SISTEMA DE GESTION DE SEGURIDAD INFORMÁTICA

Fase 3 - Verificación de controles, SOA y PTR

LUIS MANUEL MESA MENDIVELSO

Código: 1118551012

GRUPO: 233003_3

Tutor: JUAN JOSE CRUZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ‘'UNAD''

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
COLOMBIA
MAYO DE 2018
 Contenido
INTRODUCCIÓN .......................................................................................................................... 3
OBJETIVOS ................................................................................................................................... 4
OBJETIVO GENERAL .............................................................................................................. 4
OBJETIVOS ESPECÍFICOS ..................................................................................................... 4
1. El estudiante participa en la elaboración del documento de alcances del SGSI, de acuerdo
con los activos informáticos de la organización y hace sus aportes de manera oportuna una
semana antes de finalizar la actividad (20 puntos) ......................................................................... 5
1.1. ALCANCE .......................................................................................................................... 5
2. El estudiante participa en la selección de dominios y objetivos de control de acuerdo a los
alcances del SGSI y lo hace de manera oportuna una semana antes de finalizar la actividad. (20
puntos)............................................................................................................................................. 6
3. El estudiante participa en la elaboración de las listas de chequeo para verificación de
controles existentes, las preguntas están acordes a los controles de la norma ISO/IEC 27002,
estos son aplicados en la empresa y su participación se hace de manera oportuna con una semana
antes de finalizar la actividad (40 puntos) ...................................................................................... 7
4. El estudiante realiza la medición del nivel de madurez en cada dominio de la norma
ISO/IEC 27002 de acuerdo a los resultados de las listas de chequeo y lo hace de manera oportuna
con una semana de anticipación antes de terminar la actividad (20 puntos) .................................. 8
5. El estudiante elabora el documento de declaración de aplicabilidad SOA y lo hace de
manera oportuna con una semana de anticipación antes de terminar la actividad. (20 puntos) ... 10
CONCLUSIONES ........................................................................................................................ 15
BIBLIOGRAFÍA .......................................................................................................................... 16
 INTRODUCCIÓN

En este documento el estudiante conocerá la estructura de las normas ISO/IEC 27001 y la ISO/IEC
27002 y las aplica para elaborar las listas de chequeo para verificación de controles además de
definir los alcances del SGSI para la empresa y seleccionando los dominios y controles aplicables
de acuerdo a los activos informáticos existentes en la empresa.
Se aplicarán las listas de chequeo de acuerdo a la norma ISO/IEC 27001 e ISO/IEC 27002, y
elabora el cuadro de nivel de madurez para cada dominio que permita medir el cumplimiento de
la norma de acuerdo a los resultados de su aplicación, Además de la elaboración de un documento
de declaración de aplicabilidad SOA donde se especifican los controles que aplican para cada uno
de los dominios de la norma.
 OBJETIVOS

OBJETIVO GENERAL

 Verificación de controles, SOA y PTR

OBJETIVOS ESPECÍFICOS

1- Definir los alcances del SGSI

2- Selección de dominios y objetivos de control de acuerdo a los alcances del SGSI

3- Elaboración de las listas de chequeo para verificación de controles existentes

4- Realización de la medición del nivel de madurez en cada dominio de la norma ISO/IEC

27002 de acuerdo a los resultados de las listas de chequeo

5- Elaboración del documento de declaración de aplicabilidad SOA.

 1. El estudiante participa en la elaboración del documento de alcances del SGSI, de acuerdo
con los activos informáticos de la organización y hace sus aportes de manera oportuna una
semana antes de finalizar la actividad (20 puntos)
Solucion:

ALCANCE

En este trabajo se llevará a cabo en la empresa JEHEDY la parte de planificación estableciendo el

sistema de gestión de seguridad de la información

De acuerdo con el estándar internacional ISO/IEC 27001:2013, re realizará un diagnóstico de la

situación actual de la seguridad de la información,

Lo anterior teniendo en cuenta que con ellos se abordan las áreas críticas de cualquier organización
como son los activos, seguridad física y ambiental, y el control de acceso y adicionalmente estos
dominios están directamente relacionados con los tres pilares básicos de la seguridad como son: la
confidencialidad, integridad y disponibilidad.
 2. El estudiante participa en la selección de dominios y objetivos de control de acuerdo a los
alcances del SGSI y lo hace de manera oportuna una semana antes de finalizar la actividad.
(20 puntos)
Con respecto a al alcance del SGSI se seleccionaron los siguientes dominios y controles:

Solucion:

Numeral ISO/IEC 27002:2013. DOMINIOS, OBJETIVOS DE CONTROL

5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
No se evidencia la política de seguridad de la Información en la organización, ni la aprobación por parte
de la alta dirección ni su divulgación a empleados, contratistas y terceros.
6 ORGANIZACIÓN DE LA INFORMACIÓN
6.1 Organización interna.
En la organización cada uno de los colaboradores tiene asignadas la realización de actividades que hacen
parte de sus procesos, los cuales No están documentados en un Manual de Procesos y Procedimientos,
en los cuales se establecen los responsables y controles en materia de manejo de la información.
Igualmente, no se evidencia las asignación de roles y responsabilidades en seguridad de la Información
7 SEGURIDAD EN LOS RECURSOS HUMANOS
7.1 Antes del empleo.
JEHEDY, tiene documentado el procedimiento de administración de personal, en el cual se realiza el
ingreso de los empleados cumpliendo con los requisitos establecidos en la normativa vigente. Uno de
los requisitos que debe cumplir el candidato a ingresar a la organización es el no tener antecedentes
disciplinarios, ni fiscales, ni penales
7.2 Durante el empleo
Durante la contratación no se evidencian capacitaciones en seguridad de la información a los
empleados y contratistas.
8 GESTIÓN DE LOS ACTIVOS
8.1 Responsabilidades de los activos
JEHEDY no cuenta con un inventario de activos de información consolidado donde tenga asociado los
responsables.
8.2 Clasificación de la Información
En la organización se cuenta con clasificación de la información en los tipos: Interna, Confidencial.
8.3 Manejo de medios
Los medios físicos en tránsito, gestión de medios removibles no se encuentran controlados ni existen
políticas donde se mencione su manejo.
9 CONTROL DE ACCESOS
9.1 Control de accesos a los requerimientos de negocio
Durante las entrevistas realizadas a los empleados y contratistas se menciona que no cuentan con políticas
de seguridad de la Información.
10 CRIPTOGRAFÍA
10.1 Controles Criptográficos
No se cuenta con sistemas de autenticación segura mediante cifrado en el servidor.
11 SEGURIDAD FÍSICA Y AMBIENTAL
11.2 Equipos
 Existe cableado estructurado en buen estado, se realiza mantenimiento a los equipos de
cómputo, se cuenta con control de ingreso y salida de equipos.
12 SEGURIDAD EN LAS OPERACIONES
12.1 Protección contra malware
JEHEDY, tiene implementado antivirus en los equipos de cómputo, cuenta con controles
de acceso lógico mediante un firewall.
13 SEGURIDAD EN LAS COMUNICACIONES.
13.1 Gestión de seguridad en las redes.
JEHEDY, cuenta con la implementación de controles en las redes con firewall, y políticas de directorio activo.
14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
14.1 Datos de prueba
Para la validación de los sistemas de información se realiza con datos de producción, los cuales son
eliminados al momento de finalización de las pruebas.
15 RELACIÓN CON PROVEEDORES
15.1 Seguridad en la relación con proveedores
En el proceso de contratación se tienen definidas las pólizas de cumplimiento, acuerdos de niveles de
servicio, entre otros.
16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
16.1 Gestión de incidentes de seguridad de la información y mejoras
La organización no cuenta con procedimientos documentados o implementados para atención,
monitoreo, seguimiento y prevención de incidentes de seguridad de la información.
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA
17
CONTINUIDAD DEL NEGOCIO
17.1 Seguridad en la continuidad del negocio
JEHEDY no cuenta con Plan de continuidad de negocio o plan de recuperación de desastres de forma
que se pueda mantener la operación de los sistemas críticos de la organización ante la materialización de
escenarios catastróficos. Se requiere dar una mayor relevancia a este dominio ya que se está arriesgando
la subsistencia de la organización.

3. El estudiante participa en la elaboración de las listas de chequeo para verificación de

controles existentes, las preguntas están acordes a los controles de la norma ISO/IEC
27002, estos son aplicados en la empresa y su participación se hace de manera oportuna
con una semana antes de finalizar la actividad (40 puntos)
Solucion:
 Item ISO/IEC 27002:2013. LISTA CHEQUEO S I NO OBS ERVACION

5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Se cuenta con una la política de seguridad de la Información en la organización X
6 ORGANIZACIÓN DE LA INFORMACIÓN
6.1 Organización interna.
Se encuentran documentados todos los procesos X
7 SEGURIDAD EN LOS RECURSOS HUMANOS
7.1 Antes del empleo.
Se tiene documentado el procedimiento de administración de personal X
7.2 Durante el empleo
Se realizan capacitaciones en seguridad de la información a los empleados y contratistas . X
8 GESTIÓN DE LOS ACTIVOS
8.1 Responsabilidades de los activos
Se encuentra el inventario de activos de información consolidado donde tenga asociado los responsables. X
8.2 Clasificación de la Información
Se clasifica la información en cuatro grandes tipos: Interna, Confidencial. X
8.3 Manejo de medios
Se encuentran controlados ni existen políticas donde se mencione su manejo. X
9 CONTROL DE ACCESOS
9.1 Control de accesos a los requerimientos de negocio
Se realizan entrevistas a los empleados y contratistas donde se mencionen que no cuentan con políticas de seguridad de la Información. X
10 CRIPTOGRAFÍA
10.1 Controles Criptográficos
Se encuentran los sistemas de autenticación segura mediante cifrado en el servidor. X
11 SEGURIDAD FÍSICA Y AMBIENTAL
11.2 Equipos
Se cuenta con control de ingreso y salida de equipos. X
12 SEGURIDAD EN LAS OPERACIONES
12.1 Protección contra malware
Se cuenta con controles de acceso lógico. X
13 SEGURIDAD EN LAS COMUNICACIONES.
13.1 Gestión de seguridad en las redes.
Se cuenta con la implementación de controles en las redes. X
14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
14.1 Datos de prueba
Se cuenta con una bitacora de registros X
15 RELACIÓN CON PROVEEDORES
15.1 Seguridad en la relación con proveedores
Se encuntra documentado el proceso de contratación se tienen definidas las pólizas de cumplimiento. X
16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
16.1 Gestión de incidentes de seguridad de la información y mejoras
Se lleva un seguimiento y prevención de incidentes de seguridad de la información. X
17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
17.1 Seguridad en la continuidad del negocio
Se cuenta con Plan de continuidad de negocio. X
 4. El estudiante realiza la medición del nivel de madurez en cada dominio de la norma
ISO/IEC 27002 de acuerdo con los resultados de las listas de chequeo y lo hace de manera
oportuna con una semana de anticipación antes de terminar la actividad (20 puntos)
Solucion:
Denominación
Control
Control Cumple con
Control particular formalizado, Control bajo
# ISO aplicado, pero las % de
ISO/IEC 27002:2013. DOMINIOS, OBJETIVOS DE CONTROL Inexistente de algunos falta la mejora
27002 no directrices cumplimiento
colaboradores medición y continua
documentado normativas
monitoreo
5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 60%
6 ORGANIZACIÓN DE LA INFORMACIÓN 40%
6.1 Organización interna. 40%
7 SEGURIDAD EN LOS RECURSOS HUMANOS 60%
7.1 Antes del empleo. 60%
7.2 Durante el empleo 40%
8 GESTIÓN DE LOS ACTIVOS 20%
8.1 Responsabilidades de los activos 40%
8.2 Clasificación de la Información 40%
8.3 Manejo de medios 40%
9 CONTROL DE ACCESOS 60%
9.1 Control de accesos a los requerimientos de negocio 40%
10 CRIPTOGRAFÍA 20%
10.1 Controles Criptográficos 20%
11 SEGURIDAD FÍSICA Y AMBIENTAL 60%
11.2 Equipos 60%
12 SEGURIDAD EN LAS OPERACIONES 40%
12.1 Protección contra malware 40%
13 SEGURIDAD EN LAS COMUNICACIONES. 20%
13.1 Gestión de seguridad en las redes. 20%
14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 60%
14.1 Datos de prueba 60%
15 RELACIÓN CON PROVEEDORES 20%
15.1 Seguridad en la relación con proveedores 20%
16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 20%
16.1 Gestión de incidentes de seguridad de la información y mejoras 20%
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE
17 LA CONTINUIDAD DEL NEGOCIO
0%
17.1 Seguridad en la continuidad del negocio 0%
 5. El estudiante elabora el documento de declaración de aplicabilidad SOA y lo hace de
manera oportuna con una semana de anticipación antes de terminar la actividad. (20
puntos)
Solucion:

DECLARACIÓN DE APLICABILIDAD (SOA)

ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES
Evidencia o
Numeral Dominios, Objetivos y Controles Aplicabilidad Estado Justificación registro de
implementación
5 POLÍTICAS DE SEGURIDAD. Aplica
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información Si
5.1.2 Revisión de las políticas para la seguridad de la información. Si
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
6 Aplica
INFORMACION
6.1 Organización interna.
Asignación de responsabilidades para la seguridad de la
6.1.1 Si
información.
6.1.2 Segregación de tareas Si
6.1.3 Contacto con las autoridades. Si
6.1.4 Contacto con grupos de interés especial. Si
6.1.5 Seguridad de la información en la gestión de proyectos. Si
6.2 Dispositivos para movilidad y teletrabajo.
6.2.1 Política de uso de dispositivos para movilidad. Si
6.2.2 Teletrabajo. Si
7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS No Aplica
7.1 Antes de la contratación.
7.1.1 Investigación de antecedentes. No
7.1.2 Términos y condiciones de contratación. No
7.2 Durante la contratación.
7.2.1 Responsabilidades de gestión. No
7.2.2 Responsabilidades de gestión. No
7.2.3 Proceso disciplinario. No
7.3 Cese o cambio de puesto de trabajo.
7.3.1 Cese o cambio de puesto de trabajo. No
8 GESTIÓN DE ACTIVOS. Aplica
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos. Si
8.1.2 Propiedad de los activos. Si
8.1.3 Uso aceptable de los activos. Si
8.1.4 Devolución de activos. Si
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación. Si
8.2.2 Etiquetado y manipulado de la información. Si
8.2.3 Manipulación de activos. Si
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles. Si
8.3.2 Eliminación de soportes. Si
8.3.3 Soportes físicos en tránsito. Si
9 CONTROL DE ACCESOS. Aplica
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos. Si
9.1.2 Control de acceso a las redes y servicios asociados. Si
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios. Si
9.2.2 Gestión de los derechos de acceso asignados a usuarios. Si
9.2.3 Gestión de los derechos de acceso con privilegios especiales. Si
9.2.4 Gestión de información confidencial de autenticación de usuarios. Si
9.2.5 Revisión de los derechos de acceso de los usuarios. Si
9.2.6 Retirada o adaptación de los derechos de acceso Si
9.3 Responsabilidades del usuario.
9.3.1 Uso de información confidencial para la autenticación Si
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información Si
9.4.2 Procedimientos seguros de inicio de sesión Si
9.4.3 Gestión de contraseñas de usuario Si
9.4.4 Uso de herramientas de administración de sistemas. Si
9.4.5 Control de acceso al código fuente de los programas. Si
10 CIFRADO. Aplica
10.1 Controles criptográficos.
10.1.1 Política de uso de los controles criptográficos. Si
10.1.2 Gestión de claves. Si
11 SEGURIDAD FÍSICA Y AMBIENTAL Aplica
11.1 Áreas seguras.
11.1.1 Política de control de acceso Si
11.1.2 Registro de usuarios Si
11.1.3 Seguridad de oficinas, despachos y recursos. Si
11.1.4 Protección contra las amenazas externas y ambientales. Si
11.1.5 El trabajo en áreas seguras. Si
11.1.6 Áreas de acceso público, carga y descarga. Si
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos. Si
11.2.2 Instalaciones de suministro. Si
11.2.3 Seguridad del cableado Si
11.2.4 Mantenimiento de los equipos. Si
11.2.5 Salida de activos fuera de las dependencias de la empresa Si
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. Si
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. Si
11.2.8 Equipo informático de usuario desatendido Si
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla. Si
12 SEGURIDAD EN LA OPERATIVA. Aplica
12 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación Si
12.1.2 Gestión de cambios Si
12.1.3 Gestión de capacidades. Si
12.1.4 Separación de entornos de desarrollo, prueba y producción Si
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso Si
12.3 Copias de seguridad. Si
12.3.1 Copias de seguridad de la información Si
12.4 Registro de actividad y supervisión.
12.4.1 Registro y gestión de eventos de actividad. Si
12.4.2 Protección de los registros de información. Si
12.4.3 Registros de actividad del administrador y operador del sistema. Si
12.4.4 Sincronización de relojes. Si
12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en producción. Si
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas. Si
12.6.2 Restricciones en la instalación de software. Si
12.7 Consideraciones de las auditorías de los sistemas de información.
12.7.1 Controles de auditoría de los sistemas de información. Si
13 SEGURIDAD EN LAS TELECOMUNICACIONES. Aplica
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red. Si
13.1.2 Mecanismos de seguridad asociados a servicios en red. Si
13.1.3 Segregación de redes. Si
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información. Si
13.2.2 Acuerdos de intercambio. Si
13.2.3 Mensajería electrónica. Si
13.2.4 Acuerdos de confidencialidad y secreto. Si
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
14 Aplica
LOS SISTEMAS DE INFORMACIÓN.
14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de los requisitos de seguridad Si
Seguridad de las comunicaciones en servicios accesibles por redes
14.1.2 Si
públicas
14.1.3 Protección de las transacciones por redes telemáticas. Si
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro de software. Si
14.2.2 Procedimientos de control de cambios en los sistemas Si
Revisión técnica de las aplicaciones tras efectuar cambios en el
14.2.3 Si
sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software. Si
14.2.5 Uso de principios de ingeniería en protección de sistemas. Si
14.2.6 Seguridad en entornos de desarrollo. Si
14.2.7 Externalización del desarrollo de software. Si
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas. Si
14.2.9 Pruebas de aceptación. Si
14.3 Datos de prueba.
14.3.1 Protección de los datos utilizados en pruebas. Si
15 RELACIONES CON SUMINISTRADORES. No Aplica
15.1 Seguridad de la información en las relaciones con suministradores.
15.1.1 Política de seguridad de la información para suministradores. No
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores. No
Cadena de suministro en tecnologías de la información y
15.1.3 No
comunicaciones.
15.2 Gestión de la prestación del servicio por suministradores. No
15.2.1 Supervisión y revisión de los servicios prestados por terceros No
15.2.2 Gestión de cambios en los servicios prestados por terceros No
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA
16 Aplica
INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos. Si
16.1.2 Notificación de los eventos de seguridad de la información. Si
16.1.3 Notificación de puntos débiles de la seguridad. Si
Valoración de eventos de seguridad de la información y toma de
16.1.4 Si
decisiones.
16.1.5 Respuesta a los incidentes de seguridad. Si
16.1.6 Aprendizaje de los incidentes de seguridad de la información. Si
16.1.7 Recopilación de evidencias. Si
ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA
17 Aplica
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de la seguridad de la información.
17.1.1 Planificación de la continuidad de la seguridad de la información. Si
17.1.2 Implantación de la continuidad de la seguridad de la información. Si
Verificación, revisión y evaluación de la continuidad de la
17.1.3 Si
seguridad de la información.
17.2 Redundancias.
 Disponibilidad de instalaciones para el procesamiento de la
17.2.1 Si
información.
18 CUMPLIMIENTO. No Aplica
18.1 Cumplimiento de los requisitos legales y contractuales.
18.1.1 Identificación de la legislación aplicable. No
18.1.2 Derechos de propiedad intelectual (DPI). No
18.1.3 Protección de los registros de la organización. No
18.1.4 Protección de datos y privacidad de la información personal. No
18.1.5 Regulación de los controles criptográficos. No
18.2 Revisiones de la seguridad de la información.
18.2.1 Revisión independiente de la seguridad de la información. No
18.2.2 Cumplimiento de las políticas y normas de seguridad. No
18.2.3 Comprobación del cumplimiento. No
 CONCLUSIONES

Se dio a conocer la estructura de las normas ISO/IEC 27001 y la ISO/IEC 27002 y se aplicaron
para elaborar las listas de chequeo para verificación de controles además de definir los alcances
del SGSI para la empresa, se seleccionaron los dominios y controles aplicables de acuerdo a los
activos informáticos existentes en la empresa.

Se aplicó una lista de chequeo de acuerdo a la norma ISO/IEC 27001 e ISO/IEC 27002, junto con
la elaboración del cuadro de nivel de madurez para cada dominio que permita medir el
cumplimiento de la norma de acuerdo a los resultados de su aplicación, Además se elaboró un
documento de declaración de aplicabilidad SOA donde se especifican los controles que aplican
para cada uno de los dominios de la norma.
 BIBLIOGRAFÍA

Gómez, L., Álvarez, A. (2012). Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre
seguridad en sistemas de información para pymes. Recuperado
de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO%3aedsebk&genre=book&issn
=&ISBN=9788481437492&volume=&issue=&date=20120101&spage=&pages=&title=Gu%c3
%ada+de+aplicaci%c3%b3n+de+la+Norma+UNE-
ISO%2fIEC+27001+sobre+seguridad+en+sistemas+de+informaci%c3%b3n+para+pymes&atitle
=Gu%c3%ada+de+aplicaci%c3%b3n+de+la+Norma+UNE-
ISO%2fIEC+27001+sobre+seguridad+en+sistemas+de+informaci%c3%b3n+para+pymes&aulas
t=&id=DOI%3a&site=ftf-live

Fernández, C. M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las normas
ISO. Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edsebk&genre=book&issn=&ISB
N=9788481437645&volume=&issue=&date=20120101&spage=&pages=&title=Modelo%20par
a%20el%20gobierno%20de%20las%20TIC%20basado%20en%20las%20normas%20ISO&atitle
=Modelo%20para%20el%20gobierno%20de%20las%20TIC%20basado%20en%20las%20norm
as%20ISO&aulast=&id=DOI

Costas, J. (2014). Mantenimiento de la seguridad en sistemas informáticos. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046692
Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11046412