PLAN DE MEJORA EN SEGURIDAD

HILBERT HUMBERTO MURCIA BELTRAN

TUTOR
ING JOSE LUIS MUÑOZ RODRIGUEZ

SENA
ESPECIALIZACIÓN EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
SEPTIEMBRE DEL 2019
 INTRODUCCION

La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC
27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y
mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se
compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles. A
continuación se realiza una descripción de los aspectos que deben ser tenidos
en cuenta al momento de evaluar los controles de cada uno de los dominios de la norma
ISO 27002:
Política de seguridad:
Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la
información en relación a los requisitos del negocio y regulaciones relevantes.
Estructura organizativa para la seguridad:
"Organización interna: estos controles gestionan la seguridad de la información dentro de la
Organización. El órgano de dirección debe aprobar la Política de seguridad de la
información, asignando los roles de seguridad y coordinando la implantación de la
seguridad en toda la Organización."
"Terceras partes: estos controles velan por mantener la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización."
Clasificación y control de activos:
Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una
protección adecuada de los activos de la organización. "Clasificación y control de de la
información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento."
Seguridad del personal:
"Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones
que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios."
Seguridad física y del entorno:
"Áreas seguras: Los servicios de procesamiento de información sensible deben estar
ubicados en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y
controles de entrada, protegidas físicamente contra accesos no autorizados. Seguridad de
los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado."
Gestión de las comunicaciones y operaciones:
"Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la
información, además de la operación correcta y segura de los recursos de tratamiento de
información, minimizando el riesgo de fallos en los sistemas y asegurando la protección de
la información en las redes y la protección de su infraestructura de apoyo."
Control de accesos:
Controla los accesos a la información y los recursos de tratamiento de la información en
base a las necesidades de seguridad de la organización y las políticas para el control de los
accesos.
Desarrollo y mantenimiento de sistemas:
Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen
algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos
controles se determinan en función de los requisitos de seguridad y la estimación del riesgo.
Gestión de incidentes de seguridad de la información:
"Se establecen informes de los eventos y de los procedimientos realizados, todos los
empleados, contratistas y terceros deben estar al tanto de los Procedimientos para informar
de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad
de los activos de la organización."
Gestión de la continuidad del negocio:
La seguridad de información debe ser una parte integral del plan general de continuidad del
negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de
gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a
tiempo de las operaciones esenciales.
Cumplimiento:
“Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u
obligación contractual y de cualquier requisito de seguridad dentro y fuera de la
organización. Los requisitos legales específicos deberían ser advertidos por los asesores
legales de la organización o por profesionales del área.
Además se deberían realizar revisiones regulares de la seguridad de los sistemas de
información."
Empresa: Colombia de compras
Sector: venta por internet
Características de la empresa: es una página de compras virtual que vende diariamente
miles de productos a personas de distintas partes de Colombia
Aspectos críticos: la mayoría de los dominios están entre 60, hay unos que tienen que
mejorar más que otros y vamos a evaluarlos desde el “nivel de cumplimiento del dominio”
o (NC.D)
DOMINIO NC.D ASPECTOS AL
MEJORAR
5 60 Mejorar la política de
seguridad de la empresa,
para así tener mejor
seguridad y que
información importante no
se pierda ni sea robada
6 45,46 Creación y gestión de
formularios de autorización
de servicios, buscar
acompañamiento de
entidades para la mejora de
la seguridad como la
policía, contratar empresas
de seguridad especializadas
de seguridad virtual y física.
Realizar auditorias
7 64 Organizar información
según las necesidades de la
empresa, como la calidad y
organización.
8 63,3 Desarrollar una política de
terminación de contrato
para empleados teniendo en
cuenta lo activo y eficiente
del empleado según lo
organizado.
9 60 Desarrollo de una política
para el manejo de los
equipos que valla desde la
compra del equipo, hasta el
final de la vida útil del
equipo. Manejo de
seguridad de la información
de la empresa
10 52,2 Organización física de
instalaciones, mejora de
seguridad de los archivos
internos y los canales para
el manejo. Nuevas políticas
de seguridad para el
comercio y transacciones
bancarias. Adquirís nueva
información y
protegiéndola
11 59,2 Modificar los contenidos de
los equipos de la empresa,
para que así solo sirvan para
uso empresarial. Proteger
información importante,
como contraseñas, cuentas
bancarias, etc.
Definir página y manejos de
venta de productos
12 59,39 Implementar la criptografía
con información de la
empresa y de los clientes
13 60 Llevar a cabo todo lo
aprendido
14 68 Aplicar las prácticas de
continuidad para la mejora
de la empresa
15 63 Ampliar políticas de
legislación internacional,
normas de seguridad y
datos de la empresa
Utilizar medios para
mejorar la información de
la seguridad como: cifrados
y criptografía
Realizar más a menudo
auditorias del estado de la
empresa
Bibliografía:
 Guía de aprendizaje
 https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi
 https://www.isotools.org/2019/06/11/iso-27002-la-importancia-de-las-buenas-
practicas-en-los-sistemas-de-seguridad-de-la-informacion/
 https://colombiadecomprastv.mercadoshops.com.co/