SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 1 de 11

SERVICIO NACIONAL DE APRENDIZAJE

GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS

INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La norma
ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles.
A continuación, se realiza una descripción de los aspectos que deben ser tenidos
en cuenta al momento de evaluar los controles de cada uno de los dominios de la
norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección
para la seguridad de la información en relación a los requisitos del negocio y
regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos controles
gestionan la seguridad de la información dentro de la Organización. El órgano de
dirección debe aprobar la política de seguridad de la información, asignando los
roles de seguridad y coordinando la implantación de la seguridad en toda la
Organización. Terceras partes: estos controles velan por mantener la seguridad de
los recursos de tratamiento de la información y de los activos de información de la
organización.
Clasificación y control de activos: Responsabilidad sobre los activos: estos controles
pretenden alcanzar y mantener una protección adecuada de los activos de la
organización. Clasificación y control de de la información: la información se
encuentra clasificada para indicar las necesidades, prioridades y nivel de protección
previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir el
riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de
información sensible deben estar ubicados en áreas seguras y protegidas en un
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 2 de 11

perímetro de seguridad definido por barreras y controles de entrada, protegidas

físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra
amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e
infraestructura del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y
mantener un nivel apropiado de seguridad de la información, además de la
operación correcta y segura de los recursos de tratamiento de información,
minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
información en las redes y la protección de su infraestructura de apoyo. Control de
accesos: Controla los accesos a la información y los recursos de tratamiento de la
información en base a las necesidades de seguridad de la organización y las
políticas para el control de los accesos. Desarrollo y mantenimiento de sistemas: Se
diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen
algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos
controles se determinan en función de los requisitos de seguridad y la estimación
del riesgo. Gestión de incidentes de seguridad de la información: Se establecen
informes de los eventos y de los procedimientos realizados, todos los empleados,
contratistas y terceros deben estar al tanto de los procedimientos para informar de
los diferentes tipos de eventos y debilidades que puedan tener impacto en la
seguridad de los activos de la organización. Gestión de la continuidad del negocio:
La seguridad de información debe ser una parte integral del plan general de
continuidad del negocio (PCN) y de los demás procesos de gestión dentro de la
organización. El plan de gestión de la continuidad debe incluir el proceso de
evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,
estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
dentro y fuera de la organización. Los requisitos legales específicos deberían ser
advertidos por los asesores legales de la organización o por profesionales del área.
Además, se deberían realizar revisiones regulares de la seguridad de los sistemas
de información.
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 3 de 11

OBJETIVO DE LA AUDITORIA
• Evaluar la conformidad del sistema de gestión de seguridad de la información
regido bajo la norma ISO 27002.

• Revisar la situación actual de la empresa identificando las condiciones de

seguridad de la información.

• Proponer un plan de mejora con base a los hallazgos encontrados en el

contexto de seguridad de la información con base a la norma 27002.
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 4 de 11

ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la

información
relacionada con la empresa IEB, donde se analizaron todos los requisitos bajo la
norma ISO
27002, expuestos en el anexo de este documento
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 5 de 11

RESULTADOS DE LA AUDITORIA

ASPECTOS CONFORMES

• Se pudo identificar que la empresa cuenta con una política de seguridad

sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.

• La estructura organizativa para la seguridad se encuentra bien constituida en

lo correspondiente a la organización interna y lo relacionado con las terceras
partes.

• La empresa cuenta con el inventario de los activos que posee, sus

propietarios y uso aceptable. Además, cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de la
información.

• Durante la auditoria se pudo identificar que los procedimientos y

responsabilidades se encuentran bien definidos y documentados, al igual que
la administración de los servicios de terceras partes, monitoreando y
revisando sus servicios.

• Los controles de seguridad contra software malicioso se encuentran bien

soportados, empleando controles en las redes y seguridad de sus servicios.

• Se identifican sólidos controles de accesos, empleando políticas de control

de accesos, registrando usuarios y administrando sus privilegios y
contraseñas. También se ejerce fuerte control de acceso a las redes, por
medio de autenticación para usuarios con conexiones externas.

• Se registran procedimientos, reportes y procedimientos de los incidentes

relacionados con la seguridad de la información; recolectando evidencias y
publicando las lecciones aprendidas.
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 6 de 11

ASPECTOS CONFORMES

• Se logró evidenciar que no se encuentra bien definido un comité relacionado

con la dirección sobre la seguridad de la información.

• No se soporta los riesgos identificados por el acceso de terceras personas.

• No se tienen claras las políticas de copias de seguridad de la información,

donde posiblemente no se tenga soporte de estas.

• Se pudo observar que no se posee un sistema de administración de

contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 7 de 11

OPORTUNIDADES DE MEJORA

PLAN DE MEJORA SUGERIDO

 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 8 de 11

RESULTADOS DE LA AUDITORIA
 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 9 de 11

 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 10 de 11

 SERVICIO NACIONAL DE APRENDIZAJE | SENA

Lizeth Daniela Espitia Ruiz – Cc. 1019103384 Página 11 de 11