SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALILZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de
una plantilla aplicada sobre una situación presentada y generar un documento con los
elementos a mejorar”

Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de una plantilla aplicada sobre
una situación presentada y generar un documento con los elementos a mejorar”

YERALDIN BRAVO CASANOVA

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACIÓN TECNOLOGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
ID 1881805
 SERVICIO NACIONAL DE APRENDIZAJE SENA
ESPECIALILZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de
una plantilla aplicada sobre una situación presentada y generar un documento con los
elementos a mejorar”

INTRODUCCIÓN

La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de
la información, con el fin de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información.
Por tal razón se aplicará esta norma a la empresa, estudiando los aspectos lo componen, evaluando los controles de
cada uno de los dominios de la norma, que son 11 dominios, 39 objetivos de control y 133 controles. Con esto podemos
identificar las condiciones de seguridad de la información y proponer un plan de mejora con base a los hallazgos
encontrados con base a la norma 27002.
 SERVICIO NACIONAL DE APRENDIZAJE SENA
ESPECIALILZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de
una plantilla aplicada sobre una situación presentada y generar un documento con los
elementos a mejorar”

RESULTADOS – ASPECTOS POSITIVOS

 Se pudo identificar en la empresa que cuenta con un inventario de activos que posee, y una clasificación
organizada.
 Se observó que la seguridad del personal se encuentra bien definida, como los procedimientos y
responsabilidades y documentados.
 La seguridad física y del entorno, como el perímetro de seguridad física, controle de acceso. La seguridad de
oficinas, la protección contra amenazas cumplen con más del 70%.
 Los controles de seguridad se encuentra bien soportados, empleando controles en las redes y seguridad en los
servicios.
 Tienen un control de Acceso a las aplicaciones y la información, tanto en los computadores, como en las redes.
 La empresa cuenta con una política de seguridad, los controles de acceso sólidos, empleando políticas de
control de acceso, registrando usuarios y administrando sus privilegios y contraseñas. Contando con
documentos que soportan la seguridad de la información.
 SERVICIO NACIONAL DE APRENDIZAJE SENA
ESPECIALILZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de
una plantilla aplicada sobre una situación presentada y generar un documento con los
elementos a mejorar”

PLAN DE MEJORA - ASPECTOS A MEJORAR

DESCRIPCION DEL PROBLEMA ACCIONES DE MEJORA

Estructura organizativa para la seguridad

- Comité de la dirección sobre seguridad de la - Se considera necesario conformar de manera

información. más clara un comité, para asegurar que las
metas de la seguridad de la información sean
identificadas, facilitar los recursos necesarios
para llevar a cabo la seguridad de la información,
esto permitirá una estructura organizativa más
sólida para le empresa.

- Coordinación de la seguridad de la información. - Se considera que la información obtenida de las

actividades de seguridad tiene que estar
perfectamente coordinadas por los
representantes de las diferentes áreas de la
organización que cuentan con diferentes roles y
funciones de trabajo.

- Asignación de responsabilidades para la - Se recomienda definir de forma clara todas las

seguridad de la información. responsabilidades para poder identificar todos
los activos físicos y los procesos de seguridad

Estructura organizativa para la seguridad

Terceras partes - Se deben identificar los riesgos de la información
- Identificación de riesgos por el acceso de que la empresa deja a esta tercera parte. No se
terceras partes debería autorizar este acceso hasta que no se
- Temas de seguridad a tratar con clientes implanten los controles identificados.

- Temas de seguridad en acuerdos con terceras - Todos los requisitos de seguridad deben quedar
partes firmados en el contrato con la tercera parte

Seguridad en el personal - Todos los empleados de la empresa deberían

Durante el empleo recibir entrenamiento apropiado del
- Educación y formación en seguridad de la conocimiento y actualización en políticas y
información procedimientos organizaciones como sean
relevantes para la función de su trabajo.
Seguridad física y del entorno
Seguridad de los equipos - Se considera que los cables deben estar bajo
- Seguridad del cableado tierra hasta el punto de acceso dentro de la
 SERVICIO NACIONAL DE APRENDIZAJE SENA
ESPECIALILZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
Actividad AA1-5: “Verificar la aplicación de la norma ISO 27001, a través de utilización de
una plantilla aplicada sobre una situación presentada y generar un documento con los
elementos a mejorar”

instalación, los puntos de acceso del cableado a

los equipos deben asegurarse según
corresponda y los cables deben estar protegidos,
los cables de energía deberían estar separados
de los cables de comunicaciones para evitar
interferencia

- El mantenimiento debería estar acorde con las

- Mantenimiento de equipos
Gestión de comunicaciones y operaciones
- Procedimiento de operación documentados
Gestión de comunicaciones y operaciones
Administración de servicios de terceras partes
- Entrega de servicios
- Monitoreo y revisión de servicios de terceros
- Manejo de cambios a servicios de terceros
especificaciones y los intervalos de servicio
recomendadnos por el proveedor, se
recomienda conservar registro de todas las fallas
reales y sospechosas y de todo el mantenimiento
preventivo y correctivo, solo el personal de
mantenimiento autorizado debería realizar las
reparaciones y el servicio de los equipos.
- Garantizar la documentación y actualización de
los procedimiento relacionados con la operación
y administración. Procesos de verificación,
instalación, configuración y administración de
sistemas y aplicaciones.
- Se debería garantizar que los controles de
seguridad, definiciones de servicio y niveles de
entrega, sean implementados, operados y
mantenidos por los terceros.
- Verificar la implementación de acuerdos, el
monitoreo de su cumplimiento y gestión de los
cambios con el fin de asegurar que los servicios
que se presten cumplen con todos los
requerimientos acordados con los terceros

Desarrollo y mantenimiento de sistemas

Seguridad en los procesos de desarrollo y soporte - Se recomienda supervisar y monitorear el
- Desarrollo externo de software desarrollo del software subcontratado por la
empresa