Diligencia la plantilla ISO 27002.

xlsx de acuerdo con las condiciones presentadas en la

guía de aprendizaje

ANEXO ADJUNTO PLANILLA REALIZA

Interpreta los dominios de aplicación de la norma ISO 27002 siguiendo los lineamientos de
la tabla expuesta en la evidencia

1 2 Política de Seguridad 1,5 37,5

2 Política de Seguridad de la Información
1 1 Debe Documento de la política de seguridad de la información
2 Debe Revisión de la política de seguridad de la información

El cumplimiento de la política de seguridad dio con un 37.5% escala visual de la

valoración y control quiere decir que esta entre medio cumplimento, donde debemos hacer
el documento política seguridad de la información.

8 Organización Interna 72,73

1 Debe Comité de la dirección sobre seguridad de la información
2 Debe Coordinación de la seguridad de la información
Asignación de responsabilidades para la de seguridad de
3 Debe la información
Proceso de autorización para instalaciones de
4 Debe procesamiento de información
5 Debe Acuerdos de confidencialidad
6 Puede Contacto con autoridades
7 Puede Contacto con grupos de interés
8 Puede Revisión independiente de la seguridad de la información
3 Terceras partes 27,27
1 Debe Identificación de riesgos por el acceso de terceras partes
 2 Debe Temas de seguridad a tratar con clientes
3 Debe Temas de seguridad en acuerdos con terceras partes

La estructura organizativa para seguridad esta con un cumplimento de 50.01% valoración y

control quiere que esta medio cumplimiento.

Clasificación y control de activos 3,76 56 100

Responsabilidad sobre los activos 60 36
Debe Inventario de activos
Debe Propietario de activos
Debe Uso aceptable de los activos
Clasificación de la información 40 20
Debe Guías de clasificación
Debe Etiquetado y manejo de la información

Esta clasificación y control de activos esta 56% medio cumplimiento

Seguridad en el personal 6,77 56,7 100

Antes del empleo 33,33 16,67
Debe Roles y responsabilidades 11,
Debe Verificación 11,
Debe Términos y condiciones de empleo 11,
Durante el empleo 33,33 23,33
Debe Responsabilidades de la gerencia 11,
Debe Educación y formación en seguridad de la información 11,
Debe Procesos disciplinarios 11,
Terminación o cambio del empleo 33,33 16,67
Debe Responsabilidades en la terminación 11,
Debe Devolución de activos 11,
Debe Eliminación de privilegios de acceso 11,
 Seguridad fisica y del entorno 9,77 65,39 100
Áreas Seguras 46,15 27,69
Debe Perímetro de seguridad física 7,
Debe Controles de acceso físico 7,
Debe Seguridad de oficinas, recintos e instalaciones 7,
Debe Protección contra amenazas externas y ambientales 7,
Debe Trabajo de áreas seguras 7,
Puede Áreas de carga, entrega y áreas públicas 7,
Seguridad de los Equipos 53,85 37,7
Debe Ubicación y protección del equipo 7,
Debe Herramientas de soporte 7,
Debe Seguridad del cableado 7,
Debe Mantenimiento de equipos 7,
Debe Seguridad del equipamiento fuera de las instalaciones 7,
Debe Seguridad en la reutilización o eliminación de equipos 7,
Debe Movimientos de equipos 7,

Seguridad física y del entorno no cumple 65.39%

32 Gestión de comunicaciones y operaciones 24,06 52,8

4 Procedimientos operacionales y responsabilidades 12,5
1 Debe Procedimientos de operación documentados
2 Debe Control de cambios
3 Debe Separación de funciones
4 Debe Separación de las instalaciones de desarrollo y producción
3 Administración de servicios de terceras partes 9,38
1 Puede Entrega de servicios
2 Puede Monitoreo y revisión de servicios de terceros
3 Puede Manejo de cambios a servicios de terceros
2 Planificación y aceptación del sistema 6,25
1 Debe Planificación de la capacidad
2 Debe Aceptación del sistema
2 Protección contra software malicioso y móvil 6,25
1 Debe Controles contra software malicioso
2 Debe Controles contra código móvil
1 Copias de seguridad 3,13
1 Debe Información de copias de seguridad
2 Administración de la seguridad en redes 6,25
1 Debe Controles de redes
2 Debe Seguridad de los servicios de red
 4 Manejo de medios de soporte 12,5
1 Debe Administración de los medios de computación removibles
2 Debe Eliminación de medios
3 Debe Procedimientos para el manejo de la información
4 Debe Seguridad de la documentación del sistema
5 Intercambio de información 15,63
1 Debe Políticas y procedimientos para el intercambio de información
2 Puede Acuerdos de intercambio
3 Puede Medios físicos en transito
4 Puede Mensajes electrónicos
5 Puede Sistemas de información del negocio
3 Servicios de comercio electronico 9,38
1 Puede Comercio electronico
2 Puede Transacciones en línea
3 Puede Información públicamente disponible
6 Monitoreo y supervisión 18,75
1 Debe Logs de auditoria
2 Debe Monitoreo de uso de sistema
3 Debe Protección de los logs
4 Debe Registro de actividades de administrador y operador del sistema
5 Debe Fallas de login
6 Puede Sincronización del reloj

Gestión de operaciones y comunicaciones con un 52.8% pór medio cumplimiento

Control de accesos 18,8 48 100

Requisitos de negocio para el control de acceso 4 2
Debe Política de control de accesos
Administración de acceso de usuarios 16 8
Debe Registro de usuarios
Debe Administración de privilegios
Debe Administración de contraseñas
Debe Revisión de los derechos de acceso de usuario
Responsabilidades de los usuarios 12 6
Debe Uso de contraseñas
Puede Equipos de cómputo de usuario desatendidos
Puede Política de escritorios y pantallas limpias
Control de acceso a redes 28 11,2
Debe Política de uso de los servicios de red
Puede Autenticación de usuarios para conexiones externas
Puede Identificación de equipos en la red
Debe Administración remota y protección de puertos
Puede Segmentación de redes
Debe Control de conexión a las redes
Debe Control de enrutamiento en la red
Control de acceso al sistema operativo 24 12
Debe Procedimientos seguros de Log-on en el sistema
Debe Identificación y autenticación de los usuarios
Debe Sistema de administración de contraseñas
Puede Uso de utilidades de sistema
Debe Inactividad de la sesión
Puede Limitación del tiempo de conexión
Control de acceso a las aplicaciones y la información 8 4
Puede Restricción del acceso a la información
Puede Aislamiento de sistemas sensibles
Ordenadores portátiles y teletrabajo 8 4,8
Puede Ordenadores portátiles y comunicaciones moviles
Puede Teletrabajo

Controles acceso con 48% medio cumplimiento

Desarrollo y mantenimiento de sistemas 12,03 60 100

Requerimientos de seguridad de sistemas de información 6,25 3,75
Debe Análisis y especificaciones de los requerimientos de seguridad 6
Procesamiento adecuado en aplicaciones 25 15
Debe Validación de los datos de entrada 6
Puede Controles de procesamiento interno 6
Puede Integridad de mensajes 6
Puede Validación de los datos de salida 6
Controles criptográficos 12,5 7,5
Puede Política de utilización de controles criptográficos 6
Puede Administración de llaves 6
Seguridad de los archivos del sistema 18,75 11,25
Debe Control del software operacional 6
Puede Protección de los datos de prueba del sistema 6
Debe Control de acceso al código fuente de las aplicaciones 6
Seguridad en los procesos de desarrollo y soporte 31,25 18,75
Debe Procedimientos de control de cambios 6
Debe Revisión técnica de los cambios en el sistema operativo 6
Puede Restricciones en los cambio a los paquetes de software 6
Debe Fugas de información 6
Debe Desarrollo externo de software 6
Gestión de vulnerabilidades técnicas 6,25 3,75
Debe Control de vulnerabilidades técnicas 1

Esta cumple con un 60% desarrollo mantenimiento sistemas

Gestión de incidentes de la seguridad de la información 3,76 60 100

Notificando eventos de seguridad de la información y debilidades 40 24
Debe Reportando eventos de seguridad de la información
Puede Reportando debilidades de seguridad
Gestión de incidentes y mejoramiento de la seguridad de la información 60 36
Debe Procedimientos y responsabilidades
Puede Lecciones aprendidas
Debe Recolección de evidencia
Gestión de la continuidad del negocio 3,76 60 100
Aspectos de seguridad de la información en la gestión de continuidad del negocio 100 60

Inclusión de seguridad de la información en el proceso de gestión de la

Debe continuidad del negocio
Debe Continuidad del negocio y análisis del riesgo
Desarrollo e implementación de planes de continuidad incluyendo seguridad
Debe de la información
Debe Marco para la planeación de la continuidad del negocio
Prueba, mantenimiento y reevaluación de los planes de continuidad del
Debe negocio

Gestión de incidentes de la seguridad de la información con un 60% medio cumplimiento

Gestión continuidad del negocio 60% medio cumplimiento

Cumplimiento 7,52 56,67 100

Cumplimiento con los requisitos legales 60 36
Debe Identificación de la legislación aplicable
Debe Derechos de propiedad intelectual (dpi)
Debe Protección de los registros de la organización
Debe Protección de datos y privacidad de la información personal
Prevención del uso inadecuado de los recursos de procesamiento de
Debe información
Debe Regulación de controles para el uso de criptografía
Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico 20 12
Debe Cumplimiento con las políticas y procedimientos
Debe Verificación de la cumplimiento técnico
Consideraciones de la auditoria de sistemas de información 20 10
Debe Controles de auditoria a los sistemas de información
Debe Protección de las herramientas de auditoria de sistemas

Cumplimiento con 56.7 medio cumplimento

Analiza la situación de una empresa real argumentando condiciones de seguridad de la

información

Según las condiciones de seguridad de esta empresa es garantizar el nivel de protección,

disponiendo un presupuesto para garantizar los riesgos de la seguridad en la información de
una forma estructurada eficiente y adaptando cambios evitando riesgos en el entorno y la
tecnología
Al realizar el análisis del riesgo se evidencia una zona de riesgo moderado y vulnerabilidad
medio donde se pueden aplicar los controles de seguridad

Propone plan de mejora para una organización de acuerdo con hallazgos encontrados en el
contexto de seguridad de la información
 Realizar y crear las políticas de seguridad
 Hacer un análisis de riesgos en las instalaciones, hardware en las aplicaciones datos,
red en los servicios en el personal
 Tener en cuanta la identificación y valoración de las posibles amenazas
 Mejorar los proyectos de la seguridad en la información suministrada

Adopta estándares internacionales para validar y apropiar dominios inherentes a la

seguridad de la información.

 La política de la seguridad de la información de be estar si quieras con 70% para dar

un alto cumplimento del dominio
 Que la clasificación de la información sede completamente documentado
 Que el control de la seguridad de la información se dé a un 100 % con sus debidas
copias de seguridad
 Que se registren y conserven los registros de actividad y registro del sistema
 Que la instalación del software este a un 100% con su debida política de seguridad y
registro
 Que se dé cumplimento técnico y la norma seguridad al 100%

 Control de activos: realizar un inventario de los activos para tener un control

riguroso sobre estos.
 Seguridad de los recursos humanos: asegurar que los usuarios, comprenden sus
responsabilidades y son capaces de realizar sus funciones, teniendo en cuenta los
riesgos que existen (hurto, fraude o uso inadecuado de las instalaciones).
 Análisis de vulnerabilidades: Aplicar procedimientos que protejan el acceso a la
información.