Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Evidencia Aa1-Ev5

    Загружено:

    Jose Gomez
    5 просмотров4 страницы

    Оригинальное название

    EVIDENCIA AA1-EV5.docx

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    5 просмотров4 страницы

    Evidencia Aa1-Ev5

    Загружено:

    Jose Gomez

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    EVIDENCIA AA1-E5-Aplicación de la norma ISO 27002 JOSE DAVID GOMEZ OTERO

    INTRODUCCION

    NORMA ISO/IEC 27002

    ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se
    reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de
    seguridad de información.

    La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133
    controles; que están distribuidos como se observa en la siguiente estructura:

    A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
    momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:

    5. Política de seguridad

    Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en


    relación a los requisitos del negocio y regulaciones relevantes.

    6. Estructura organizativa para la seguridad

    "Organización interna: estos controles gestionan la seguridad de la información dentro de la


    Organización. El órgano de dirección debe aprobar la política de seguridad de la información,
    asignando los roles de seguridad y coordinando la implantación de la seguridad en toda la
    Organización."

    "Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento
    de la información y de los activos de información de la organización."

    7. Clasificación y control de activos

    Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección
    adecuada de los activos de la organización.

    "Clasificación y control de la información: la información se encuentra clasificada para indicar las


    necesidades, prioridades y nivel de protección previsto para su tratamiento."

    8. Seguridad del personal

    "Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de
    terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen,
    para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios."

    9. Seguridad fisica y del entorno


    "Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en
    áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de
    entrada, protegidas físicamente contra accesos no autorizados.

    Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
    salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado."

    10. Gestión de las comunicaciones y operaciones

    "Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información,


    además de la operación correcta y segura de los recursos de tratamiento de información,
    minimizando el riesgo de fallos en los sistemas y asegurando la protección de la información en las
    redes y la protección de su infraestructura de apoyo."

    11. Control de accesos

    Controla los accesos a la información y los recursos de tratamiento de la información en base a las
    necesidades de seguridad de la organización y las políticas para el control de los accesos.

    12. Desarrollo y mantenimiento de sistemas

    Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún
    efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles se
    determinan en función de los requisitos de seguridad y la estimación del riesgo.

    13. Gestión de incidentes de seguridad de la información

    "Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados,
    contratistas y terceros deben estar al tanto de los procedimientos para informar de los diferentes
    tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos de la
    organizacion."

    14. Gestión de la continuidad del negocio

    La seguridad de información debe ser una parte integral del plan general de continuidad del
    negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de gestión de
    la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las
    operaciones esenciales.

    15. Cumplimiento

    "Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u


    obligación contractual y de cualquier requisito de seguridad dentro y fuera de la organización. Los
    requisitos legales específicos deberían ser advertidos por los asesores legales de la organización o
    por profesionales del área. Además se deberían realizar revisiones regulares de la seguridad de los
    sistemas de información."

    RESULTADOS DE LA AUDITORIA
    Se evidencia que de los 11 dominios evaluados dentro de la auditoria solo 1 está por debajo de
    43,75% los demás están por encima de 50% esto indica que la evaluación esta entre el nivel medio
    son 5 criterios o dominios y en el nivel alto 6 criterios o dominios.

    Escala visual de la valoración del control


    Alto Más del 70% de cumplimiento
    Entre el 30 y 69 % de
    Medio cumplimiento
    Bajo Por debajo del 30%

    Política de Seguridad 100


    Estructura organizativa para la seguridad 72,73
    Clasificación y control de activos 80
    Seguridad en el personal 50
    Seguridad fisica y del entorno 77,69
    Gestión de comunicaciones y operaciones 63,1
    Control de accesos 92
    Desarrollo y mantenimiento de sistemas 43,75
    Gestión de incidentes de la seguridad de la información 60
    Gestión de la continuidad del negocio 100
    Cumplimiento 50

    Para la evaluación se observaron muchas fortalezas que posee la empresa frente a la seguridad y
    con relación a la normatividad ISO 27002, ya que presentan documentación estructurada, al igual
    lineamientos y análisis de toda la infraestructura.

    También se observó que no se tienen lineamientos cuando son temas relacionados con terceras
    personas (clientes, o trabajadores externos). Se les informa que se deben generar políticas de
    seguridad.

    PLAN DE MEJORA

    PORCENTAJE MESES PORCENTAJE


    FASE ACTIVIDAD
    ACTUAL 1 2 3 4 5 FINAL DESEADO

    Política de Seguridad 100 100


    Estructura organizativa
    72,73 100
    para la seguridad
    Análisis de la
    Clasificación y control de
    información 80 100
    activos
    ISO 27002
    Seguridad en el personal 50 100
    Seguridad física y del
    77,69 100
    entorno
    Gestión de comunicaciones
    63,1 100
    y operaciones
    Control de accesos 92 100
    Desarrollo y
    mantenimiento de 43,75 100
    sistemas
    Gestión de incidentes de la
    seguridad de la 60 100
    información
    Gestión de la continuidad
    100 100
    del negocio
    Cumplimiento 50 100

    Para optar estándares internacionales se deben tener en cuenta los criterios o la privacidad de la
    empresa lo cual se analiza y no se pueden generar nuevas políticas de seguridad ya que se tienen
    contemplados la normatividad actual y no es adecuado integrar con estándares internacionales.

    Вам также может понравиться