Escolar Documentos
Profissional Documentos
Cultura Documentos
CC: 53139940
Tutor:
SENA
21 de febrero de 2018*
*El trabajo fue entregado originalmente el 16 de diciembre de 2017 al profesor Juan David
Agudelo Acevedo.
Contenido
INTRODUCCIÓN ............................................................................................................................. 4
OBJETIVO DE LA AUDITORIA ...................................................................................................... 5
ALCANCE DE LA AUDITORIA .......................................................................................................... 5
RESULTADOS DE LA AUDITORIA .................................................................................................... 6
OPORTUNIDADES DE MEJORA ...................................................................................................... 7
PLAN DE MEJORA SUGERIDO ........................................................................................................ 8
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000
en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas
de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5
al 15), 39 objetivos de control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
Clasificación y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
control de la información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones
y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de información
sensible deben estar ubicados en áreas seguras y protegidas en un perímetro de seguridad
definido por barreras y controles de entrada, protegidas físicamente contra accesos no
autorizados. Seguridad de los equipos: se enfoca en los controles de protección contra amenazas
físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del
cableado.
Gestión de la continuidad del negocio: La seguridad de información debe ser una parte integral
del plan general de continuidad del negocio (PCN) y de los demás procesos de gestión dentro de
la organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y
asegurar la reanudación a tiempo de las operaciones esenciales.
OBJETIVO DE LA AUDITORIA
ALCANCE DE LA AUDITORIA
ASPECTOS CONFORMES
•Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando con
documentos que soportan la seguridad de la información, al igual que las revisiones de estas.
•La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso aceptable.
Además cuenta con una clasificación organizada, incluyendo las guías de clasificación,
etiquetado y manejo de la información.
•Se logró evidenciar que no se encuentra bien definido un comité relacionado con la dirección
sobre la seguridad de la información.
•No se tienen claras las políticas de copias de seguridad de la información, donde posiblemente
no se tenga soporte de estas.
Terceras Partes.
o Identificación de riesgos por el acceso de terceras partes.
Se considera importante analizar los riesgos por parte de acceso de terceras partes, esto para
garantizar la solidez del esquema de seguridad de la información con una estructura
organizativa mejor formada.
Copias de seguridad.
o Información de copias de seguridad
Se deben documentar y soportar las copias de seguridad, con el fin de obtener mejores
prestaciones en la persistencia de los datos y obteniendo a su vez mejor gestión de
comunicaciones y operaciones.
Control de accesos
Para garantizar la robustez de los controles de acceso, es necesario que se mejore el sistema
de administración de contraseñas; permitiéndole a los usuarios realizar cambios periódicos de
estas garantizando la seguridad de los datos privados de la empresa.
PLAN DE MEJORA SUGERIDO
MES
FASE ACTIVIDADES
1 2 3 4 5
Estructura organizativa para la seguridad
Organización Interna.
o Comité de la dirección sobre seguridad de la información.
Estructura organizativa para la seguridad
Terceras Partes.
Análisis de la información o Identificación de riesgos por el acceso de terceras partes.
ISO 27002 Gestión de comunicaciones y operaciones
Copias de seguridad.
o Información de copias de seguridad.
Control de accesos
Control de acceso al sistema operativo.
o Sistema de administración de contraseñas.