ACTIVIDAD AA1-EV5 APLICACIÓN DE LA NORMA ISO 27002

JOSE RAMON VALENCIA QUINTERO

SERVICIO NACIONAL DE APRENDIZAJE SENA

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASES DE DATOS

CALI

2019
 PROPUESTAS DE MEJORA DE LA PLANTILLA ISO 27002

De acuerdo a la plantilla ISO diligenciada previamente, se proponen las siguientes mejoras

para la empresa E.E.S:

 POLITICA DE SEGURIDAD DE LA INFORMACION

La empresa E.E.S debe adoptar una política de seguridad de la información, que hasta el
momento no ha sido definida. La política de seguridad de la información debe cumplir los
siguientes aspectos:

 Debe estar documentada.

 Debe ser comunicada y conocida por todos y cada uno de los trabajadores que
pertenezcan a la organización, así como también por sus proveedores.
 Debe ser revisada a intervalos planificados, o cuando ocurra algún cambio
significativo que pueda afectar el enfoque de la organización para la gestión de la
seguridad de la información. Importante: de estas revisiones, debe quedar registro.
 Debe ser aprobada por la Alta Dirección de la Organización.
 Debe declarar el compromiso de la dirección y establecer el enfoque de ésta para la
gestión de la seguridad de la información.

 ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD DE LA

INFORMACION

La E.E.S no tiene definida una estructura organizativa para la seguridad de la

información, a excepción de los acuerdos de confidencialidad. Para mejorar se
deben implantar los lineamientos para administrar y mantener la seguridad de la
información en la organización, al igual que los términos de seguridad que deben
ser aplicados al personal (interno y externo), que se vea involucrado directa o
indirectamente con la información. Adicionalmente definir la estructura de Gestión
de Seguridad y los roles y perfiles relacionados con ésta. Para realizar la estructura
organizativa se deben efectuar las siguientes acciones:

 Debe formarse un comité de la dirección sobre la seguridad de la información.

 Deben asignarse responsabilidades para la seguridad de la información.
  Debe existir un proceso de autorización para instalaciones de procesamiento de
información.
 Debe identificarse los riesgos por el acceso a la información de terceras partes y
realizarse acuerdos con estos.
 Determinar los lineamientos de seguridad a tratar con los clientes que tienen acceso
a información de la empresa.

 CLASIFICACION Y CONTROL DE ACTIVOS

La empresa E.E.S tiene un manejo insuficiente en la clasificación de la información,

identificándose un regular manejo en las guías de clasificación y el etiquetado de la
información.

Según el Modelo Normativo de Seguridad de la Información todo activo de información,

bajo la responsabilidad de la Organización, es decir información propia de la
Organización o de entidades externas debe ser administrada y monitoreada. Toda la
información generada por la Organización debe estar disponible para funcionarios tanto
externos como internos que requieran del acceso y consulta de ésta, siempre y cuando se
manejen los controles de acceso y confidencialidad apropiados.

Se debe realizar un análisis y valoración de la información manejada por la

Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos
legales, sensibilidad e importancia. Una clasificación apropiada de la información garantiza
la confidencialidad, integridad y disponibilidad de la información parala Organización. Es
por esto, la importancia de crear una guía de clasificación y etiquetado de la información.

 SEGURIDAD EN EL PERSONAL

La organización no realiza un debido proceso para la terminación o cambios de

contratación, en pro de garantizar la seguridad de la información, evitando que el empleado
que termina su contrato laboral haga un uso indebido de la información fuera de la empresa.
La E.E.S. debe aplicar los siguientes cambios:
  El empleado debe entregar todos los activos que se le hayan asignado para el
cumplimiento de las actividades de su cargo, tales como equipos de cómputo,
celular, etc.

 Deber ser retirados todos los privilegios de acceso a los sistemas de información de
la empresa.

 Debe existir un responsable encargado de procurar que el proceso de terminación se

realice siguiendo los lineamientos anteriores para garantizar la seguridad de la
información.

 SEGURIDAD FISICA Y DEL ENTORNO

En cuanto a los procedimientos encaminados a proteger los equipos contra las amenazas
físicas y ambientales, se encontraron que hacen falta implementar los siguientes puntos:

 Se deben aplicar controles para el manejo preventivo de factores ambientales que

puedan causar daños en el correcto funcionamiento de los equipos de información
que almacenan la información de la E.E.S.

 Se debe implementar procedimientos para la correcta eliminación de los equipos

dados de baja.

 Se debe procurar que el personal de seguridad impida a cualquiera (empleados,

visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) retirar
equipos informáticos de las instalaciones sin autorización.

 GESTION DE COMUNICACIONES Y OPERACIONES

Para que la E.S.S logre avanzar en la gestión de comunicaciones y operaciones debe aplicar
lo siguiente:

 Se deberían establecer todas las responsabilidades y los procedimientos para la

gestión y operación de todos los servicios de procesamiento de información. Esto
incluye el desarrollo de procedimientos operativos apropiados.

 Se debería Implementar la separación de funciones para reducir el riesgo de uso

inadecuado deliberado o negligente del sistema.
  Proteger la integridad del software y de la información tomando precauciones para
evitar y detectar la introducción de códigos maliciosos y códigos móviles no
autorizados.

 Se deberían establecer procedimientos de rutina para implementar la política y la

estrategia de respaldo acordada para hacer copias de seguridad de los datos y probar
sus tiempos de restauración.

 Asegurar la protección de la información en las redes y la protección de la

infraestructura de soporte.

 Se deberían establecer procedimientos operativos adecuados para proteger

documentos, medios de computador (por ejemplo, cintas, discos), datos de entrada,
salida y documentación del sistema contra divulgación, modificación, remoción y
destrucción no autorizadas.

 Los intercambios de información y de software entre las organizaciones se deberían

basar en una política formal de intercambio, ejecutar según los acuerdos de
intercambio y cumplir la legislación correspondiente.

 Se deberían monitorear los sistemas y registrar los eventos de seguridad de la

información para detectar actividades de procesamiento de la información no
autorizadas.

 Los registros de operador y la actividad de registro de fallas (Logs) se deberían

utilizar para garantizar la identificación de los problemas del sistema de
Información.

 CONTROL DE ACCESOS

La E.E.S tiene un adecuado manejo en el registro de usuarios, ha realizado una campaña de

culturización sobre el uso de contraseñas, y a además ha establecido una política para los
equipos de computo desatendidos por usuarios. Sin embargo, solo se ha logrado un
cumplimiento del 28% en el dominio de Control de accesos, por lo que se identifica una
ausencia total de los procedimientos orientados a controlar los servicios de red, los sistemas
operativos y las aplicaciones. Se deben implementar los siguientes puntos:
  Realizar una adecuada administración de los privilegios otorgados a los usuarios.

 Administrar las contraseñas que son otorgadas a los usuarios y monitorear su uso.

 Revisar los permisos que le son concedidos a los usuarios.

 Aplicar mecanismos adecuados de autenticación para los usuarios y los equipos.

 Exigir el control de acceso de los usuarios a los servicios de información.

 Utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a

los sistemas operativos.

 Autenticar usuarios autorizados, de acuerdo con una política definida de control de

acceso.

 Registrar intentos exitosos y fallidos de autenticación del sistema.

 Emitir alarmas cuando se violan las políticas de seguridad del sistema.

 Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

 Suministrar protección contra acceso no autorizado por una utilidad, el software del
sistema operativo y software malicioso que pueda anular o desviar los controles del
sistema o de la aplicación.

 Controlar el acceso de usuarios a la información y a las funciones del sistema de

aplicación, de acuerdo con una política definida de control de acceso.

 DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Se encontraron ausencias procedimentales y documentales en el desarrollo y mantenimiento

de sistemas, los cuales se pueden mejorar de la siguiente forma:

 Se deberían identificar y acordar los requisitos de seguridad antes del desarrollo y/o
la implementación de los sistemas de información. 
  Se deben diseñar e implementar medidas de control de seguridad y registros de
auditoría o de actividades correspondientes a cada aplicación. En el diseño de los
controles se deben incluir las validaciones de los datos de entrada, procesamiento
interno y datos de salida que manejan las aplicaciones.

 Todos los accesos otorgados a los archivos de los sistemas de la Organización

deben estar controlados, para asegurar que las actividades de soporte y proyectos de
Tecnología de Información son llevadas a cabo de forma segura.

 Se deben establecer normas para el control de los entornos del proyecto y procesos
de desarrollo y soporte en el mantenimiento de la seguridad del software y de la
información manejada por las aplicaciones de los sistemas de la Organización.

 Se deben establecer normas y controles para reducir los riesgos resultantes de la

explotación de las vulnerabilidades técnicas publicadas.

 GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

Se identifica deficiencias en los procedimientos encaminados a realizar un eficiente reporte
de los incidentes que afecten la seguridad de la información. Se propone implementar los
siguientes mecanismos:

 Todos los empleados, contratistas y usuarios de tercera parte deberían tener

conciencia sobre los procedimientos para el reporte de los diferentes tipos de evento
y las debilidades que puedan tener Impacto en la seguridad de los activos de la
organización. Se les debería exigir que reporten todos los eventos de seguridad de la
información y las debilidades tan pronto sea posible al punto de contacto designado.

 Establecer las responsabilidades y los procedimientos para manejar los eventos y

debilidades de la seguridad de la información de manera eficaz una vez se han
reportado. Se debería aplicar un proceso de mejora continua a la respuesta para
monitorear, evaluar y gestionar en su totalidad los incidentes de seguridad de la
información.
  GESTION DE CONTINUIDAD DEL NEGOCIO
La E.E.S realiza una deficiente gestión de continuidad del negocio, debido a que no tiene
implementado planes para contrarrestar las interrupciones de las actividades del negocio
con el fin de proteger sus procesos críticos contra los efectos de fallas importantes en los
sistemas de información o contra desastres y asegurar su recuperación oportuna. Para
realizar una adecuada gestión de la continuidad del negocio, la empresa debe implementar
lo siguiente:

 Identificar los procesos críticos para el negocio e integrar los requisitos de la gestión
de la seguridad de la información de la continuidad del negocio con otros requisitos
de continuidad relacionados con aspectos tales como operaciones,
personal, materiales, transporte e instalaciones.

  Debería incluir controles para identificar y reducir los riesgos, además del proceso
general de evaluación de riesgos, limitar las consecuencias de los incidentes dañinos
y garantizar la disponibilidad de la información requerida para los procesos del
negocio.

 Implementar procedimientos de contingencia los cuales deben describir las acciones

a tomar cuando ocurre un incidente que interrumpe las operaciones del negocio,
proporcionando mecanismos alternos y temporales para continuar con el
procesamiento.

 Implementar procedimientos de recuperación los cuales deben describir las acciones

a seguir para trasladar las actividades del negocio a un centro alterno de
recuperación.

 Implementar procedimientos de retorno que describan las acciones a seguir para

regresar las operaciones normales a las instalaciones originales.

 Se deben realizar ejercicios regulares y diagramados de recuperación del sistema

para probar la efectividad del plan de continuidad del negocio.

 CUMPLIMIENTO
Se nota que la empresa tiene identificada la legislación aplicable al SGSI, así como también
la normatividad respecto a los derechos de propiedad intelectual. Sin embargo, se
identifican muchas falencias en el cumplimiento de los requisitos legales, políticas y
estándares de seguridad. Para mejorar estos aspectos es importante tener en cuenta las
siguientes recomendaciones:

 Se debería buscar asesoría sobre los requisitos legales específicos de los asesores
jurídicos de la organización o de abogados practicantes calificados.
 
 Se deberían auditar las plataformas técnicas y los sistemas de información para
determinar el cumplimiento de las normas aplicables sobre implementación de la
seguridad y los controles de seguridad documentados. 

 Maximizar la eficacia de los procesos de auditoría de los sistemas de información y

minimizar su interferencia. 

 Deberían existir controles para salvaguardar los sistemas operativos y las

herramientas de auditoría durante las auditorias de los sistemas de información.
 WEBGRAFIA

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 5 - Política de Seguridad.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
politica-de_02.html

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 7 – Gestión de Activos.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
dominio-7-gestion.html

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Organización de la

seguridad. Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
dominio-6_04.html

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Seguridad Física.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
dominio-9.html

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Control de Acceso.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2011

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Gestión de los incidentes
de la seguridad de la información. Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2013

Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Cumplimiento. Bogotá,
Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2015