Aplicación de la norma ISO 27002

Presentado a: Camilo Andres Gutierrez Oviedo

SERVICIO NACIONAL DE APRENDIZAJE – SENA

GESTION Y SEGURIDAD DE BASE DE DATOS

EVERLY CORTES IBARGUEN

FICHA: 1881780
 INTRODUCCION

La ISO/IEC 27002 es una norma internacional que establece el código de mejores

prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la
Información (SGSI) en las organizaciones.

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para

iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en
una organización. Esto también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.

Por eso se establecerá un plan de mejora en todos los ítems para que lleguen a un estado
de cumplimiento del más de 70% que le permitirá a la empresa mejorar en la Seguridad de
su Sistema de Información.
 PLAN DE MEJORA EN SEGURIDAD
ITEM ISO/IEC 27002
Política de Seguridad
Estructura organizativa para la
seguridad
Clasificación y control de activos
Seguridad en el personal
Seguridad física y del entorno
IMPLEMENTACION MEJORA
Crear un documento sobre la política
de seguridad de la información de la
empresa, que debe contener los
conceptos de seguridad de la
información, una estructura para
establecer los objetivos y las formas
de control, el compromiso de la
dirección con la política, entre tantos
otros factores.
Establecer una estructura para que
las actividades de seguridad de la
información sean coordinadas por
representantes de la organización,
que tengan responsabilidades
definidas y protejan la información
de carácter confidencial.
Elaborar y mantener un inventario de
activos de información, mostrando
los propietarios de los activos y los
detalles relevantes.
Clasificar la información para indicar
la necesidad, las prioridades y el nivel
de protección previsto para su
tratamiento.
Implementar una buena selección de
personal.
Tener un documento de
responsabilidades y obligaciones de
cada trabajador.
Contar con áreas seguras, con niveles
y controles de acceso apropiados,

Gestión de comunicaciones y
operaciones
Control de accesos
Desarrollo y mantenimiento de
sistemas
Gestión de incidentes de la
seguridad de la información
Gestión de la continuidad del
negocio
para los equipos e instalaciones que
contengan información crítica o
sensible.
Garantizar la seguridad y proteger de
forma adecuada los medios de
transmisión de estos datos clave, ya
que la gran mayoría del intercambio
de información y datos se hace
mediante redes sociales.
Garantizar el acceso de usuario
autorizado y prevenir el acceso no
autorizado a los sistemas de
información, a fin de evitar daños a
documentos y recursos de
procesamiento de la información que
estén al alcance de cualquiera.
Identificar y convenir los requisitos
de seguridad de los sistemas de
información antes de su desarrollo
y/o de su implementación, para que
así puedan ser protegidos para el
mantenimiento de su
confidencialidad, autenticidad o
integridad por medios criptográficos.
Establecer los procedimientos
formales de registro y
escalonamiento, notificar estos a los
empleados, proveedores y terceros
para que puedan notificar eventos
que afecten la seguridad de la
información.
Implementar y desarrollar los planes
de continuidad del negocio, con el fin
de impedir la interrupción de las
actividades del negocio y asegurar
que las operaciones esenciales sean
rápidamente recuperadas.
Cumplimiento Garantizar que se cumpla la
legislación, normas y políticas
aplicables al Sistema de gestión de
información y que estar actualizados
con los últimos cambios siendo
esencial para no tener sorpresas
desagradables.