ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

AA1-E5-APLICACIÓN DE LA NORMA ISO 27002

WILBER MENESES HOYOS

FICHA: 1881788

JUNIO 25 DEL 2019

 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La
norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de
control y 133 controles.

Se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO
27002:

Política de seguridad: Estos controles proporcionan la guía y apoyo de la

dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes.

Estructura organizativa para la seguridad: Organización interna: estos

controles gestionan la seguridad de la información dentro de la Organización. El
órgano de dirección debe aprobar la política de seguridad de la información,
asignando los roles de seguridad y coordinando la implantación de la seguridad
en toda la Organización. Terceras partes: estos controles velan por mantener la
seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización.

Clasificación y control de activos: Responsabilidad sobre los activos: estos

controles pretenden alcanzar y mantener una protección adecuada de los activos
de la organización. Clasificación y control de la información: la información se
encuentra clasificada para indicar las necesidades, prioridades y nivel de
protección previsto para su tratamiento.
 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

Seguridad del personal: Este conjunto de controles se enfocan en asegurar

que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para reducir
el riesgo de robo, fraude y mal uso de las instalaciones y medios.

Seguridad física y del entorno: Áreas seguras: Los servicios de

procesamiento de información sensible deben estar ubicados en áreas seguras
y protegidas en un perímetro de seguridad definido por barreras y controles de
entrada, protegidas físicamente contra accesos no autorizados. Seguridad de los
equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del
cableado.

Gestión de las comunicaciones y operaciones: Procura asegurar,

implementar y mantener un nivel apropiado de seguridad de la información,
además de la operación correcta y segura de los recursos de tratamiento de
información, minimizando el riesgo de fallos en los sistemas y asegurando la
protección de la información en las redes y la protección de su infraestructura
de apoyo.

Control de accesos: Controla los accesos a la información y los recursos de

tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.

Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles

adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.
 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

Gestión de incidentes de seguridad de la información: Se establecen

informes de los eventos y de los procedimientos realizados, todos los empleados,
contratistas y terceros deben estar al tanto de los procedimientos para informar
de los diferentes tipos de eventos y debilidades que puedan tener impacto en la
seguridad de los activos de la organización.

Gestión de la continuidad del negocio: La seguridad de información debe ser

una parte integral del plan general de continuidad del negocio (PCN) y de los
demás procesos de gestión dentro de la organización. El plan de gestión de la
continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.

Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier

ley, estatuto, regulación u obligación contractual y de cualquier requisito de
seguridad dentro y fuera de la organización. Los requisitos legales específicos
deberían ser advertidos por los asesores legales de la organización o por
profesionales del área. Además se deberían realizar revisiones regulares de la
seguridad de los sistemas de información.
 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

ASPECTOS CONFORMES

a. Se pudo identificar que la empresa cuenta con una política de seguridad

sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.
b. La estructura organizativa para la seguridad se encuentra bien constituida
en lo correspondiente a la organización interna y lo relacionado con las
terceras partes.
c. La empresa cuenta con el inventario de los activos que posee, sus
propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo de
la información.
d. Durante la auditoria se pudo identificar que los procedimientos y
responsabilidades se encuentran bien definidos y documentados, al igual
que la administración de los servicios de terceras partes, monitoreando y
revisando sus servicios.
e. Los controles de seguridad contra software malicioso se encuentran bien
soportados, empleando controles en las redes y seguridad de sus
servicios.
f. Se identifican sólidos controles de accesos, empleando políticas de control
de accesos, registrando usuarios y administrando sus privilegios y
contraseñas. También se ejerce fuerte control de acceso a las redes, por
medio de autenticación para usuarios con conexiones externas.
g. Se registran procedimientos, reportes y procedimientos de los incidentes
relacionados con la seguridad de la información; recolectando evidencias
y publicando las lecciones aprendidas.
 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

ASPECTOS NO CONFORMES

a. Se logra evidenciar que no se encuentra bien definido un comité

relacionado con la dirección sobre la seguridad de la información.
b. No se soporta los riesgos identificados por el acceso de terceras personas.
c. No se tienen claras las políticas de copias de seguridad de la información,
donde posiblemente no se tenga soporte de estas.
d. Se pudo observar que no se posee un sistema de administración de
contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.

PLAN DE MEJORAS

Estructura organizativa para la seguridad

Organización Interna. O Comité de la dirección sobre seguridad de la

información.

Se considera necesario que se conformen o se definan de manera más clara el

comité de la dirección sobre seguridad de la información, esto permitirá una
estructura organizativa más sólida para la empresa.

Estructura organizativa para la seguridad

Terceras Partes. O Identificación de riesgos por el acceso de terceras

partes.

Se considera importante analizar los riesgos por parte de acceso de terceras

partes, esto para garantizar la solidez del esquema de seguridad de la
información con una estructura organizativa mejor formada.
 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

Gestión de comunicaciones y operaciones

Copias de seguridad. o Información de copias de seguridad.

Se deben documentar y soportar las copias de seguridad, con el fin de obtener

mejores prestaciones en la persistencia de los datos y obteniendo a su vez
mejor gestión de comunicaciones y operaciones.

Control de accesos

Control de acceso al sistema operativo. O Sistema de administración

de contraseñas.

Para garantizar la robustez de los controles de acceso, es necesario que se

mejore el sistema de administración de contraseñas; permitiéndole a los
usuarios realizar cambios periódicos de estas garantizando la seguridad de los
datos privados de la empresa.

PLAZO PARA MEJORA SUGERIDO

Análisis de la información

ISO 27002

Estructura organizativa para la seguridad

Organización Interna. O Comité de la dirección sobre seguridad de la

información.

Para 2 meses

Estructura organizativa para la seguridad

Terceras Partes. O Identificación de riesgos por el acceso de terceras partes.

Gestión de comunicaciones y operaciones

 ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASE DE DATOS

Copias de seguridad. O Información de copias de seguridad.

Para 1 mes

Control de accesos

Control de acceso al sistema operativo. O Sistema de administración de

contraseñas.

Para 3 meses