Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 17 vistas

    Aa1 Evo4

    Cargado por

    yurapao
    CRITERIOS NORMA ISO 27002

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Aa1 Evo4

    Cargado por

    yurapao
    17 vistas14 páginas
    CRITERIOS NORMA ISO 27002

    Título original

    AA1-EVO4

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    CRITERIOS NORMA ISO 27002

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    17 vistas14 páginas

    Aa1 Evo4

    Cargado por

    yurapao
    CRITERIOS NORMA ISO 27002

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 14

    AA1-E4 APLICACIÓN DE LA NORMA ISO 27002

    POR:

    YURANIS PAOLA ARIAS CANO.

    PROFESORA:

    ALEXANDRA MARCELA VILLAMIL LOPEZ.

    SENA
    CENTRO AGROPECUARIO LA GRANJA
    REGIONAL TOLIMA
    IBAGUE-TOLIMA
    2019
    INTRODUCCIÓN

    Cuando identificamos los activos de la información, debemos saber de dónde


    proceden y como se clasifican dentro de la empresa, para establecer ciertos
    criterios como son el tratamiento, la protección y la divulgación de la información,
    al igual que conocer toda la infraestructura tecnológica aplicada a esta

    Para garantizar la seguridad de toda la información y de las herramientas técnicas(


    hardware), es importante crear una política de seguridad en cuanto a la
    información, en cuento a manejo, control tratamiento, y seguridad, este proceso
    de implantación nos va a permitir, en primer lugar, analizar y ordenar la estructura
    de toda la información, en segundo lugar, definir procedimientos de trabajo que
    nos permitan mantener la seguridad, y en tercer lugar realizar controles para medir
    la eficacia de las medidas tomadas, todo esto nos permite proteger la organización
    de posibles amenazas y riesgos que pueden poner en peligro la organización

    Establecer unas políticas de gestión de seguridad nos permite establecer unos


    criterios para gestionar los riesgos y así preservar la confidencialidad, la integridad
    y disponibilidad de los mismos.

    La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
    ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
    implementar y mantener sistemas de gestión de seguridad de información. La
    norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control
    y 133 controles.

    A continuación se realiza una descripción de los aspectos que deben ser tenidos
    en cuenta al momento de evaluar los controles de cada uno de los dominios de la
    norma ISO 27002:

    Política de seguridad: Estos controles proporcionan la guía y apoyo de la


    dirección para la seguridad de la información en relación a los requisitos del
    negocio y regulaciones relevantes.

    Estructura organizativa para la seguridad: Organización interna: estos controles


    gestionan la seguridad de la información dentro de la Organización. El órgano de
    dirección debe aprobar la política de seguridad de la información, asignando los
    roles de seguridad y coordinando la implantación de la seguridad en toda la
    Organización. Terceras partes: estos controles velan por mantener la seguridad de
    los recursos de tratamiento de la información y de los activos de información de la
    organización.
    Clasificación y control de activos: Responsabilidad sobre los activos: estos
    controles pretenden alcanzar y mantener una protección adecuada de los activos
    de la organización. Clasificación y control de de la información: la información se
    encuentra clasificada para indicar las necesidades, prioridades y nivel de
    protección previsto para su tratamiento.

    Seguridad del personal: Este conjunto de controles se enfocan en asegurar que


    los empleados, contratistas y usuarios de terceras partes entiendan sus
    responsabilidades y sean aptos para las funciones que desarrollen, para reducir el
    riesgo de robo, fraude y mal uso de las instalaciones y medios.

    Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento


    de información sensible deben estar ubicados en áreas seguras y protegidas en
    un perímetro de seguridad definido por barreras y controles de entrada, protegidas
    físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca
    en los controles de protección contra amenazas físicas y para salvaguardar
    servicios de apoyo como energía eléctrica e infraestructura del cableado.

    Gestión de las comunicaciones y operaciones: Procura asegurar, implementar


    y mantener un nivel apropiado de seguridad de la información, además de la
    operación correcta y segura de los recursos de tratamiento de información,
    minimizando el riesgo de fallos en los sistemas y asegurando la protección de la
    información en las redes y la protección de su infraestructura de apoyo.

    Control de accesos: Controla los accesos a la información y los recursos de


    tratamiento de la información en base a las necesidades de seguridad de la
    organización y las políticas para el control de los accesos.

    Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles


    adicionales para los sistemas que procesan o tienen algún efecto en activos de
    información de carácter sensible, valioso o crítico. Dichos controles se determinan
    en función de los requisitos de seguridad y la estimación del riesgo.

    Gestión de incidentes de seguridad de la información: Se establecen informes


    de los eventos y de los procedimientos realizados, todos los empleados,
    contratistas y terceros deben estar al tanto de los procedimientos para informar de
    los diferentes tipos de eventos y debilidades que puedan tener impacto en la
    seguridad de los activos de la organización.

    Gestión de la continuidad del negocio: La seguridad de información debe ser


    una parte integral del plan general de continuidad del negocio (PCN) y de los
    demás procesos de gestión dentro de la organización. El plan de gestión de la
    continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
    tiempo de las operaciones esenciales.

    Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley,


    estatuto, regulación u obligación contractual y de cualquier requisito de seguridad
    dentro y fuera de la organización. Los requisitos legales específicos deberían ser
    advertidos por los asesores legales de la organización o por profesionales del
    área. Además se deberían realizar revisiones regulares de la seguridad de los
    sistemas de información.
    JUSTIFICACIÓN

    La información, junto con los procesos que la administran, además de cada una de
    las personas que hacen parte de los mismos, son activos valiosos del que
    depende el buen funcionamiento de una organización. La confidencialidad,
    integridad y disponibilidad de la información, son elementos esenciales para
    mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
    empresarial necesarios para lograr los objetivos de la organización y asegurar los
    beneficios económicos.

    El sistema de gestión de seguridad de la información permite controlar y minimizar


    los riesgos físicos o lógicos entre estos tenemos por un lado los incendios,
    inundaciones entre otros, como por, otra parte tenemos hacker, robos de
    identidad, spam, virus entre otros, para proteger a esta organización de todas
    estas amenazas es necesario establecer unos procedimientos adecuados e
    implementar controles de seguridad basados en la evaluación de riesgos y medir
    su eficacia, establecer un sistema de gestión de seguridad de la información
    basado en la norma ISO/IEC 27002.
    OBJETIVO DE LA AUDITORIA

     Revisar la situación actual de la empresa identificando las condiciones de


    seguridad de la información
     Proponer un plan de mejora con base a los hallazgos encontrados en el
    contexto de seguridad de la información.
     Evaluar la conformidad del sistema de gestión de seguridad de la
    información regido bajo la norma ISO 27002.
    ALCANCE DE LA AUDITORIA
    Analizar el sistema de gestión de seguridad de la información de la
    organización formando jóvenes teniendo en cuenta los requerimientos de la
    norma ISO 27002.
    RESULTADOS DE LA AUDITORIA.

    NO CONFORMORMIDADES:
     No se tienen claras las políticas de copias de seguridad de la
    información, donde posiblemente no se tenga soporte de estas.
     Se pudo observar que no se posee un sistema de administración de
    contraseñas, no se exigen controles adicionales para el cambio de
    estas luego de un lapso determinado de tiempo.
     No se soporta los riesgos identificados por el acceso de terceras
    personas.

    CONFORMIDADES:
     La estructura organizativa para la seguridad se encuentra bien
    constituida en lo correspondiente a la organización interna y lo
    relacionado con las terceras partes.

     La empresa cuenta con el inventario de los activos que posee, sus


    propietarios y uso aceptable. Además cuenta con una clasificación
    organizada, incluyendo las guías de clasificación, etiquetado y
    manejo de la información.

     Los controles de seguridad contra software malicioso se encuentran


    bien soportados, empleando controles en las redes y seguridad de
    sus servicios.

     Se identifican sólidos controles de accesos, empleando políticas de


    control de accesos, registrando usuarios y administrando sus
    privilegios y contraseñas. También se ejerce fuerte control de acceso
    a las redes, por medio de autenticación para usuarios con conexiones
    externas
    OPORTUNIDAD DE MEJORA

    ASPECTO OBSERVACIÓN

    Estructura organizativa para la seguridad Se considera importante analizar los riesgos por parte de
    acceso de terceras partes, esto para garantizar la solidez
     Identificación de riesgos por el acceso de del esquema de seguridad de la información con una
    terceras partes. estructura organizativa mejor formada.

    Gestión de comunicaciones y operaciones Se deben documentar y soportar las copias de seguridad,


    con el fin de obtener mejores prestaciones en la
     Información de copias de seguridad. persistencia de los datos y obteniendo a su vez mejor
    gestión de comunicaciones y operaciones.

    Control de accesos Para garantizar la robustez de los controles de acceso, es


     Sistema de administración de contraseñas. necesario que se mejore el sistema de administración de
    contraseñas; permitiéndole a los usuarios realizar
    cambios periódicos de estas garantizando la seguridad
    de los datos privados de la empresa.

    PLAN DE MEJORA.

    FASE ACTIVIDADES MES


    1 2 3
    Análisis de la información . Estructura organizativa para la seguridad
    ISO 27002  Terceras Partes.
    Identificación de riesgos por el acceso de terceras partes.
    Gestión de comunicaciones y operaciones
     Copias de seguridad.
    o Información de copias de seguridad.
    Control de accesos
     Control de acceso al sistema operativo.
    Sistema de administración de contraseñas.
    RESULTADOS PLANILLA ISO 27002.

    También podría gustarte