Académique Documents
Professionnel Documents
Culture Documents
INTRODUCCION
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se
reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de
seguridad de información.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
controles; que están distribuidos como se observa en la siguiente estructura:
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
5. Política de seguridad
"Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento
de la información y de los activos de información de la organización."
Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección
adecuada de los activos de la organización.
"Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de
terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen,
para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios."
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado."
Controla los accesos a la información y los recursos de tratamiento de la información en base a las
necesidades de seguridad de la organización y las políticas para el control de los accesos.
Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún
efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.
"Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados,
contratistas y terceros deben estar al tanto de los procedimientos para informar de los diferentes
tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos de la
organizacion."
La seguridad de información debe ser una parte integral del plan general de continuidad del
negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de gestión de
la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las
operaciones esenciales.
15. Cumplimiento
RESULTADOS DE LA AUDITORIA
Se evidencia que de los 11 dominios evaluados dentro de la auditoria solo 1 está por debajo de
43,75% los demás están por encima de 50% esto indica que la evaluación esta entre el nivel medio
son 5 criterios o dominios y en el nivel alto 6 criterios o dominios.
Para la evaluación se observaron muchas fortalezas que posee la empresa frente a la seguridad y
con relación a la normatividad ISO 27002, ya que presentan documentación estructurada, al igual
lineamientos y análisis de toda la infraestructura.
También se observó que no se tienen lineamientos cuando son temas relacionados con terceras
personas (clientes, o trabajadores externos). Se les informa que se deben generar políticas de
seguridad.
PLAN DE MEJORA
Para optar estándares internacionales se deben tener en cuenta los criterios o la privacidad de la
empresa lo cual se analiza y no se pueden generar nuevas políticas de seguridad ya que se tienen
contemplados la normatividad actual y no es adecuado integrar con estándares internacionales.