Академический Документы
Профессиональный Документы
Культура Документы
CALI
2019
PROPUESTAS DE MEJORA DE LA PLANTILLA ISO 27002
SEGURIDAD EN EL PERSONAL
Deber ser retirados todos los privilegios de acceso a los sistemas de información de
la empresa.
En cuanto a los procedimientos encaminados a proteger los equipos contra las amenazas
físicas y ambientales, se encontraron que hacen falta implementar los siguientes puntos:
CONTROL DE ACCESOS
Administrar las contraseñas que son otorgadas a los usuarios y monitorear su uso.
Suministrar protección contra acceso no autorizado por una utilidad, el software del
sistema operativo y software malicioso que pueda anular o desviar los controles del
sistema o de la aplicación.
Se deberían identificar y acordar los requisitos de seguridad antes del desarrollo y/o
la implementación de los sistemas de información.
Se deben diseñar e implementar medidas de control de seguridad y registros de
auditoría o de actividades correspondientes a cada aplicación. En el diseño de los
controles se deben incluir las validaciones de los datos de entrada, procesamiento
interno y datos de salida que manejan las aplicaciones.
Se deben establecer normas para el control de los entornos del proyecto y procesos
de desarrollo y soporte en el mantenimiento de la seguridad del software y de la
información manejada por las aplicaciones de los sistemas de la Organización.
Identificar los procesos críticos para el negocio e integrar los requisitos de la gestión
de la seguridad de la información de la continuidad del negocio con otros requisitos
de continuidad relacionados con aspectos tales como operaciones,
personal, materiales, transporte e instalaciones.
Debería incluir controles para identificar y reducir los riesgos, además del proceso
general de evaluación de riesgos, limitar las consecuencias de los incidentes dañinos
y garantizar la disponibilidad de la información requerida para los procesos del
negocio.
CUMPLIMIENTO
Se nota que la empresa tiene identificada la legislación aplicable al SGSI, así como también
la normatividad respecto a los derechos de propiedad intelectual. Sin embargo, se
identifican muchas falencias en el cumplimiento de los requisitos legales, políticas y
estándares de seguridad. Para mejorar estos aspectos es importante tener en cuenta las
siguientes recomendaciones:
Se debería buscar asesoría sobre los requisitos legales específicos de los asesores
jurídicos de la organización o de abogados practicantes calificados.
Se deberían auditar las plataformas técnicas y los sistemas de información para
determinar el cumplimiento de las normas aplicables sobre implementación de la
seguridad y los controles de seguridad documentados.
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 5 - Política de Seguridad.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
politica-de_02.html
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 7 – Gestión de Activos.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
dominio-7-gestion.html
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Seguridad Física.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso-27002-
dominio-9.html
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Control de Acceso.
Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2011
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Gestión de los incidentes
de la seguridad de la información. Bogotá, Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2013
Camelo, Leonardo. (2010). ISO 27001 e ISO 27002: Dominio 6 – Cumplimiento. Bogotá,
Colombia. Recuperado de:
http://seguridadinformacioncolombia.blogspot.com/search/label/Dominio%2015