ............................................................................................................ 7
PLAN DE MEJORA SUGERIDO .............................................................................................................. 8
RESULTADOS DE LA AUDITORIA .......................................................................................................... 0
BIBLIOGRAFA ...................................................................................................................................... 0
INTRODUCCIN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en
las que se renen las mejores prcticas para desarrollar, implementar y mantener sistemas de
gestin de seguridad de informacin. La norma ISO 27002 se compone de 11 dominios (del 5 al 15),
39 objetivos de control y 133 controles.
A continuacin se realiza una descripcin de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
Poltica de seguridad: Estos controles proporcionan la gua y apoyo de la direccin para la seguridad
de la informacin en relacin a los requisitos del negocio y regulaciones relevantes.
Clasificacin y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una proteccin adecuada de los activos de la organizacin. Clasificacin y
control de de la informacin: la informacin se encuentra clasificada para indicar las necesidades,
prioridades y nivel de proteccin previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.
Seguridad fsica y del entorno: reas seguras: Los servicios de procesamiento de informacin
sensible deben estar ubicados en reas seguras y protegidas en un permetro de seguridad definido
por barreras y controles de entrada, protegidas fsicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de proteccin contra amenazas fsicas y para
salvaguardar servicios de apoyo como energa elctrica e infraestructura del cableado.
Gestin de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un nivel
apropiado de seguridad de la informacin, adems de la operacin correcta y segura de los recursos
de tratamiento de informacin, minimizando el riesgo de fallos en los sistemas y asegurando la
proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo.
Gestin de la continuidad del negocio: La seguridad de informacin debe ser una parte integral del
plan general de continuidad del negocio (PCN) y de los dems procesos de gestin dentro de la
organizacin. El plan de gestin de la continuidad debe incluir el proceso de evaluacin y asegurar
la reanudacin a tiempo de las operaciones esenciales.
Se pudo identificar que la empresa cuenta con una poltica de seguridad slida, contando
con documentos que soportan la seguridad de la informacin, al igual que las revisiones de
estas.
La estructura organizativa para la seguridad se encuentra bien constituida en lo
correspondiente a la organizacin interna y lo relacionado con las terceras partes.
La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso
aceptable. Adems cuenta con una clasificacin organizada, incluyendo las guas de
clasificacin, etiquetado y manejo de la informacin.
Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se
encuentran bien definidos y documentados, al igual que la administracin de los servicios
de terceras partes, monitoreando y revisando sus servicios.
Los controles de seguridad contra software malicioso se encuentran bien soportados,
empleando controles en las redes y seguridad de sus servicios.
Se identifican slidos controles de accesos, empleando polticas de control de accesos,
registrando usuarios y administrando sus privilegios y contraseas. Tambin se ejerce fuerte
control de acceso a las redes, por medio de autenticacin para usuarios con conexiones
externas.
Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con
la seguridad de la informacin; recolectando evidencias y publicando las lecciones
aprendidas.
ASPECTOS CONFORMES
Objetivos
NC. NC.
Dominios de Controles Orientacin Descripcin PD NC. D PO PC Escala
O C
Control
2 5 Gestin de incidentes de la seguridad de la informacin 3.76 100 100
2 Notificando eventos de seguridad de la informacin y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la informacin 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13 Gestin de incidentes y mejoramiento de la seguridad de la
3 informacin 60 60