PLAN DE MEJORAMIENTO

NORMA ISO27002

LUIS GABRIEL CUBILLOS HOYOS

Presentado a:

Instructor: Fernando Lopez Trujillo

SERVICIO NACIONAL DE APRENDIZAJE- SENA

ESPECIALIZACION TECNOLOGICA EN GESTION Y SEGURIDAD DE BASES

DE DATOS

FICHA 1881795

CALI

2019
Introducción

Con la presente actividad pretendo demostrar la destreza adquirida en la aprobación

de conocimiento de la norma ISO 270002. En ella se pretende simular el
planteamiento de un plan de mejora en la seguridad de la información de una
empresa. Para esto se tiene en cuenta la observación de la empresa donde laboro
y posterior verificación de si se cumplen o no los distintos puntos de control de
seguridad.

Para el desarrollo de esta actividad se tuvo en cuenta la plantilla en Excel

suministrada por el SENA. Donde se muestran los diferentes ítems a evaluar para
establecer si se cumple o no se cumple con dicho control. Luego se propone un plan
de mejora de aquellos ítems que no cumplen o no existen de la empresa analizada.

Se espera que esta actividad cumpla con los requerimientos y demuestre el nivel de
aprendizaje.
Descripción de la empresa.

Empresa: Colegio Alemán

Descripción: La empresa Colegio Alemán es una empresa encargada de brindar

educación en maternal, kínder, primaria, media básica, secundaria y que cuenta con
el sistema de IB (Bachillerato Internacional). Además es un colegio bilingüe donde
salen hablando alemán, francés e inglés.
Plan de mejora en seguridad propuesto.

Políticas de seguridad.

 Se debe generar el documento de políticas de seguridad

Estructura organizativa para la seguridad.

 Crear el comité de dirección de las políticas de seguridad.

 Plantear la coordinación de la seguridad de la información.
 Establecer acuerdos de confidencialidad.

Clasificación y control de activos.

 Establecer una guía clasificación de la información.

 Generar políticas en el etiquetado y manejo de la información

Seguridad en el personal.

 Educar a los empleados sobre la seguridad informática

 Establecer los mecanismos para remover los permisos de los ex empleados
que ya no se encuentren trabajando desde el mismo instante que se presente
la carta de renuncia o despido.
Seguridad física y del entorno.

 Restringir el acceso físico a los equipos solo por personal autorizado.

 Establecer mecanismos de control de acceso físico a los equipos.
 Establecer mecanismos de control de los equipos que entran y salen de las
instalaciones.
 Mantener actualizados los equipos y revisar periódicamente el estado de
actualizaciones de software y hardware de los equipos.
 Monitoreo constante de las actualizaciones de antivirus.
 Verificar que las conexiones eléctricas y de red estén debidamente
configuradas.
 Verificar el estado de los cables y terminales de conexión, cambiar los que
por tiempo de uso o estado se encuentren en mal estado.

Gestión de comunicaciones y operaciones.

 Separar los ambientes de producción y desarrollo

 Documentar manuales de procedimientos
 Incorporar, configurar y habilitar el firewall físico (fortinet) para evitar ataques
informáticos.
 Establecer mecanismos de copias de seguridad de todos los equipos,
frecuentemente. La ubicación de estas copias de seguridad debe de estar
protegida y aislada de los equipos para prevenir perdidas de las mismas.
 Restringir el uso de dispositivos de almacenamiento móviles tales como USB,
memorias SD entre otros.
 Establecer mecanismos de control y auditoria de la mensajería interna de la
empresa.
Control de accesos

 Establecer una política de control de accesos

 Definir quien está autorizado para suministrar el control de acceso,
mecanismos de seguimiento y rastreo de los permisos suministrados.
 Establecer niveles de usuarios autorizados para brindar permisos de acceso
a las diferentes áreas de la empresa.
 Generar sistemas de cambios periódicos de cambio de contraseña.
 Generar políticas de acceso a la red, aislar la red de usuarios invitados de la
red de trabajo de la empresa.
 Aislar cada grupo de trabajo en la red, generando un usuario administrador
específico para esta red.
 Establecer mecanismos de monitoreo de las redes, acceso, intentos de
acceso.
 Limitar el uso de duración de las sesiones de trabajo en las horas laborales.
En caso de requerir horarios adicionales, establecer las políticas de control y
autorización de acceso fuera del horario laboral.

Desarrollo y mantenimiento de sistemas.

 Verificar las condiciones y requerimientos de seguridad en los sistemas

desarrollados detectando posibles vulnerabilidades.
 Aislar los sistemas de prueba de los sistemas ya implantados. Para evitar
fallas y pedidas de la información.
 Verificar si el software comprado en agente externos cumple con las políticas
de seguridad de la empresa.
Gestión de incidentes de la seguridad de la información.

 Establecer un sistema de registro de eventos de seguridad, tales como quien

accedió, a qué horas, ubicación del equipo.
 Registro los intentas de acceso a la red fallidos.
 Realizar pruebas técnicas por terceros para verificar el estado de seguridad
de la información.