Professional Documents
Culture Documents
INTRODUCCIÓN ......................................................................................................................................... 4
1. OBJETIVOS ........................................................................................................................................... 4
2. ALCANCE Y RESULTADOS ............................................................................................................... 5
3. OPORTUNIDADES Y PLAN DE MEJORA ....................................................................................... 7
4. RESULTADOS ....................................................................................................................................... 8
5. WEBGRAFIA ....................................................................................................................................... 12
i
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas de la serie ISO/IEC 27000, en ella se
reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de
seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39
objetivos de control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
5. Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la
seguridad de la información en relación a los requisitos del negocio y regulaciones relevantes.
7. Clasificación y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
control de la información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.
8. Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.
9. Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de información
sensible deben estar ubicados en áreas seguras y protegidas en un perímetro de seguridad definido
por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.
2
10. Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un
nivel apropiado de seguridad de la información, además de la operación correcta y segura de los
recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y
asegurando la protección de la información en las redes y la protección de su infraestructura de
apoyo.
11. Control de accesos: Controla los accesos a la información y los recursos de tratamiento de la
información en base a las necesidades de seguridad de la organización y las políticas para el control
de los accesos.
14. Gestión de la continuidad del negocio: La seguridad de información debe ser una parte
integral del plan general de continuidad del negocio (PCN) y de los demás procesos de gestión
dentro de la organización. El plan de gestión de la continuidad debe incluir el proceso de
evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.
15. Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,
regulación u obligación contractual y de cualquier requisito de seguridad dentro y fuera de la
organización. Los requisitos legales específicos deberían ser advertidos por los asesores legales de
la organización o por profesionales del área. Además se deberían realizar revisiones regulares de la
seguridad de los sistemas de información.
3
OBJETIVOS
OBJETIVO GENERAL
Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma
ISO 27002 en la organización CELNET SAS.
OBJETIVOS ESPECÍFICOS
4
ALCANCE
RESULTADOS
ASPECTOS CONFORMES
Se logró identificar que la organización CELNET SAS cuenta con una política de seguridad
bien estructurada, contando con todos los soportes al momento de la revisión.
La estructura organizacional para la seguridad de la información se encuentra bien descrita
y organizada en su mapa de procesos.
La organización CELNET SAS cuenta con el inventario de activos perfectamente descrito y
organizado.
Los controles de seguridad se encuentran bien soportados, utilizando los mismos en las
redes de sus servicios.
Se lograron identificar controles de accesos sólidos, empleando políticas de control de
accesos, registrando usuarios y administrando sus privilegios y contraseñas.
Se registra documentación como reportes y procedimientos de los incidentes relacionados
con la seguridad de la información; recolectando evidencias y lecciones aprendidas en el
repositorio y en un aplicativo de gestión documental de la organización.
5
ASPECTOS NO CONFORMES
Se evidencia que la organización CELNET SAS no cuenta con un comité en relación con la
dirección sobre la seguridad de la información.
No se logra evidenciar los soportes por el acceso de terceras personas.
La organización CELNET SAS hasta el momento no tiene clara la política de Backus de la
información.
6
OPORTUNIDADES
ASPECTO OBSERVACIÓN
Estructura organizacional para la seguridad
Organización Interna. Es necesario que se conformen o se definan el comité de
o Comité de la dirección sobre la dirección sobre seguridad de la información, esto
seguridad de la información. permitirá una estructura organizativa más sólida para la
organización.
Estructura organizacional para la seguridad
Terceras Partes. Es necesario analizar los riesgos por parte de acceso de
o Identificación de riesgos por el acceso terceras partes, esto para garantizar la solidez del
de terceras partes. esquema de seguridad de la información con una
estructura organizativa mejor formada.
Gestión de comunicaciones y operaciones
Copias de seguridad. Se debe documentar y soportar los Backus o copias de
o Información de copias de seguridad. seguridad, con el fin de obtener mejores prestaciones en
la persistencia de los datos y obteniendo a su vez mejor
gestión de comunicaciones y operaciones.
MES AÑO
FASE ACTIVIDADES
6 7 8 9 10
Estructura organizacional para la seguridad
Organización Interna. 2018
o Comité de la dirección sobre seguridad de la
información.
Análisis de la Estructura organizacional para la seguridad
información Terceras Partes. 2018
ISO 27002 o Identificación de riesgos por el acceso de
terceras partes.
Gestión de comunicaciones y operaciones
Copias de seguridad. 2018
o Información de copias de seguridad.
RESULTADOS
% de cumplimiento de la norma
Objetivos de
Dominios Controles
Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Dominios 11
Objetivos de control 39
Controles 133
4
WEBGRAFIA
Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de Gestión de Seguridad
de la Información ISO/IEC 27001:2013. Recuperado de http://es.presidencia.gov.co.