Estimados estudiantes

Una vez pasada la fase de reconocimiento de la empresa, en este momento los

pasos a seguir son los siguientes:

 De acuerdo a las áreas encontradas en la empresa en las cuales se identifico

especialmente la que maneja el sistema de información. Centraremos nuestro
anáilisis especificamente en esta sección de la empresa.
 Desde la topología de red de la empresa se debe observar donde se úniba el
centro de cableado porque esta área se va a revisar para observar sus
vulenrabilidades.
 De igual manera observar como se comunica el área donde esta el sistema de
información central con las demás áreas de la empresa esto con fines de
observar las vulenerabilidades físicas y de ambiente que puede tener dicha
área.
 Ahora desde la norma ISO 27002 sobre buenas prácticas para la gestión de la
seguridad de la información iniciamos nuestra evaluación. Con el
reconocimiento realizado en su empresa vamos a "evaluar los riesgos" que
presenta la empresa, como ya observamos la 27002 tiene 13 dominios,
entones, los vamos a los reducir a los se observa que son mas comunes a la
empresa de acuerdo a lo que presentaron en la fase 2.
o Dominios y objetivo de control a trabajar
 5. POLÍTICA DE SEGURIDAD.
5.1 Política de seguridad de la información
 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.
6.1 Organización interna.
 7. GESTIÓN DE ACTIVOS.
7.1 Responsabilidad sobre los activos.
7.2 Clasificación de la información.
 9. SEGURIDAD FÍSICA Y DEL ENTORNO.
9.1 Áreas seguras.
9.2 Seguridad de los equipos.
 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES.
10.2 Gestión de la provisión de servicios por terceros.
10.4 Protección contra el código malicioso y descargable.
10.6 Gestión de la seguridad de las redes.
10.6.1 Controles de red.
10.6.2 Seguridad de los servicios de red.
10.7 Manipulación de los soportes.
10.8 Intercambio de información.
10.9 Servicios de comercio electrónico.
10.10 Supervisión.
 11. CONTROL DE ACCESO.
11.1 Requisitos de negocio para el control de acceso.
 11.2 Gestión de acceso de usuario.
11.3 Responsabilidades de usuario.
11.4 Control de acceso a la red.
11.5 Control de acceso al sistema operativo.
11.6 Control de acceso a las aplicaciones y a la información.
11.7 Ordenadores portátiles y teletrabajo.
 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
13.1 Notificación de eventos y puntos débiles de seguridad de la
información.
13.2 Gestión de incidentes y mejoras de seguridad de la información.

En total son 7 dominios,

Revisen la documentación adjunta:

 pdf resumen de la iso 27002

 pdf iso 27005, aplicar capitulo 8 de la norma para determinar la evaluación del
riesgo.
 excel - ejemplo lista de chequeo - pueden usar otra

Luego comentaré sobre como ir construyendo la politica de seguridad aplicano

PHVA con la 27001, a partir de los hallazgos anteriores.
Felicidades.

Controles ISO_27002.pdf
ISO_27005.pdf
ISO-27002-Checklist.xlsx