APLICACIÓN DE LA NORMA ISO 27002

ANDRES JULIAN GIRALDO

TUTOR: CAMILO ANDRES GUTIERREZ OVIEDO

SENA

ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

JULIO DE 2019
 IMPLEMENTACION PLAN DE MEJORA DE ACUERDO CON LA NORMA
ISO

Se visitó la Clínica Chaira IPS del municipio de Cartagena del chaira y se

analizó la situación actual de la empresa basándonos en los once dominios de
la norma ISO 27002

1. Política de Seguridad
La clínica cuenta con un ingeniero de sistemas encargado de la
seguridad de la información, el cual cuenta con políticas de seguridad y
acceso a la información pero no cuenta con un documento formal que
trate sobre la política de seguridad de la información.

Que se debe hacer:

 establecer un documento donde se identifiquen las políticas de la
empresa respecto a la seguridad de la información y se
establezcan roles y responsabilidades.

2. Estructura organizativa para la seguridad

LA GERENCIA DEDE APOYAR activamente en la seguridad

estableciendo directrices y asignando roles y responsabilidades.

Que se debe hacer:

 Crear un Comité de la dirección sobre seguridad de la
información.
 Asignar responsabilidades para la seguridad de la información.
 Programar una revisión para la seguridad de la información.

3. Clasificación y control de activos

La clínica cuenta con un inventario de activos y se puede reconocer

fácilmente que persona tiene asignado un equipo en especial. Cada 6
meses la organización realiza nuevamente un inventario de activos. La
empresa cuenta con un repositorio institucional de documentos
ordenados y clasificados donde ayuda a cada uno de los usuarios en
sus tareas diarias.

4. Seguridad en el personal
Se tiene bien identificado en la organización cada uno de los roles de los
empleados. La gerencia tiene clara todas sus responsabilidades, el
personal de la empresa tiene una educación mínima en seguridad de la
información, el ingeniero de sistemas en el encargado de impartirles los
métodos y procesos que se realizan para el resguardo de la información.
 Que se debe hacer:
 Mejorar en la eliminación de privilegio de acceso a personal que
ya no labora al sistema de información que maneja la empresa.
 Mejorar un poco en los términos y condiciones de empleo

5. Seguridad física y del entorno

La clínica en este dominio no cuenta con ninguna debilidad, ya que se tiene un

perímetro establecido y unos buenos controles de acceso físico, áreas de
trabajo seguras, cada cierto tiempo se realizan simulacros de evacuación y se
cuenta con extintores y con rutas de salida marcadas en caso de una situación
de peligro. Referente a la seguridad de los equipos esta excelente, todo el
cableado en seguro y está en canaletas o entre las paredes, cada 3 meses se
realización mantenimiento preventivo y correctivo a los equipos.

6. Gestión de comunicaciones y operaciones

En la clínica el ingeniero de sistemas se encarga todo los controles de

seguridad, de realizar backups, de administrar la red de datos para que no
entren a página que no tengan nada que ver con el trabajo o para protección de
descarga de software malicioso, en cada uno de los equipos se maneja rol del
administrador y rol del invitado. En el sistema de información cada uno de los
empleados maneja su rol y administra la información adecuadamente, falta
realizar monitoreo a los procesos de que realiza el sistema de información.

Que se debe hacer:

 Planificar monitoreo a los problemas del sistema.
 implementar el pago de los servicios a través de internet.

7. Control de accesos
La clínica maneja un sistema de información que maneja casi todos los
conceptos de este dominio y el ingeniero es el encargado de darle
conexión a cada uno de los host a la red de datos interna e externa.

8. Desarrollo y mantenimiento de sistemas

El ingeniero de sistemas ha realizado una tarea muy importante para mejorar

cada uno de los aspectos de este dominio, trimestralmente se hace una
revisión general de todos cómputos de la organización y semanalmente se
limpieza de software y archivos innecesarios a los equipos y diariamente se
hace un respaldo a la información.

9. Gestión de incidentes de la seguridad de la información

En este dominio la empresa falla ya que no se lleva una bitácora de los eventos
que se ocasión en la gestión de la información, este hace que cada vez que
ocurra un problema no se tenga los pasos a proceder para dar solución a la
falla.

10. Gestión de la continuidad del negocio

La gestión de la información por parte de la empresa en este dominio es

mínima.

11. Cumplimiento

En este dominio la gestión de la empresa es parcial, se tiene protección a

información confidencial, controles de auditoria y identificación de la
legislación aplicable.

RECOMENDACIONES

 Realizar campaña de concientización sobre la importancia de la

seguridad de la información y como ella ayuda a las toma de
decisiones por parte de la gerencia.
 Se recomienda temer un manual de políticas de seguridad
establecido.
 Se debe proteger el código fuente del SI para evitar copia,
modificación o divulgación de los mismos.
 Crear un Comité de la dirección sobre seguridad de la información.
 Programar auditorias sobre los procesos que se llevan para un
tiramiento adecuado de la información.

CONCLUSIONES

 Luego de aplicar la norma ISO 27002 para la Clínica Chaira IPS se

puede detectar muchas deficiencias en los procesos para salvaguardar
la información.
 Con la implementación del manual de las políticas de seguridad, se
brindara una guía para trabajar en los procesos deficientes entorno a la
seguridad.