AA1-E5-APLICACIÓN DE LA NORMA ISO 27002

HAIVER NAYID CARDENAS RODRIGUEZ

Aprendiz

CAMILO ANDRES GUTIERREZ OVIEDO

Instructor

SERVICIO NACIONAL DE APRENDIZAJE

GESTION Y SEGURIDAD DE BASE DE DATOS
Bogotá, 16 Junio de 2019
 INTRODUCCIÓN

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie
ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar,
implementar y mantener sistemas de gestión de seguridad de información. La
norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de
control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser
tenidos en cuenta al momento de evaluar los controles de cada uno de los
dominios de la norma ISO 27002:
Política de seguridad: Estos controles proporcionan la guía y apoyo de la
dirección para la seguridad de la información en relación a los requisitos del
negocio y regulaciones relevantes.
Estructura organizativa para la seguridad: Organización interna: estos
controles gestionan la seguridad de la información dentro de la Organización.
El órgano de dirección debe aprobar la política de seguridad de la información,
asignando los roles de seguridad y coordinando la implantación de la seguridad
en toda la Organización. Terceras partes: estos controles velan por mantener la
seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización.
Clasificación y control de activos: Responsabilidad sobre los activos: estos
controles pretenden alcanzar y mantener una protección adecuada de los
activos de la organización. Clasificación y control de de la información: la
información se encuentra clasificada para indicar las necesidades, prioridades y
nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar
que los empleados, contratistas y usuarios de terceras partes entiendan sus
responsabilidades y sean aptos para las funciones que desarrollen, para
reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
Seguridad física y del entorno: Áreas seguras: Los servicios de
procesamiento de información sensible deben estar ubicados en áreas seguras
y protegidas en un perímetro de seguridad definido por barreras y controles de
entrada, protegidas físicamente contra accesos no autorizados. Seguridad de
los equipos: se enfoca en los controles de protección contra amenazas físicas y
para salvaguardar servicios de apoyo como energía eléctrica e infraestructura
del cableado.
Gestión de las comunicaciones y operaciones: Procura asegurar,
implementar y mantener un nivel apropiado de seguridad de la información,
además de la operación correcta y segura de los recursos de tratamiento de
información, minimizando el riesgo de fallos en los sistemas y asegurando la
protección de la información en las redes y la protección de su infraestructura
de apoyo.
Control de accesos: Controla los accesos a la información y los recursos de
tratamiento de la información en base a las necesidades de seguridad de la
organización y las políticas para el control de los accesos.
Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles
adicionales para los sistemas que procesan o tienen algún efecto en activos de
información de carácter sensible, valioso o crítico. Dichos controles se
determinan en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información: Se establecen
informes de los eventos y de los procedimientos realizados, todos los
empleados, contratistas y terceros deben estar al tanto de los procedimientos
para informar de los diferentes tipos de eventos y debilidades que puedan tener
impacto en la seguridad de los activos de la organización.
Gestión de la continuidad del negocio: La seguridad de información debe ser
una parte integral del plan general de continuidad del negocio (PCN) y de los
demás procesos de gestión dentro de la organización. El plan de gestión de la
continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.
Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier
ley, estatuto, regulación u obligación contractual y de cualquier requisito de
seguridad dentro y fuera de la organización. Los requisitos legales específicos
deberían ser advertidos por los asesores legales de la organización o por
profesionales del área. Además se deberían realizar revisiones regulares de la
seguridad de los sistemas de información.
 OBJETIVO DE LA AUDITORIA

 Evaluar la conformidad del sistema de gestión de seguridad de la

información regido bajo la norma ISO 27002.

 Revisar la situación actual de la empresa identificando las condiciones

de seguridad de la información.

 Proponer un plan de mejora con base a los hallazgos encontrados en el

contexto de seguridad de la información con base a la norma 27002.
 ALCANCE DE LA AUDITORIA

La auditoría tiene como alcance el sistema de gestión de seguridad de la

información relacionada con la empresa, donde se analizaron todos los
requisitos bajo la norma ISO 27002, expuestos en el anexo de este
documento.
 RESULTADOS DE LA AUDITORIA

ASPECTOS CONFORMES

 Se pudo identificar que la empresa cuenta con una política de seguridad

sólida, contando con documentos que soportan la seguridad de la
información, al igual que las revisiones de estas.

 La estructura organizativa para la seguridad se encuentra bien

constituida en lo correspondiente a la organización interna y lo
relacionado con las terceras partes.

 La empresa cuenta con el inventario de los activos que posee, sus

propietarios y uso aceptable. Además cuenta con una clasificación
organizada, incluyendo las guías de clasificación, etiquetado y manejo
de la información.

 Durante la auditoria se pudo identificar que los procedimientos y

responsabilidades se encuentran bien definidos y documentados, al
igual que la administración de los servicios de terceras partes,
monitoreando y revisando sus servicios.

 Los controles de seguridad contra software malicioso se encuentran bien

soportados, empleando controles en las redes y seguridad de sus
servicios.

 Se identifican sólidos controles de accesos, empleando políticas de

control de accesos, registrando usuarios y administrando sus privilegios
y contraseñas. También se ejerce fuerte control de acceso a las redes,
por medio de autenticación para usuarios con conexiones externas.

 Se registran procedimientos, reportes y procedimientos de los incidentes

relacionados con la seguridad de la información; recolectando
evidencias y publicando las lecciones aprendidas.
ASPECTOS CONFORMES

 Se logró evidenciar que no se encuentra bien definido un comité

relacionado con la dirección sobre la seguridad de la información.

 No se soporta los riesgos identificados por el acceso de terceras

personas.

 No se tienen claras las políticas de copias de seguridad de la

información, donde posiblemente no se tenga soporte de estas.

 Se pudo observar que no se posee un sistema de administración de

contraseñas, no se exigen controles adicionales para el cambio de estas
luego de un lapso determinado de tiempo.
 OPORTUNIDADES DE MEJORA

ASPECTO OBSERVACIÓN
Estructura organizativa para la Se considera necesario que se
seguridad conformen o se definan de manera
más clara el comité de la dirección
 Organización Interna.
sobre seguridad de la información,
o Comité de la dirección
esto permitirá una estructura
sobre seguridad de la
información. organizativa más sólida para la
empresa.
Estructura organizativa para la Se considera importante analizar los
seguridad riesgos por parte de acceso de
terceras partes, esto para garantizar
 Terceras Partes.
la solidez del esquema de seguridad
o Identificación de riesgos
de la información con una estructura
por el acceso de terceras
partes. organizativa mejor formada.
Gestión de comunicaciones y Se deben documentar y soportar las
operaciones copias de seguridad, con el fin de
obtener mejores prestaciones en la
 Copias de seguridad.
persistencia de los datos y obteniendo
o Información de copias de
a su vez mejor gestión de
seguridad.
comunicaciones y operaciones.
Control de accesos Para garantizar la robustez de los
controles de acceso, es necesario que
 Control de acceso al sistema
se mejore el sistema de
operativo.
administración de contraseñas;
o Sistema de
administración de permitiéndole a los usuarios realizar
contraseñas. cambios periódicos de estas
garantizando la seguridad de los
datos privados de la empresa.
 RESULTADO DE LA AUDITORIA

% de cumplimiento de la norma
Objetivos
Dominios Controles
de Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

1 2 Política de Seguridad 1,5 100 100

2 Política de Seguridad de la Información 100 100
5
1 1 Debe Documento de la política de seguridad de la información 50 100 100
2 Debe Revisión de la política de seguridad de la información 50 100 100
2 11 Estructura organizativa para la seguridad 8,27 80,91 100
8 Organización Interna 72,73 61,82
1 Debe Comité de la dirección sobre seguridad de la información 9,09 30 30
2 Debe Coordinación de la seguridad de la información 9,09 90 90
3 Debe Asignación de responsabilidades para la de seguridad de la información 9,09 100 100
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información 9,09 100 100
5 Debe Acuerdos de confidencialidad 9,09 100 100
6
6 Puede Contacto con autoridades 9,09 80 80
7 Puede Contacto con grupos de interés 9,09 100 100
8 Puede Revisión independiente de la seguridad de la información 9,09 80 80
3 Terceras partes 27,27 19,09
1 Debe Identificación de riesgos por el acceso de terceras partes 9,09 50 50
2
2 Debe Temas de seguridad a tratar con clientes 9,09 80 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9,09 80 80
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
2 5 Clasificación y control de activos 3,76 100 100
7
1 3 Responsabilidad sobre los activos 60 60
 1 Debe Inventario de activos 20 100 100
2 Debe Propietario de activos 20 100 100
3 Debe Uso aceptable de los activos 20 100 100
2 Clasificación de la información 40 40
2 1 Debe Guías de clasificación 20 100 100
2 Debe Etiquetado y manejo de la información 20 100 100
3 9 Seguridad en el personal 6,77 100 100
3 Antes del empleo 33,33 33,33
1 Debe Roles y responsabilidades 11,11 100 100
1
2 Debe Verificación 11,11 100 100
3 Debe Términos y condiciones de empleo 11,11 100 100
3 Durante el empleo 33,33 33,33
8 1 Debe Responsabilidades de la gerencia 11,11 100 100
2
2 Debe Educación y formación en seguridad de la información 11,11 100 100
3 Debe Procesos disciplinarios 11,11 100 100
3 Terminación o cambio del empleo 33,33 33,33
1 Debe Responsabilidades en la terminación 11,11 100 100
3
2 Debe Devolución de activos 11,11 100 100
3 Debe Eliminación de privilegios de acceso 11,11 100 100
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
2 13 Seguridad fisica y del entorno 9,77 93,08 100
6 Áreas Seguras 46,15 39,23
1 Debe Perímetro de seguridad física 7,69 80 80
9
1 2 Debe Controles de acceso físico 7,69 90 90
3 Debe Seguridad de oficinas, recintos e instalaciones 7,69 80 80
4 Debe Protección contra amenazas externas y ambientales 7,69 100 100
 5 Debe Trabajo de áreas seguras 7,69 80 80
6 Puede Áreas de carga, entrega y áreas públicas 7,69 80 80
7 Seguridad de los Equipos 53,85 53,85
1 Debe Ubicación y protección del equipo 7,69 100 100
2 Debe Herramientas de soporte 7,69 100 100
3 Debe Seguridad del cableado 7,69 100 100
2
4 Debe Mantenimiento de equipos 7,69 100 100
5 Debe Seguridad del equipamiento fuera de las instalaciones 7,69 100 100
6 Debe Seguridad en la reutilización o eliminación de equipos 7,69 100 100
7 Debe Movimientos de equipos 7,69 100 100
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
10 32 Gestión de comunicaciones y operaciones 24,06 96 100
4 Procedimientos operacionales y responsabilidades 12,5 11,25
1 Debe Procedimientos de operación documentados 3,125 100 100
1 2 Debe Control de cambios 3,125 100 100
3 Debe Separación de funciones 3,125 80 80
4 Debe Separación de las instalaciones de desarrollo y producción 3,125 80 80
3 Administración de servicios de terceras partes 9,38 8,13
1 Puede Entrega de servicios 3,12 100 100
10 2
2 Puede Monitoreo y revisión de servicios de terceros 3,12 80 80
3 Puede Manejo de cambios a servicios de terceros 3,12 80 80
2 Planificación y aceptación del sistema 6,25 6,25
3 1 Debe Planificación de la capacidad 3,125 100 100
2 Debe Aceptación del sistema 3,125 100 100
2 Protección contra software malicioso y móvil 6,25 6,25
4 1 Debe Controles contra software malicioso 3,125 100 100
2 Debe Controles contra código móvil 3,125 100 100
 1 Copias de seguridad 3,13 1,57
5
1 Debe Información de copias de seguridad 3,13 50 50
2 Administración de la seguridad en redes 6,25 6,25
6 1 Debe Controles de redes 3,125 100 100
2 Debe Seguridad de los servicios de red 3,125 100 100
4 Manejo de medios de soporte 12,5 12,5
1 Debe Administración de los medios de computación removibles 3,125 100 100
7 2 Debe Eliminación de medios 3,125 100 100
3 Debe Procedimientos para el manejo de la información 3,125 100 100
4 Debe Seguridad de la documentación del sistema 3,125 100 100
5 Intercambio de información 15,63 15,63
1 Debe Políticas y procedimientos para el intercambio de información 3,126 100 100
2 Puede Acuerdos de intercambio 3,126 100 100
8
3 Puede Medios físicos en transito 3,126 100 100
4 Puede Mensajes electrónicos 3,126 100 100
5 Puede Sistemas de información del negocio 3,126 100 100
3 Servicios de comercio electronico 9,38 9,38
1 Puede Comercio electronico 3,126 100 100
9
2 Puede Transacciones en línea 3,126 100 100
3 Puede Información públicamente disponible 3,126 100 100
6 Monitoreo y supervisión 18,75 18,75
1 Debe Logs de auditoria 3,126 100 100
2 Debe Monitoreo de uso de sistema 3,126 100 100
10 3 Debe Protección de los logs 3,126 100 100
4 Debe Registro de actividades de administrador y operador del sistema 3,126 100 100
5 Debe Fallas de login 3,126 100 100
6 Puede Sincronización del reloj 3,126 100 100
 Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
7 25 Control de accesos 18,8 96,4 100
1 Requisitos de negocio para el control de acceso 4 4
1
1 Debe Política de control de accesos 4 100 100
4 Administración de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100 100
2 2 Debe Administración de privilegios 4 100 100
3 Debe Administración de contraseñas 4 100 100
4 Debe Revisión de los derechos de acceso de usuario 4 100 100
3 Responsabilidades de los usuarios 12 12
1 Debe Uso de contraseñas 4 100 100
3
2 Puede Equipos de cómputo de usuario desatendidos 4 100 100
3 Puede Política de escritorios y pantallas limpias 4 100 100
7 Control de acceso a redes 28 28
11
1 Debe Política de uso de los servicios de red 4 100 100
2 Puede Autenticación de usuarios para conexiones externas 4 100 100
3 Puede Identificación de equipos en la red 4 100 100
4
4 Debe Administración remota y protección de puertos 4 100 100
5 Puede Segmentación de redes 4 100 100
6 Debe Control de conexión a las redes 4 100 100
7 Debe Control de enrutamiento en la red 4 100 100
6 Control de acceso al sistema operativo 24 20,4
1 Debe Procedimientos seguros de Log-on en el sistema 4 80 80
2 Debe Identificación y autenticación de los usuarios 4 100 100
5
3 Debe Sistema de administración de contraseñas 4 30 30
4 Puede Uso de utilidades de sistema 4 100 100
5 Debe Inactividad de la sesión 4 100 100
 6 Puede Limitación del tiempo de conexión 4 100 100
2 Control de acceso a las aplicaciones y la información 8 8
6 1 Puede Restricción del acceso a la información 4 100 100
2 Puede Aislamiento de sistemas sensibles 4 100 100
2 Ordenadores portátiles y teletrabajo 8 8
7 1 Puede Ordenadores portátiles y comunicaciones moviles 4 100 100
2 Puede Teletrabajo 4 100 100
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
6 16 Desarrollo y mantenimiento de sistemas 12,03 93,13 100
1 Requerimientos de seguridad de sistemas de información 6,25 6,25
1
1 Debe Análisis y especificaciones de los requerimientos de seguridad 6,25 100 100
4 Procesamiento adecuado en aplicaciones 25 25
1 Debe Validación de los datos de entrada 6,25 100 100
2 2 Puede Controles de procesamiento interno 6,25 100 100
3 Puede Integridad de mensajes 6,25 100 100
4 Puede Validación de los datos de salida 6,25 100 100
2 Controles criptográficos 12,5 10,63
12 3 1 Puede Política de utilización de controles criptográficos 6,25 90 90
2 Puede Administración de llaves 6,25 80 80
3 Seguridad de los archivos del sistema 18,75 18,75
1 Debe Control del software operacional 6,25 100 100
4
2 Puede Protección de los datos de prueba del sistema 6,25 100 100
3 Debe Control de acceso al código fuente de las aplicaciones 6,25 100 100
5 Seguridad en los procesos de desarrollo y soporte 31,25 27,5
1 Debe Procedimientos de control de cambios 6,25 100 100
5
2 Debe Revisión técnica de los cambios en el sistema operativo 6,25 80 80
3 Puede Restricciones en los cambio a los paquetes de software 6,25 100 100
 4 Debe Fugas de información 6,25 80 80
5 Debe Desarrollo externo de software 6,25 80 80
1 Gestión de vulnerabilidades técnicas 6,25 5
6
1 Debe Control de vulnerabilidades técnicas 100 80 80
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
2 5 Gestión de incidentes de la seguridad de la información 3,76 100 100
2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100 100
2 Puede Reportando debilidades de seguridad 20 100 100
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 60
1 Debe Procedimientos y responsabilidades 20 100 100
2
2 Puede Lecciones aprendidas 20 100 100
3 Debe Recolección de evidencia 20 100 100
1 5 Gestión de la continuidad del negocio 3,76 88 100
5 Aspectos de seguridad de la información en la gestión de continuidad del negocio 100 88

Inclusión de seguridad de la información en el proceso de gestión de la

1 Debe continuidad del negocio 20 100 100
14 2 Debe Continuidad del negocio y análisis del riesgo 20 80 80
1
Desarrollo e implementación de planes de continuidad incluyendo seguridad
3 Debe de la información 20 80 80
4 Debe Marco para la planeación de la continuidad del negocio 20 80 80
Prueba, mantenimiento y reevaluación de los planes de continuidad del
5 Debe negocio 20 100 100
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
3 10 Cumplimiento 7,52 99,99 100
15 6 Cumplimiento con los requisitos legales 60 48
1
1 Debe Identificación de la legislación aplicable 10 80 80
 2 Debe Derechos de propiedad intelectual (dpi) 10 80 80
3 Debe Protección de los registros de la organización 10 70 70
4 Debe Protección de datos y privacidad de la información personal 10 100 100
Prevención del uso inadecuado de los recursos de procesamiento de
5 Debe información 10 100 100
6 Debe Regulación de controles para el uso de criptografía 10 50 50
2 Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico 20 13
2 1 Debe Cumplimiento con las políticas y procedimientos 10 50 50
2 Debe Verificación de la cumplimiento técnico 10 80 80
2 Consideraciones de la auditoria de sistemas de información 20 16
3 1 Debe Controles de auditoria a los sistemas de información 10 80 80
2 Debe Protección de las herramientas de auditoria de sistemas 10 80 80