ACTIVIDAD AA5

APLICACIÓN DE LA NORMA ISO 27002

JEFFERSON GIRALDO MUÑOZ

SERVICIO NACIONAL DE APRENDIZAJE - SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE DISEÑO E INNOVACIÓN TECNOLÓGICA INDUSTRIAL
REGIONAL RISARALDA
DOSQUEBRADAS
2018
 ÍNDICE

INTRODUCCIÓN ......................................................................................................................................... 4
1. OBJETIVOS ........................................................................................................................................... 4
2. ALCANCE Y RESULTADOS ............................................................................................................... 5
3. OPORTUNIDADES Y PLAN DE MEJORA ....................................................................................... 7
4. RESULTADOS ....................................................................................................................................... 8
5. WEBGRAFIA ....................................................................................................................................... 12

i
INTRODUCCIÓN
La norma ISO 27002 hace parte del conjunto de normas de la serie ISO/IEC 27000, en ella se
reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de
seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39
objetivos de control y 133 controles.
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO 27002:
5. Política de seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la
seguridad de la información en relación a los requisitos del negocio y regulaciones relevantes.

6. Estructura organizativa para la seguridad: Organización interna: estos controles gestionan

la seguridad de la información dentro de la Organización. El órgano de dirección debe aprobar la
política de seguridad de la información, asignando los roles de seguridad y coordinando la
implantación de la seguridad en toda la Organización. Terceras partes: estos controles velan por
mantener la seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización.

7. Clasificación y control de activos: Responsabilidad sobre los activos: estos controles pretenden
alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
control de la información: la información se encuentra clasificada para indicar las necesidades,
prioridades y nivel de protección previsto para su tratamiento.

8. Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios.

9. Seguridad física y del entorno: Áreas seguras: Los servicios de procesamiento de información
sensible deben estar ubicados en áreas seguras y protegidas en un perímetro de seguridad definido
por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.
2
10. Gestión de las comunicaciones y operaciones: Procura asegurar, implementar y mantener un
nivel apropiado de seguridad de la información, además de la operación correcta y segura de los
recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y
asegurando la protección de la información en las redes y la protección de su infraestructura de
apoyo.

11. Control de accesos: Controla los accesos a la información y los recursos de tratamiento de la
información en base a las necesidades de seguridad de la organización y las políticas para el control
de los accesos.

12. Desarrollo y mantenimiento de sistemas: Se diseñan y desarrollan controles adicionales para

los sistemas que procesan o tienen algún efecto en activos de información de carácter sensible,
valioso o crítico. Dichos controles se determinan en función de los requisitos de seguridad y la
estimación del riesgo.

13. Gestión de incidentes de seguridad de la información: Se establecen informes de los eventos

y de los procedimientos realizados, todos los empleados, contratistas y terceros deben estar al tanto
de los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan
tener impacto en la seguridad de los activos de la organización.

14. Gestión de la continuidad del negocio: La seguridad de información debe ser una parte
integral del plan general de continuidad del negocio (PCN) y de los demás procesos de gestión
dentro de la organización. El plan de gestión de la continuidad debe incluir el proceso de
evaluación y asegurar la reanudación a tiempo de las operaciones esenciales.

15. Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto,
regulación u obligación contractual y de cualquier requisito de seguridad dentro y fuera de la
organización. Los requisitos legales específicos deberían ser advertidos por los asesores legales de
la organización o por profesionales del área. Además se deberían realizar revisiones regulares de la
seguridad de los sistemas de información.

3
 OBJETIVOS

OBJETIVO GENERAL

Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma
ISO 27002 en la organización CELNET SAS.

OBJETIVOS ESPECÍFICOS

 De conformidad al sistema de Gestión de seguridad de la información regida bajo la norma

ISO 27002, revisar la situación actual de la organización CELNET SAS identificando las
condiciones de seguridad de la información.

 Proponer el plan de mejora, según hallazgos encontrados y de conformidad al sistema de

Gestión de seguridad de la información regido bajo la norma ISO 27002.

4
ALCANCE

La auditoría tiene como alcance el sistema de gestión de seguridad de la información relacionada

con la empresa IEB, donde se analizaron todos los requisitos bajo la norma ISO 27002, expuestos
en el anexo de este documento.

RESULTADOS

ASPECTOS CONFORMES

 Se logró identificar que la organización CELNET SAS cuenta con una política de seguridad
bien estructurada, contando con todos los soportes al momento de la revisión.
 La estructura organizacional para la seguridad de la información se encuentra bien descrita
y organizada en su mapa de procesos.
 La organización CELNET SAS cuenta con el inventario de activos perfectamente descrito y
organizado.
 Los controles de seguridad se encuentran bien soportados, utilizando los mismos en las
redes de sus servicios.
 Se lograron identificar controles de accesos sólidos, empleando políticas de control de
accesos, registrando usuarios y administrando sus privilegios y contraseñas.
 Se registra documentación como reportes y procedimientos de los incidentes relacionados
con la seguridad de la información; recolectando evidencias y lecciones aprendidas en el
repositorio y en un aplicativo de gestión documental de la organización.

5
ASPECTOS NO CONFORMES

 Se evidencia que la organización CELNET SAS no cuenta con un comité en relación con la
dirección sobre la seguridad de la información.
 No se logra evidenciar los soportes por el acceso de terceras personas.
 La organización CELNET SAS hasta el momento no tiene clara la política de Backus de la
información.

6
OPORTUNIDADES

ASPECTO
Estructura organizacional para la seguridad
 Organización Interna.
o Comité de la dirección sobre
seguridad de la información.
Estructura organizacional para la seguridad
 Terceras Partes.
o Identificación de riesgos por el acceso
de terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad.
o Información de copias de seguridad.
OBSERVACIÓN
Es necesario que se conformen o se definan el comité de
la dirección sobre seguridad de la información, esto
permitirá una estructura organizativa más sólida para la
organización.
Es necesario analizar los riesgos por parte de acceso de
terceras partes, esto para garantizar la solidez del
esquema de seguridad de la información con una
estructura organizativa mejor formada.
Se debe documentar y soportar los Backus o copias de
seguridad, con el fin de obtener mejores prestaciones en
la persistencia de los datos y obteniendo a su vez mejor
gestión de comunicaciones y operaciones.

PLAN DE MEJORA SUGERIDO

MES AÑO
FASE ACTIVIDADES
6 7 8 9 10
Estructura organizacional para la seguridad
 Organización Interna. 2018
o Comité de la dirección sobre seguridad de la
información.
Análisis de la Estructura organizacional para la seguridad
información  Terceras Partes. 2018
ISO 27002 o Identificación de riesgos por el acceso de
terceras partes.
Gestión de comunicaciones y operaciones
 Copias de seguridad. 2018
o Información de copias de seguridad.
RESULTADOS

% de cumplimiento de la norma
Objetivos de
Dominios Controles
Control Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

1 2 Política de Seguridad 1,5 100 100

2 Política de Seguridad de la Información 100 100
5
1 1 Debe Documento de la política de seguridad de la información 50 100
2 Debe Revisión de la política de seguridad de la información 50 100

2 11 Estructura organizativa para la seguridad 8,27 80,91 100

8 Organización Interna 72,73 61,82
1 Debe Comité de la dirección sobre seguridad de la información 9,09 30
2 Debe Coordinación de la seguridad de la información 9,09 90
3 Debe Asignación de responsabilidades para la de seguridad de la información 9,09 100
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información 9,09 100
5 Debe Acuerdos de confidencialidad 9,09 100
6
6 Puede Contacto con autoridades 9,09 80
7 Puede Contacto con grupos de interés 9,09 100
8 Puede Revisión independiente de la seguridad de la información 9,09 80
3 Terceras partes 27,27 19,09
1 Debe Identificación de riesgos por el acceso de terceras partes 9,09 50
2
2 Debe Temas de seguridad a tratar con clientes 9,09 80
3 Debe Temas de seguridad en acuerdos con terceras partes 9,09 80
Objetivos de
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
Control
2 5 Clasificación y control de activos 3,76 100 100
3 Responsabilidad sobre los activos 60 60
1 Debe Inventario de activos 20 100
1
2 Debe Propietario de activos 20 100
7
3 Debe Uso aceptable de los activos 20 100
2 Clasificación de la información 40 40
2 1 Debe Guías de clasificación 20 100
2 Debe Etiquetado y manejo de la información 20 100

3 9 Seguridad en el personal 6,77 91,1 100

3 Antes del empleo 33,33 31,11
1 Debe Roles y responsabilidades 11,11 100
1
2 Debe Verificación 11,11 100
3 Debe Términos y condiciones de empleo 11,11 80
 3 Durante el empleo 33,33 28,89
8 1 Debe Responsabilidades de la gerencia 11,11 80
2
2 Debe Educación y formación en seguridad de la información 11,11 100
3 Debe Procesos disciplinarios 11,11 80
3 Terminación o cambio del empleo 33,33 31,11
1 Debe Responsabilidades en la terminación 11,11 80
3
2 Debe Devolución de activos 11,11 100
3 Debe Eliminación de privilegios de acceso 11,11 100
Objetivos
Dominios Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
de Control
2 13 Seguridad fisica y del entorno 9,77 100 100
6 Áreas Seguras 46,15 46,15
1 Debe Perímetro de seguridad física 7,69 100
2 Debe Controles de acceso físico 7,69 100
1 3 Debe Seguridad de oficinas, recintos e instalaciones 7,69 100
4 Debe Protección contra amenazas externas y ambientales 7,69 100
5 Debe Trabajo de áreas seguras 7,69 100

9 6 Puede Áreas de carga, entrega y áreas públicas 7,69 100

7 Seguridad de los Equipos 53,85 53,85
1 Debe Ubicación y protección del equipo 7,69 100
2 Debe Herramientas de soporte 7,69 100
3 Debe Seguridad del cableado 7,69 100
2
4 Debe Mantenimiento de equipos 7,69 100
5 Debe Seguridad del equipamiento fuera de las instalaciones 7,69 100
6 Debe Seguridad en la reutilización o eliminación de equipos 7,69 100
7 Debe Movimientos de equipos 7,69 100
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

10 32 Gestión de comunicaciones y operaciones 24,06 96 100

4 Procedimientos operacionales y responsabilidades 12,5 11,25
1 Debe Procedimientos de operación documentados 3,125 100
1 2 Debe Control de cambios 3,125 100
3 Debe Separación de funciones 3,125 80
4 Debe Separación de las instalaciones de desarrollo y producción 3,125 80
3 Administración de servicios de terceras partes 9,38 8,13
1 Puede Entrega de servicios 3,12 100
2
2 Puede Monitoreo y revisión de servicios de terceros 3,12 80
3 Puede Manejo de cambios a servicios de terceros 3,12 80
2 Planificación y aceptación del sistema 6,25 6,25
3 1 Debe Planificación de la capacidad 3,125 100
2 Debe Aceptación del sistema 3,125 100
2 Protección contra software malicioso y móvil 6,25 4,69
4 1 Debe Controles contra software malicioso 3,125 50
2 Debe Controles contra código móvil 3,125 100
1 Copias de seguridad 3,13 3,13

5 1 Debe Información de copias de seguridad 3,13 100

2 Administración de la seguridad en redes 6,25 6,25
6 1 Debe Controles de redes 3,125 100

10 2 Debe Seguridad de los servicios de red 3,125 100

4 Manejo de medios de soporte 12,5 12,5
1 Debe Administración de los medios de computación removibles 3,125 100
7 2 Debe Eliminación de medios 3,125 100
3 Debe Procedimientos para el manejo de la información 3,125 100
4 Debe Seguridad de la documentación del sistema 3,125 100
5 Intercambio de información 15,63 15,63
1 Debe Políticas y procedimientos para el intercambio de información 3,126 100
2 Puede Acuerdos de intercambio 3,126 100
8
3 Puede Medios físicos en transito 3,126 100
4 Puede Mensajes electrónicos 3,126 100
 5 Puede Sistemas de información del negocio 3,126 100
3 Servicios de comercio electronico 9,38 9,38
1 Puede Comercio electronico 3,126 100
9
2 Puede Transacciones en línea 3,126 100
3 Puede Información públicamente disponible 3,126 100
6 Monitoreo y supervisión 18,75 18,75
1 Debe Logs de auditoria 3,126 100
2 Debe Monitoreo de uso de sistema 3,126 100
10 3 Debe Protección de los logs 3,126 100
4 Debe Registro de actividades de administrador y operador del sistema 3,126 100
5 Debe Fallas de login 3,126 100
6 Puede Sincronización del reloj 3,126 100
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

7 25 Control de accesos 18,8 96 100

1 1 Requisitos de negocio para el control de acceso 4 4
1 Debe Política de control de accesos 4 100
4 Administración de acceso de usuarios 16 16
1 Debe Registro de usuarios 4 100
2 2 Debe Administración de privilegios 4 100
3 Debe Administración de contraseñas 4 100
4 Debe Revisión de los derechos de acceso de usuario 4 100
3 Responsabilidades de los usuarios 12 10
1 Debe Uso de contraseñas 4 50
3
2 Puede Equipos de cómputo de usuario desatendidos 4 100
3 Puede Política de escritorios y pantallas limpias 4 100
7 Control de acceso a redes 28 28
1 Debe Política de uso de los servicios de red 4 100
2 Puede Autenticación de usuarios para conexiones externas 4 100
3 Puede Identificación de equipos en la red 4 100
11 4
4 Debe Administración remota y protección de puertos 4 100
5 Puede Segmentación de redes 4 100
6 Debe Control de conexión a las redes 4 100
7 Debe Control de enrutamiento en la red 4 100
6 Control de acceso al sistema operativo 24 24
1 Debe Procedimientos seguros de Log-on en el sistema 4 100
2 Debe Identificación y autenticación de los usuarios 4 100
5 3 Debe Sistema de administración de contraseñas 4 100
4 Puede Uso de utilidades de sistema 4 100
5 Debe Inactividad de la sesión 4 100
6 Puede Limitación del tiempo de conexión 4 100
2 Control de acceso a las aplicaciones y la información 8 8
6 1 Puede Restricción del acceso a la información 4 100
2 Puede Aislamiento de sistemas sensibles 4 100
2 Ordenadores portátiles y teletrabajo 8 6
7 1 Puede Ordenadores portátiles y comunicaciones moviles 4 100
2 Puede Teletrabajo 4 50
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala
1
6 16 Desarrollo y mantenimiento de sistemas 12,03 100 100
1 Requerimientos de seguridad de sistemas de información 6,25 6,25
1 Debe Análisis y especificaciones de los requerimientos de seguridad 6,25 100
4 Procesamiento adecuado en aplicaciones 25 25
1 Debe Validación de los datos de entrada 6,25 100
2 2 Puede Controles de procesamiento interno 6,25 100
3 Puede Integridad de mensajes 6,25 100
4 Puede Validación de los datos de salida 6,25 100
2 Controles criptográficos 12,5 12,5
3 1 Puede Política de utilización de controles criptográficos 6,25 100
 2 Puede Administración de llaves 6,25 100
12 3 Seguridad de los archivos del sistema 18,75 18,75
1 Debe Control del software operacional 6,25 100
4
2 Puede Protección de los datos de prueba del sistema 6,25 100
3 Debe Control de acceso al código fuente de las aplicaciones 6,25 100
5 Seguridad en los procesos de desarrollo y soporte 31,25 31,25
1 Debe Procedimientos de control de cambios 6,25 100
2 Debe Revisión técnica de los cambios en el sistema operativo 6,25 100
5
3 Puede Restricciones en los cambio a los paquetes de software 6,25 100
4 Debe Fugas de información 6,25 100
5 Debe Desarrollo externo de software 6,25 100
1 Gestión de vulnerabilidades técnicas 6,25 6,25
1 Debe Control de vulnerabilidades técnicas 100 100
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

2 5 Gestión de incidentes de la seguridad de la información 3,76 100 100

2 Notificando eventos de seguridad de la información y debilidades 40 40
1 1 Debe Reportando eventos de seguridad de la información 20 100
2 Puede Reportando debilidades de seguridad 20 100
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información 60 60
1 Debe Procedimientos y responsabilidades 20 100
2
2 Puede Lecciones aprendidas 20 100
3 Debe Recolección de evidencia 20 100

1 5 Gestión de la continuidad del negocio 3,76 100 100

5 Aspectos de seguridad de la información en la gestión de continuidad del negocio 100 100

Inclusión de seguridad de la información en el proceso de gestión de la continuidad del

1 Debe negocio 20 100
14 2 Debe 20 100
1 Continuidad del negocio y análisis del riesgo
Desarrollo e implementación de planes de continuidad incluyendo seguridad de la
3 Debe información 20 100
4 Debe Marco para la planeación de la continuidad del negocio 20 100
5 Debe Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio 20 100
Objetivos
Dominios
de Control
Controles Orientación Descripción PD NC. D PO NC. O PC NC. C Escala

3 10 Cumplimiento 7,52 91,11 100

6 Cumplimiento con los requisitos legales 60 60
1 Debe Identificación de la legislación aplicable 10 100
2 Debe Derechos de propiedad intelectual (dpi) 10 100
1 3 Debe Protección de los registros de la organización 10 100
4 Debe Protección de datos y privacidad de la información personal 10 100
5 Debe Prevención del uso inadecuado de los recursos de procesamiento de información 10 100
15
6 Debe Regulación de controles para el uso de criptografía 10 100
2 Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico 20 20
2 1 Debe Cumplimiento con las políticas y procedimientos 10 100
2 Debe Verificación de la cumplimiento técnico 10 100
2 Consideraciones de la auditoria de sistemas de información 20 20
3 1 Debe Controles de auditoria a los sistemas de información 10 100
2 Debe Protección de las herramientas de auditoria de sistemas 10 100

Dominios 11

Objetivos de control 39
Controles 133

4
WEBGRAFIA

 Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA

ISO 27002. http://www.senasofiaplus.edu.co.

 Trabajo de aplicación de la norma – ISO 27002 por Harold Castaño Giraldo

(2016).https://es.scribd.com/document/340110333/AA1-E5-Aplicacion-de-La-Norma-ISO-27002

 Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de Gestión de Seguridad
de la Información ISO/IEC 27001:2013. Recuperado de http://es.presidencia.gov.co.