APLICACIÓN DE LA NORMA ISO 27002

ACTIVIDAD AA1-E5

PAULA LILIANA TRUJILLO AGUDELO

PROFESOR: CAMILO GUTIERREZ

SERVICIO NACIONAL DE APRENDIZAJE

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

CENTRO DE SERVICIOS FINANANCIEROS

MEDELLIN

2019
 CONTENIDO

Página

INTRODUCCIÓN 4

OBJETIVOS 5

ALCANCE DE LA AUDITORIA 6

DOMINIOS NORMA ISO 27002 7

RESULTADOS DE LA AUDITORIA 8

PLAN DE MEJORA DE SEGURIDAD 9

 INTRODUCCIÓN

La norma ISO 27002 es un estándar para la seguridad de la información que ha

publicado la organización internacional de normalización y la comisión
electrotécnica internacional, proporcionando diferentes recomendaciones de las
mejores prácticas en la gestión de la seguridad de la información a todos los
interesados y responsables para iniciar, implementar o mantener sistemas de
gestión de la seguridad de la información. La seguridad de la información se define
en el estándar como “la preservación de la confidencialidad, integridad y
disponibilidad.

Se encuentra enfocada a todo tipo de empresas, independientemente del tamaño,

tipo o naturaleza.

Se encuentra organizada en base a los 11 dominios, 39 objetivos de control y 133

controles.

El documento denominado política es aquel que expresa una intención e instrucción

general de la forma que ha sido expresada por la dirección de la empresa.

El contenido de las políticas se basa en el contexto en el que opera una empresa y

suele ser considerado en su redacción todos los fines y objetivos de la empresa, las
estrategias adoptadas para conseguir sus objetivos, la estructura y los
procesos utilizados por la empresa. Además, de los objetivos generales y específicos
relacionados con el tema de la política y los requisitos de las políticas procedentes
de niveles mucho más superiores y que se encuentran relacionadas.

OBJETIVOS

4
General

Establecer directrices y principios generales para iniciar, implementar, mantener y

mejorar la gestión de la seguridad de la información en la empresa ARUS S.A. Esto
también incluye la selección, implementación y administración de controles,
teniendo en cuenta los entornos de riesgo encontrados en la empresa.

Específicos

Evaluar en la empresa ARUS S.A el sistema de gestión de seguridad implementado

según la normatividad 27002.

Proponer un plan de mejora con base a los parámetros hallados en el contexto de la

seguridad informática de la empresa y basada a la norma 27002.

5
 ALCANCE DE LA AUDITORIA

Se realizara la auditoria para validar la seguridad de la información en

la empresa u organización ARUS S.A, según los lineamientos estipulados en la
NORMA ISO 27002 de modo que las probabilidades de ser afectados por robo, daño
o pérdida de información se minimicen al máximo, basado en los resultados
indicados en el formato Excel (AUDITORIA DE LA NORMA ISO 27002).

6
 DOMINIOS NORMA ISO 27002

Los dominios evaluados en la auditoria se la seguridad de la información fueron:

 Políticas de seguridad.
 Estructura organizativa para la seguridad.
 Clasificación y control de activos.
 Seguridad personal.
 Seguridad física y del entorno.
 Gestión de comunicaciones y operaciones.
 Control de accesos.
 Desarrollo y mantenimiento del sistema.
 Gestión de incidentes de la seguridad de la información.
 Gestión de la continuidad de negocio.
 Cumplimiento.

7
Tabla: Resultados de la Auditoria ARUS S.A

8
 PLAN DE MEJORA DE SEGURIDAD

Al realizar la verificación de la empresa se encuentra la necesidad de mejorar los

siguientes aspectos:

Seguridad física y del entorno

Descripción Rango

Mantenimiento de equipos Medio

Realizar un mejor mantenimiento a los equipos de sistemas o en lo posible realizar

el cambio por equipos más actualizados y garantizar la Seguridad en la reutilización
o eliminación de equipos.

Gestión de comunicaciones y operaciones

Descripción Rango

Seguridad de los servicios de red Medio

Mejorar bloqueo y control de aplicativos y páginas que no correspondan a las

utilizadas para las labores contratadas en la empresa.

9
Seguridad física y del entorno

Descripción Rango

Equipos de cómputo de usuario desatendidos

Medio

Política de escritorios y pantallas limpias Medio

Implementar medidas para concientizar a los usuarios que deben garantizar que los
equipos desatendidos disponen de la protección apropiada y así evitar que personas
ajenas a los procesos puedan acceder a la información.

Igualmente exigir a los usuarios el uso de las buenas prácticas de seguridad en la

selección y uso de las contraseñas y no compartir estas con su entorno más cercano.

Gestión de incidentes de la seguridad de la información

Descripción Rango

Reportando debilidades de seguridad Medio

Es responsabilidad de los empleados notificar cualquier irregularidad o falencia en

los sistemas de seguridad es necesario implementar una herramienta o medio
efectivo para realizar tal reporte y poder darle atención inmediata.

Esta política de seguridad deberá seguir un proceso de actualización periódica

sujeto a los cambios organizacionales relevantes: crecimiento de la planta de
personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios,
entre otros.

10