REPUBLICA DE COLOMBIA

SERVICIO NACIONAL DE APRENDIZAJE - SENA

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

CENTRO DE SERVICIOS FINANCIEROS

AA1-E5-Aplicación de la norma ISO 27002

Presentado a:

Señor Tutor Javier Mauricio Álvarez Vargas

Por alumno:

Martin Cartagena Polo

Curso número: (1881778)

Celular / Wattsupp: 304-404-18-52

Skype: mcartagenapolo
Correo: martincartagenapolo@yahoo.com
www.youtube.com/guapucheros
www.facebook.com/lavozdelosguapucheros
 SERVICIO NACIONAL DE APRENDIZAJE
GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
AA1-E5-Aplicación de la norma ISO 27002

Que es la norma ISO 27002

La norma ISO 27002 se encuentra organizado en base a los 14 dominios, 35 objetivos

de control y 114 controles.

En 1995, las organizaciones internacionales ISO (The International Organization for

Standardization) e IEC (International Electrotechnical Commission) dieron origen a un
grupo de normas que consolidan las directrices relacionadas al alcance de la Seguridad
de la Información, siendo representada por la serie 27000. En este grupo se encuentra
la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma
internacional que establece el código de mejores prácticas para apoyar la implantación
del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.

A través del suministro de una guía completa de implementación, esa norma describe
cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser elegidos
en base a una evaluación de riesgos de los activos más importantes de la empresa. Al
contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para apoyar
la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño
o gran porte, con o sin fines de lucro; y no sólo en las empresas de tecnología.

¿Cuáles son sus objetivos?

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para
iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en
una organización. Esto también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.
¿Cuáles son los principales dominios que componen la ISO 27002?

Sección 5– Política de Seguridad de la Información

Se debe crear un documento sobre la política de seguridad de la información de la
empresa, que debe contener los conceptos de seguridad de la información, una estructura
para establecer los objetivos y las formas de control, el compromiso de la dirección con
la política, entre tantos otros factores.

Sección 6 – Organización de la Seguridad de la Información

La seguridad de la información debe ser coordinada por representantes de la organización,
con responsabilidades definidas y proteger las informaciones de carácter confidencial.

Sección 7 – Gestión de activos

Activo: cualquier cosa que tenga valor para la organización y que necesita ser protegido.
Los activos deben ser identificados y clasificados, un inventario pueda ser estructurado y
posteriormente mantenido. Deben seguir reglas según tipo de uso permitido.

Sección 8 – Seguridad en recursos humanos

Antes de la contratación de un empleado – o incluso de proveedores – es importante que
sea analizado, para mitigar el riesgo de robo, fraude o mal uso de los recursos. Y cuando
el empleado esté trabajando en la empresa, debe ser consciente de las amenazas de la
información, así como de sus responsabilidades y obligaciones.

Sección 9 – Seguridad física y del medio ambiente

Los equipos e instalaciones de procesamiento de información crítica o sensible deben
mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo
protección contra amenazas físicas y ambientales.

Sección 10 – Seguridad de las operaciones y comunicaciones

Es importante que estén definidos los procedimientos y responsabilidades por la gestión
y operación de todos los recursos de procesamiento de la información. La planificación
de recursos para minimizar el riesgo de fallas, la creación de procedimientos para la
generación de copias de seguridad y su recuperación, así como la administración segura
de las redes de comunicaciones.
Sección 11 – Control de acceso
El acceso a la información, así como a los recursos de procesamiento de la información
y los procesos de negocios, debe ser controlado con base en los requisitos de negocio y
en la seguridad de la información.

Sección 12 – Adquisición, desarrollo y mantenimiento de sistemas

Los requisitos de seguridad de los sistemas de información deben ser identificados y
acordados antes de su desarrollo y/o de su implementación, para protegerlos en
confidencialidad, autenticidad o integridad por medios criptográficos.

Sección 13 – Gestión de incidentes de seguridad de la información

Los procedimientos formales de registro y escalonamiento deben ser establecidos y los
empleados, proveedores y terceros deben ser conscientes de los procedimientos para
notificar los eventos de seguridad de la información.

Sección 14 – Gestión de continuidad del negocio

Los planes de continuidad del negocio deben ser desarrollados e implementados, con el
fin de impedir la interrupción de las actividades del negocio y asegurar que las
operaciones esenciales sean rápidamente recuperadas.

Sección 15 – Conformidad
Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos,
regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la
información.

Estándares de seguridad de la información

 ISO/IEC 27000-series
 ISO/IEC 27001
 ISO/IEC 27002

NO es posible obtener la certificación ISO 27002 ¿Qué significa una norma de

gestión?

La ISO 27001, define el sistema de gestión de seguridad de la información (SGSI).

Por lo tanto, la certificación en ISO 27001 sí es posible.

Este sistema de gestión significa que la seguridad de la información debe ser planificada,
implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus
responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se
deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO
27001, pero no en la ISO 27002
 SERVICIO NACIONAL DE APRENDIZAJE
GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
AA1-E5-Aplicación de la norma ISO 27002

Seguridad de la información:
Conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de datos y de la misma.

Seguridad informática:
Se encarga de la seguridad en el medio informático, pero la información puede
encontrarse en diferentes medios o formas, y no solo en medios informáticos.

En la seguridad de la información es importante señalar que su manejo está basado en la

tecnología y debemos saber que puede ser confidencial: la información está centralizada
y puede tener un alto valor.

Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su
disponibilidad y la pone en riesgo.

La información es poder, y según las posibilidades estratégicas que ofrece tener acceso
a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Con la misma velocidad que existen avances tecnológicos, en igual o mayor grado, se
desarrollan los actores que amenazan la seguridad, entre los principales tenemos:

Hacker:
Persona que conoce de programación y sistemas complejos; es un investigador nato que
se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "información segura".

Cracker:
Hábil conocedor de programación de Software y Hardware; diseña y fabrica programas
de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo
electrónico o el control de otros computadores remotos.

Copyhacker:
Persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas
inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para
copiarles los métodos de ruptura y después venderlos.

Phreak:
Se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil,
incluso más que los propios técnicos de las compañías telefónicas; recientemente con el
auge de los teléfonos móviles, han tenido que entrar también en el mundo de la
informática y del procesamiento de datos.

Newbie:
"novato de red" Sin proponérselo tropieza con una página de hacking y descubre que en
ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y
empieza a trabajar con ellos.
 SERVICIO NACIONAL DE APRENDIZAJE
GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
AA1-E5-Aplicación de la norma ISO 27002
Marcos de referencia y áreas de seguridad habituales.

ISO 27001
Norma que contiene las especificaciones de un sistema de gestión de la seguridad de la
información (ISMS). Esta reemplaza a la antigua BS7799-2 standard.
ISO 27002
Estándar numérico de la serie 27000. Originalmente conocida como ISO 17799
standard. Antiguamente fue conocido como BS7799-1.
ISO 27003
Estándar oficial de un nuevo estándar con la intención de ofrecer una guía para la
implementación de un ISMS.
ISO 27004
Estándar que cubre las especificaciones y métricas de un ISMS. Incluye como
sugerencia los controles de la ISO 27002.
ISO 27005
Metodología independiente de ISO para la administración de riesgo de la seguridad de
la información.
ISO 27006
Estándar que provee guías para la acreditación de las organizaciones que ofrecen
certificaciones ISMS.
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo Escala visual de la valoración del control
NC.O Nivel de cumplimineto del dominio
PC Peso del control Alto Mas del 70% de cumplimiento
NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30%

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la
norma; tenga en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también
se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los controles.
 DILIGENCIAMIENTO DE LA PLANTILLA ISO 27002 E INTERPRETACION
DE LOS DOMINIOS

ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES

ISO 27002 Hallazgos u

Descripción Status Recomendaciones
Controles Observaciones

5. POLITICAS DE SEGURIDAD.

Directrices de la Dirección en
5.1 seguridad de la información.
No se encuentran Crear manual
Conjunto de políticas para la seguridad políticas de seguridad manejo de
5.1.1 MD
de la información. garanticen manejo información con
información. responsables.
No existen soportes ni Asignar responsable
Revisión de las políticas para la
5.1.2 D procedimientos de las procedimientos
seguridad de la información.
políticas de seguridad. trazabilidad en tema
ISO 27002 Hallazgos u
Descripción Status Recomendaciones
Controles Observaciones

ASPECTOS ORGANIZATIVOS DE LA
6. SEGURIDAD DE LA INFORMACION.
6.1 Organización interna.
No se encuentran
soportes ni se cuenta
con responsables para Crear manual
Asignación de responsabilidades para
6.1.1 MD cada procedimiento responsabilidades de
la seguridad de la información.
acuerdo a rangos

No se cuenta con Identificar el tipo de

procedimiento manejo información a la cual
6.1.2 Segregación de tareas. D
según rango en la acceder teniendo en
empresa. cuenta el cargo.
Actualizar responsable Asignar directivo a
6.1.3 Contacto con las autoridades. D
mantener contacto cargo.
Crear soportes de Asignar responsable
Contacto con grupos de interés participación foros e organizar las
6.1.4 D
especial. interacción posibles gestiones
aliados estratégicos. pertinentes.
Ningún proyecto con
Crear la
procedimientos
Seguridad de la información en la responsabilidad y sus
6.1.5 MD relacionados a
gestión de proyectos. dolientes en el staff
proteger la
directivo.
información
 Dispositivos para movilidad y
6.2
teletrabajo.
Gerencia de
No se tienen
Seguridad genera
procedimientos ni
Política de uso de dispositivos para políticas manejo de
6.2.1 MD protocolos para el
movilidad. Información con
manejo de los equipos
herramientas
corporativos.
tecnológicas.
No se tiene protocolos
Crear
autorización quienes
procedimientos
6.2.2 Teletrabajo. D sacan equipos e
trazabilidad equipos
información
y la información.
empresarial.
SEGURIDAD LIGADA A LOS RECURSOS
7. HUMANOS.
7.1 Antes de la contratación.
Generar políticas
No se tienen carpetas manejo
7.1.1 Investigación de antecedentes. D con el historial de cada antecedentes,
persona en la empresa antes/durante en la
empresa.
No se tienen Se debe organizar
Términos y condiciones de organizadas carpetas dependencia a cargo
7.1.2 D
contratación. según contrato de del persona en la
empleados empresa.
7.2 Durante la contratación.
Los mandos medios no Programar
conocen sus funciones capacitación para
7.2.1 Responsabilidades de gestión. MD y alcances de la todo el personal,
información, según sobre manejo de
cargos. información.
No se ha dictado La doctrina de
capacitación en seguridad en la
Concienciación, educación y
seguridad de la información es
7.2.2 capacitación en seguridad de la MD
información, hace tres fundamental
información
años de acuerdo a implementarla lo
soportes. más pronto posible.
No se cumplen las
Mientras llegan
normas elementales
demandas por
para tomar decisiones
personal sancionado,
disciplinarias.
es necesaria la
7.2.3 Proceso disciplinario. D
asesoría legal para
dejar claro, que
hacer en casos de
indisciplina
7.3 Cese o cambio de puesto de trabajo.

No se capacita al Programar
personal antes de entrenamiento en
7.3.1 Cese o cambio de puesto de trabajo. D
ocupar una nueva temas de personal y
posición. recursos humanos.

8. GESTIÓN DE ACTIVOS.

8.1 Responsabilidad sobre los activos.

Entre las personas

directivas se debe
No se lleva ningún tipo
8.1.1 Inventario de activos. D nombrar alguien con
de inventario.
funciones de
almacenista.
Una persona externa
La responsabilidad y
lleva los inventarios de
función de activos
8.1.2 Propiedad de los activos. D activos, pero no
debe recaer en el
soporta la gestión
staff empresarial
realizada.
La clasificación de El software
activos no es clara, no clasificación activos
8.1.3 Uso aceptable de los activos. MD
todas las personas debe ser
conocen. implementado.
No se ejecutan Formato sobre
protocolos de control devolución de
8.1.4 Devolución de activos. D
para devoluciones de activos a los
activos. empleados.

8.2 Clasificación de la información.

La alta gerencia omite
Evitar errores en
recomendaciones para
8.2.1 Directrices de clasificación. MD administración
el manejo de
activos.
información.

No se lleva por cada Etiquetar niveles de

Etiquetado y manipulado de la
8.2.2 D una de las áreas, según seguridad en las
información.
los soportes revisados. políticas.

Se evidencia que no se El staff directivo

llevan soportes debe orientar
8.2.3 Manipulación de activos. D establecidos en el políticas de control y
manual de manejo de cumplimiento en
activos. manejo de activos.
 Manejo de los soportes de
8.3 almacenamiento.
Contratar
Los cargos de alta
outsourcing que
gerencia tienen
garantice
equipos corporativos,
8.3.1 Gestión de soportes extraíbles. D cumplimiento de
que no cuentan con
protocolos
protocolos de
informáticos del
seguridad informática.
caso.
Permanentemente
se debe efectuar
copia de respaldo de
toda la información
NO se hace revisión a
considerada
8.3.2 Eliminación de soportes. D los equipos de trabajo
confidencial o
en este proceso.
sensible y que se
encuentre contenida
en los equipos de la
Entidad.
La correspondencia no Dictar capacitación
cuenta con protocolos sobre gestión
8.3.3 Soportes físicos en tránsito. D
de gestión y manejo de documental y de
información. archivos, urgente
9. CONTROL DE ACCESOS.
Requisitos de negocio para el control
9.1 de accesos.
No se cuenta manejo
El manual y su
9.1.1 Política de control de accesos. MD para filtros de acceso a
aplicación urgente.
cada dependencia.

Crear los protocolos

para los filtros de
No hay matriz de acceso a cada
Control de acceso a las redes y usuarios con su dependencia.
9.1.2 MD
servicios asociados. respectiva
documentación.

9.2 Gestión de acceso de usuario.

No se realiza Actualizar cambios al

Gestión de altas/bajas en el registro de procedimiento sistema de control
9.2.1 D
usuarios. usuarios ya no son de en los filtros de
la organización acceso.
 No se revisa, la base
Control de acceso a
Gestión de los derechos de acceso de datos de usuarios
9.2.2 D áreas restringidas, se
asignados a usuarios. con acceso autorizado
revisa sin soportes.
a ciertos sectores.
Los biométricos de
Gestión de los derechos de acceso con Actualizar uso y
9.2.3 MD control se bloquean
privilegios especiales. monitoreo de red.
seguido.
No hay acceso a
Gestión de información confidencial Inversiones software
9.2.4 MD desarrollos, pero fácil
de autenticación de usuarios. de informática.
vulnerar corporativos.
NO tiene soportes Seguimiento en
Revisión de los derechos de acceso de
9.2.5 D usuarios, logos y computadores
los usuarios.
herramientas. corporativos.

Todos los usuarios

de la entidad deben
disponer de medio
de identificación y el
acceso a través de
Este control No se autenticación.
Retirado adaptación de los derechos
9.2.6 D realiza en la
de acceso
actualidad.

9.3 Responsabilidades del usuario.

La identidad de cada
Algunas aplicaciones,
usuario debe ser
Uso de información confidencial para están siendo usadas
9.3.1 MD autenticada y no
la autenticación. por personal no
puede ser
autorizado.
compartida.
Control de acceso a sistemas y
9.4 aplicaciones.
El acceso usuarios
Algunos reemplazos no
Restricción del acceso a la autorizados, deben
9.4.1 MD son actualizados los
información. actualizarse
accesos.
continuamente.
La compañía No Uso y protección de
Procedimientos seguros de inicio de brinda cursos e- claves o contraseñas
9.4.2 D
sesión. learning en seguridad actualizadas a cargo
de la información. de sistemas.
 Ejemplo:
La política No ha sido
• Tener mínimo diez
actualizada con
caracteres
9.4.3 Gestión de contraseñas de usuario. D lineamientos en la
alfanuméricos.
definición de
• Cambiarse
contraseñas.
continuamente.
El monitoreo de la
Este control No se actividad usuarios,
Uso de herramientas de encuentra administradores,
9.4.4 D
administración de sistemas. implementado en el sobre dichas
área de IT. plataformas y
servicios.
Este control No se
encuentra Administrador de
implementado en el aplicativos y sus
Control de acceso al código fuente de área de IT y No está códigos fuente,
9.4.5 D
los programas. funcionando acorde a protegidos a través
la normatividad de control de acceso
solicitada por la lógico.
compañía.
10. CIFRADO.
10.1 Controles criptográficos.
No está funcionando La información
Política de uso de los controles acorde a clasificada debe
10.1.1 D
criptográficos. requerimientos almacenarse según
tecnológicos. protocolos.
Las claves requieren
NO esta implementado
protección contra su
10.1.2 Gestión de claves. D en todas las áreas de la
distribución no
empresa.
autorizada.
11. SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
Las áreas No cuentan La seguridad física
11.1.1 Perímetro de seguridad física. D con espacio para su debe ser ajustada
desarrollo. por seguridad.
Acorde con la
información que se
Las áreas NO cuentan
procesa y
11.1.2 Controles físicos de entrada. D con acceso a cada uno
administra, se deben
de sus funcionarios.
generar los controles
de acceso.
No se tiene filtro de Los ingresos y
Seguridad de oficinas, despachos y acceso para egresos de personal
11.1.3 D
recursos. funcionarios en deben cumplir
algunas áreas. controles físicos.
 Control ambiental,
Exceso de confianza y
sistemas detección,
no cumplimiento de
extinción incendios,
normativas,
Protección contra las amenazas descarga eléctrica,
11.1.4 MD evidenciadas en la
externas y ambientales. vigilancia, monitoreo
forma de redactar y
y alarmas en caso
llenar los documentos
condiciones
soporte de gestión.
inapropiadas.
NO se están brindando Seguridad física y
condiciones de control de acceso
11.1.5 El trabajo en áreas seguras. D seguridad a los que aseguren el
equipos y trabajadores perímetro de sus
en algunas áreas. instalaciones.
NA (Not
No aplica No aplica
11.1.6 Áreas acceso, carga y descarga. Applicable)
11.2 Seguridad de los equipos.
Amenazas acceso no
autorizado y amenazas Es necesario reforzar
Emplazamiento y protección de ambientales, prevenir el tema a través de
11.2.1 MD
equipos. daño o pérdida de los mallas de
activos e interrupción capacitación.
de las actividades.
NO se cuenta con
sistemas emergencia y Redes de voz, datos,
11.2.2 Instalaciones de suministro. D soporte preventivo a cargo área
para evitar futuros mantenimiento.
daños.
En caso de emergencia Crear protocolo de
NO hay cableado de prevención para
11.2.3 Seguridad del cableado. D
transmisión internet, eventualidades con
eléctrico, ni telefonía. el cableado.
Los planes de
No se cuenta con
mantenimientos
planeamiento para
preventivos deben
11.2.4 Mantenimiento de los equipos. MD mantenimiento
ser programados y
preventivo de los
financiados
equipos.
respectivamente.
NO se lleva de manera El área responsable
Salida de activos fuera de las continua registros de incentivar
11.2.5 D
dependencias de la empresa. salidas y entradas para cumplimiento
diferentes equipos protocolo.

En algunos casos No se
utiliza trasportadoras Generar política
Seguridad de los equipos y activos
11.2.6 D privadas para evitar pólizas de variada
fuera de las instalaciones.
inconvenientes en los cobertura.
traslados.
 Crear mecanismos
en la plataforma
Recordar protocolos al
Reutilización o retirada segura de tecnológica, ya sea
11.2.7 MD personal para evitar
dispositivos de almacenamiento. cuando son dados de
inconvenientes.
baja o cambian de
usuario.
Para estaciones de
trabajo conectadas Los usuarios deben
acceso remoto, No se tener medios de
Equipo informático de usuario cuenta con controles almacenamiento
11.2.8 D
desatendido. de acceso para uso de cifrados, para
las aplicaciones dentro protección de la
y fuera de la información.
compañía.
Se debe ser más
Los funcionarios
estricto con el
deben asegurarse la
Política de puesto de trabajo cumplimiento de
protección de la
despejado y bloqueo de pantalla. protocolos básicos de
información en los
aseo y buen uso de los
equipos.
equipos.
11.2.9 D

12. SEGURIDAD EN LA OPERATIVA.

Responsabilidades y procedimientos
12.1 de operación.

Actualizar
documentación y los
El área de tecnología procedimientos
Documentación de procedimientos de en la actualidad NO relacionados con la
12.1.1 D
operación. tiene documentada operación y
toda la información. administración de la
plataforma
tecnológica.

En algunas reuniones Afinar

no se documenta o no procedimientos de
12.1.2 Gestión de cambios. MD
quedan soportes gestión de cambios
controles de cambio. por sistemas.
 Área de tecnología NO
Realizar estudios
se encuentra al día en
12.1.3 Gestión de capacidades. D sobre proyecciones
recursos humanos y de
de crecimiento
infraestructura.
NO se cuenta con
Sistemas generar
ambiente de
separación de
Separación de entornos de desarrollo, desarrollo, test y
12.1.4 D ambientes de
prueba y producción. producción de cada
desarrollo, pruebas y
uno de los aplicativos
producción
de la compañía.
12.2 Protección contra código malicioso.
Algunos usuarios NO Garantizar la
tienen en cuenta protección de la
recomendaciones, se información y los
12.2.1 Controles contra el código malicioso. MD presentan accesos que recursos de la
pueden llevar a un plataforma
incidente de tecnológica que
seguridad. procesa y almacena
12.3 Copias de seguridad.
Copias de respaldo
Las copias de
se deben realizar con
seguridad NO se
12.3.1 Copias de seguridad de la información. D estricto
realizan
cumplimiento todos
periódicamente.
los días.
12.4 Registro de actividad y supervisión.
El área de IT NO Se deben destinar
Registro y gestión de eventos de
12.4.1 D cuenta con pantallas recursos para los
actividad.
de monitoreo. ajustes pertinentes.
En la plataforma
No se está trabajando tecnológica deben
Protección de los registros de en capacitaciones y existir tutoriales para
12.4.2 MD
información. programándolas para proteger la
reducir riesgos. información de la
empresa.
Es importante reforzar Control Interno
Registros de actividad del temas de seguridad de revisar auditoria
12.4.3 MD
administrador y operador del sistema. la información en los administradores y
equipos de trabajo. operadores.
Los relojes de todos
Este control NO
los sistemas deben
12.4.4 Sincronización de relojes. D funciona
permanecer
correctamente.
sincronizados.

12.5 Control del software en explotación.

Sistemas designará
Este control NO está
Instalación del software en sistemas responsables y
12.5.1 D funcionando de forma
en producción. establecerá
correcta.
procedimientos
12.6 Gestión de la vulnerabilidad técnica.
No se está llevando La realización de
bitácora con las pruebas para
Gestión de las vulnerabilidades pruebas de identificar
12.6.1 D
técnicas. vulnerabilidad, pero si vulnerabilidades,
existen constancias de deben ser realizadas
ajustes de mejora. una vez al mes.
IT maneja los perfiles y
Sistemas y su control
Restricciones en la instalación de roles de cada usuario
12.6.2 MD en la ejecución de
software. para la instalación de
dicha política.
aplicaciones.
Consideraciones de las auditorías de
12.7 los sistemas de información.
Se realiza monitoreo Auditoría debe
Controles de auditoría de los sistemas de los eventos en el realizar monitoreo
12.7.1 D
de información. sistema, pero no de continuo para
forma permanente evaluar las políticas.
SEGURIDAD EN LAS
13. TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
Se realizan Sistemas, como área
esporádicamente, responsable deberá
13.1.1 Controles de red. D
pero se debe ser más implementar
constante. cronograma
No se tienen Son ajustes de
Mecanismos de seguridad asociados a
13.1.2 MD codificados algunos sistemas en la
servicios en red.
puntos de acceso. organización.
Sistemas debe
Tenemos varias redes
codificar los rangos
13.1.3 Segregación de redes. D codificadas, falta
de banda a redes de
terminar este ejercicio.
la empresa.
Intercambio de información con
13.2 partes externas.
NO todo el personal
Políticas y procedimientos de La aplicación
13.2.1 MD maneja el protocolo
intercambio de información. protocolos sistemas.
del caso.
No está definido Definir accesos por
13.2.2 Acuerdos de intercambio. D
protocolo. sistemas.
Se cumple protocolo Actualizar
13.2.3 Mensajería electrónica. D correo institucional documentos
persona a cargo soporte.

Acuerdos de confidencialidad y Falta actualizar actas Esta es una tarea de

13.2.4 MD
secreto. de confidencialidad. recursos humanos.
 ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
14. DE INFORMACIÓN.

Requisitos de seguridad de los

14.1 sistemas de información.
Identificados Recursos humanos
Análisis y especificación de los requerimientos, deben debe actualizar
14.1.1 MD
requisitos de seguridad. ser protocolizados manuales de
manuales. procedimientos.
No se permite uso de
Sistemas debe
Seguridad de las comunicaciones en redes públicas para
14.1.2 D generar instructivos
servicios accesibles por redes públicas. acceder a información
y restricciones.
empresarial.
El uso de las redes
Solo se permiten
Protección de las transacciones por para transacciones
14.1.3 D transacciones de
redes telemáticas. quedo definido y
cotizaciones.
difundido.
Seguridad en los procesos de
14.2 desarrollo y soporte.
Los únicos autorizados La metodología para
Política de desarrollo seguro de para tocar el software el manejo contable
14.2.1 D
software. contable, son los de será orientada por
sistemas. sistemas.
Procedimientos no Los cambios y
Procedimientos de control de cambios quedaron escritos, manejo del software,
14.2.2 D
en los sistemas. pero también se solo es ejecutado
ejecutan. por sistemas.
Revisión técnica de las aplicaciones Esporádicamente, por Sistemas esta crudo
14.2.3 tras efectuar cambios en el sistema MD lo cual se deben hacer en el seguimiento a
operativo. ajustes. procedimientos.
Algunas aplicaciones Se deben activar solo
Restricciones a los cambios en los
14.2.4 D son activadas sin por personal de
paquetes de software.
autorización. sistemas.

Los documentos del

Hubo cambio de
Uso de principios de ingeniería en área de ingeniería,
14.2.5 D responsable y no se ha
protección de sistemas. se actualizan con
actualizado.
nuevo director.

Hace falta crear

Sistemas, debe
protocolo de
14.2.6 Seguridad en entornos de desarrollo. D asumir este
cumplimiento para
requerimiento.
proveedores.
Desarrolladores
Desarrollo de internos o externos,
Externalización del desarrollo de
14.2.7 D aplicaciones realizado acceso limitado y
software.
por empresa ajena. controlado a los
datos y archivos.
 Sistemas de nuevo
A medida que se van
apersonarse de
Pruebas de funcionalidad durante el terminando NO se
14.2.8 MD protocolos en
desarrollo de los sistemas. realizan pruebas de
seguridad
test.
informática.
Faltan firmas en las
Director de sistemas,
actas de aceptación
es responsable de
14.2.9 Pruebas de aceptación. D con el fin de garantizar
fundamentar este
la entrega correcta del
protocolo.
desarrollo.
14.3 Datos de prueba.
La información Generar protocolo
Protección de los datos utilizados en utilizada en los de prueba, firmado y
14.3.1 MD
pruebas. ambientes de prueba con soportes según
es totalmente ficticia. temas desarrollados.
RELACIONES CON
15. SUMINISTRADORES.
Seguridad de la información en las
15.1 relaciones con suministradores.
Faltan estudios de Actualizar los
Política de seguridad de la información
15.1.1 MD seguridad para protocolos con
para suministradores.
proveedores proveedores.
Sistemas, Legal,
Hace falta actualizar
Tratamiento del riesgo dentro de Seguridad a cargo
15.1.2 MD listado de
acuerdos de suministradores. del protocolo
proveedores.
respectivo.
Proveedor elementos, Actualizar estudio
Cadena de suministro en tecnologías
15.1.3 D no tiene estudio de seguridad, ente a
de la información y comunicaciones.
seguridad. cargo.
Gestión de la prestación del servicio
15.2
por suministradores.
Este año, NO hemos Programar dos
Supervisión y revisión de los servicios
15.2.1 D revisado prestadoras revisiones para el
prestados por terceros.
de servicios. segundo semestre.
Algunas dependencias Comerciales y
Gestión de cambios en los servicios no han elaborado Almacén deben
15.2.2 D
prestados por terceros. calificación de quedar al día con
proveedores. este requerimiento.
GESTIÓN DE INCIDENTES EN LA
16. SEGURIDAD DE LA INFORMACIÓN.
Gestión de incidentes de seguridad de
16.1 la información y mejoras.

Responsables de Plazo no superior a

16.1.1 Responsabilidades y procedimientos. D
procedimientos. dos meses
 Notificación de los eventos de Algunos incidentes NO Incidentes se deben
16.1.2 MD
seguridad de la información. son reportados. reportar a RR.HH.
Hace falta incentivar Gestión del riesgo,
Notificación de puntos débiles de la
16.1.3 MD cultura del reporte generar campaña
seguridad.
novedades incentivar reporte.
Llevar a cabo eventos Analizar incidentes y
SARO, el impacto de activar el
Valoración de eventos de seguridad de
16.1.4 MD novedades contra la procedimiento de
la información y toma de decisiones.
seguridad de la contacto con las
información. autoridades.
La respuesta es
Identificar causas,
Respuesta a los incidentes de efectiva, pero
16.1.5 D proporcionando
seguridad. seguimiento NO es
soluciones.
continuo
Crear bases de
No todos son
Aprendizaje de los incidentes de datos, soluciones a
16.1.6 D informados en las
seguridad de la información. cargo de cada
diferentes áreas.
dependencia.
Evaluar incidentes
NO se recopilan
de seguridad, para
evidencias ni
16.1.7 Recopilación de evidencias. D lecciones aprendidas
trazabilidad de cada
uno de los casos.
ASPECTOS DE SEGURIDAD DE LA
INFORMACION EN LA GESTIÓN DE LA
17. CONTINUIDAD DEL NEGOCIO.
Continuidad de la seguridad de la
17.1 información.

Se debe contar con

Documentar
servidores de respaldo
Planificación de la continuidad de la procedimientos,
17.1.1 D que garanticen
seguridad de la información. información crítica
continuidad del
de la Entidad.
negocio.

Recursos a
No se lleva a cabo,
funcionarios y
Implantación de la continuidad de la mantenimiento
17.1.2 D procesos en caso
seguridad de la información. aplicaciones de forma
contingencia o
periódica.
eventos catastróficos
Repasar al personal, Asegurar pruebas del
Verificación, revisión y evaluación de como actuar en plan de recuperación
17.1.3 la continuidad de la seguridad de la MD situaciones afecten la ante desastres y/o
información. continuidad del continuidad de
negocio. negocio.
17.2 Redundancias.
La compañía NO Sistemas debe crear
Disponibilidad de instalaciones para el
17.2.1 D cuenta con sedes de plataforma
procesamiento de la información.
soporte informático. requerimientos
 18. CUMPLIMIENTO.
Cumplimiento de los requisitos
18.1 legales y contractuales.
Crear el marco jurídico Sistemas debe
Identificación de la legislación para soportar la mantener
18.1.1 D
aplicable. plataforma informática licenciamientos
según las leyes. aplicables.
Contratos NO tienen Recursos humanos y
Derechos de propiedad intelectual
18.1.2 D derechos de propiedad Jurídica, ajustar
(DPI).
y de autor. contratos.
Las capacitaciones con Jurídica, Recursos
Protección de los registros de la
18.1.3 D el tema, No se han humanos y
organización.
realizado este año. Seguridad coordinar
NO se ha dictado Jurídica y Seguridad,
Protección de datos y privacidad de la charla, Ley 1581 preparar
18.1.4 MD
información personal. procedimientos con procedimiento
directrices legales. ajustado a Ley 1581.
Existen controles Otra tarea para
Regulación de los controles Criptografía, pero no implementar, según
18.1.5 D
criptográficos. en todos los directrices legales y
procedimientos. jurídicas.
Revisiones de la seguridad de la
18.2
información.
Cada área es ISO 27001 y otras
Revisión independiente de la responsable cualquier fuentes como COBIT,
18.2.1 D
seguridad de la información. incidente de ITIL, BASILEA II,
seguridad. entre otros.
Guía seguridad de la Las políticas son de
información por cumplimiento
Cumplimiento de las políticas y
18.2.2 MD incumplir con las obligatorio para
normas de seguridad.
políticas y normas funcionarios,
establecidas. contratistas.

Auditorías a las áreas y Control Interno

de sus procesos; las revisa registros de
políticas de seguridad, auditoria en la
y adicional se plataforma
retroalimenta las tecnológica y los
18.2.3 Comprobación del cumplimiento. MD inconsistencias sistemas de
evidenciadas en información.
procesos. El personal Para identificar
no solo debe acatar las cumplimiento de las
políticas por las políticas y normas de
auditorias. seguridad.

Ñ´KÑ´KÑKÑ´LKÑLKÑLKPOÌPOIPOUDOIFJUOPEUOPFJUOIO
 Etapa de Determinación de la ISO 27002 - Controles
Proceso
Proceso
Proceso se no cumple
Cumple con
lleva a cabo con la Proceso no está en su lugar / no esta Proceso no
Referencia la norma y
y se debe norma y implementado es aplicable
esta
documentar debe ser
documentado
rediseñado
ISO
74 39 0 0 1
Controles

Estado Adecuación Implementación ISO 27002 vs Objetivos de Control

Conformidad
ISO/IEC 27002:2013 Objetivos de Control Cantidad % Meta
5. POLITICAS DE SEGURIDAD. 1 50% 100%
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE
100%
6. LA INFORMACION. 4 57%
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 4 67% 100%
8. GESTIÓN DE ACTIVOS. 8 80% 100%
9. CONTROL DE ACCESOS. 8 57% 100%
10. CIFRADO. 2 100% 100%
11. SEGURIDAD FÍSICA Y AMBIENTAL. 10 67% 100%
12. SEGURIDAD EN LA OPERATIVA. 9 64% 100%
13. SEGURIDAD EN LAS TELECOMUNICACIONES. 4 57% 100%
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO
69% 100%
14. DE LOS SISTEMAS DE INFORMACIÓN. 9
15. RELACIONES CON SUMINISTRADORES. 3 60% 100%
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA
57% 100%
16. INFORMACIÓN. 4
ASPECTOS DE SEGURIDAD DE LA INFORMACION
EN LA GESTIÓN DE LA CONTINUIDAD DEL 75% 100%
17. NEGOCIO. 3
18. CUMPLIMIENTO. 5 63% 100%

JKIKIYT7UY8
DFGCRONOGRACRONOGRAMA PLAN DE MEJORA SEGÚN HALLAZGOS ISO 27002
Porcentaje de
Cumplimiento por fechas
Norma Sección
fecha fecha fecha fecha
1 2 3 4

5 POLITICAS DE SEGURIDAD 0% 0% 0% 0%
Directrices de la Dirección en seguridad de
5,1 la información 0% 0% 0% 0%
Conjunto de políticas para la seguridad de la
5.1.1
información 0% 0% 0% 0%
Revisión de las políticas para la seguridad de
5.1.2
la información 0% 0% 0% 0%

8 GESTION DE ACTIVOS 0% 0% 0% 0%

Responsabilidad sobre los Activos

8,1 0% 0% 0% 0%

8.1.1 Inventario de activos.

0% 0% 0% 0%

8.1.2 Propiedad de los activos.

0% 0% 0% 0%

8.1.3 Uso aceptable de los activos.

0% 0% 0% 0%

8.1.4 Devolución de activos.

0% 0% 0% 0%

Clasificacion de la Informacion
8,2 0% 0% 0% 0%

8.2.1 Directrices de clasificación.

0% 0% 0% 0%

8.2.2 Etiquetado y manipulado de la información.

0% 0% 0% 0%
Manejo de los soportes de
8,3 almacenamiento 0% 0% 0% 0%

8.3.1 Gestión de soportes extraíbles.

0% 0% 0% 0%

8.3.2 Eliminación de soportes.

0% 0% 0% 0%

8.3.3 Soportes físicos en tránsito

0% 0% 0% 0%

9 CONTROL DE ACCESO 0% 0% 0% 0%
 Requisitos de negocio para el control de
9,1 accesos 0% 0% 0% 0%

9.1.1 Política de control de accesos.

0% 0% 0% 0%
Control de acceso a las redes y servicios
9.1.2
asociados. 0% 0% 0% 0%

9,2 Gestión de acceso de usuario. 0% 0% 0% 0%

Gestión de altas/bajas en el registro de
9.2.1
usuarios. 0% 0% 0% 0%
Gestión de los derechos de acceso asignados
9.2.2
a usuarios. 0% 0% 0% 0%
Gestión de los derechos de acceso con
9.2.3
privilegios especiales. 0% 0% 0% 0%
Revisión de los derechos de acceso de los
9.2.5
usuarios. 0% 0% 0% 0%
Retirada o adaptación de los derechos de
9.2.6
acceso 0% 0% 0% 0%
Control de acceso a sistemas y
9,4 aplicaciones 0% 0% 0% 0%

9.4.1 Restricción del acceso a la información.

0% 0% 0% 0%

9.4.2 Procedimientos seguros de inicio de sesión.

0% 0% 0% 0%

9.4.3 Gestión de contraseñas de usuario.

0% 0% 0% 0%
Uso de herramientas de administración de
9.4.4
sistemas. 0% 0% 0% 0%
Control de acceso al código fuente de los
9.4.5
programas 0% 0% 0% 0%

11 SEGURIDAD FISICA Y AMBIENTAL 0% 0% 0% 0%

11,1 Areas Seguras 0% 0% 0% 0%

11.1.1 Perímetro de seguridad física.

0% 0% 0% 0%

11.1.2 Controles físicos de entrada.

0% 0% 0% 0%

11.1.3 Seguridad de oficinas, despachos y recursos.

0% 0% 0% 0%
Protección contra las amenazas externas y
11.1.4
ambientales. 0% 0% 0% 0%
11.1.5 El trabajo en áreas seguras.
0% 0% 0% 0%

11.1.6 Áreas de acceso público, carga y descarga

0% 0% 0% 0%

11,2 Seguridad de los Equipos 0% 0% 0% 0%

11.2.1 Emplazamiento y protección de equipos.

0% 0% 0% 0%

11.2.2 Instalaciones de suministro.

0% 0% 0% 0%

11.2.3 Seguridad del cableado.

0% 0% 0% 0%

11.2.4 Mantenimiento de los equipos.

0% 0% 0% 0%
Salida de activos fuera de las dependencias
11.2.5
de la empresa. 0% 0% 0% 0%
Seguridad de los equipos y activos fuera de
11.2.6
las instalaciones. 0% 0% 0% 0%
Reutilización o retirada segura de dispositivos
11.2.7
de almacenamiento. 0% 0% 0% 0%

11.2.8 Equipo informático de usuario desatendido.

0% 0% 0% 0%
Política de puesto de trabajo despejado y
11.2.9
bloqueo de pantalla 0% 0% 0% 0%

12 SEGURIDAD EN LA OPERATIVA 0% 0% 0% 0%

12,2 Protección contra código malicioso 0% 0% 0% 0%

12.2.1 Controles contra el código malicioso.

0% 0% 0% 0%

12,3 Copias de seguridad 0% 0% 0% 0%

12.3.1 Copias de seguridad de la información

0% 0% 0% 0%
SEGURIDAD EN LAS
13 TELECOMUNICACIONES 0% 0% 0% 0%

13,1 Gestión de la seguridad en las redes. 0% 0% 0% 0%

13.1.1 Controles de red.

0% 0% 0% 0%
Mecanismos de seguridad asociados a
13.1.2
servicios en red. 0% 0% 0% 0%
 13.1.3 Segregación de redes.
0% 0% 0% 0%
Intercambio de información con partes
13,2
externas. 0% 0% 0% 0%
Políticas y procedimientos de intercambio de
13.2.1
información. 0% 0% 0% 0%

13.2.2 Acuerdos de intercambio.

0% 0% 0% 0%

13.2.3 Mensajería electrónica.

0% 0% 0% 0%

13.2.4 Acuerdos de confidencialidad y secreto

0% 0% 0% 0%
ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
14 DE INFORMACIÓN. 0% 0% 0% 0%
Seguridad en los procesos de desarrollo y
14,2
soporte 0% 0% 0% 0%

14.2.1 Política de desarrollo seguro de software.

0% 0% 0% 0%

14.2.6 Seguridad en entornos de desarrollo.

0% 0% 0% 0%
Pruebas de funcionalidad durante el
14.2.8
desarrollo de los sistemas. 0% 0% 0% 0%

14.2.9 Pruebas de aceptación

0% 0% 0% 0%
VBCVFDGFGDFGDFGCBNV BCVNCBVCN

FGHFGHFGHFGHFGGHFFFFGHFGHFGHG
V
BIBLIOGRAFIA: (WEBGRAFIA)

1ª)
https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi

2ª)
http://repository.poligran.edu.co/bitstream/handle/10823/654/Proyecto%20de%20Grado
%20SGSI%20-%20IGM-
%20CarlosGuzman%20%28FINAL%29.pdf?sequence=1&isAllowed=y

Fotos tomadas de la web.

CONCLUSIONES:

El SGSI bajo normativa reconocida como la ISO/IEC 27001 y su complemento

ISO/IEC 27002, aseguran procedimientos de avanzada en los aspectos de seguridad de
la información que garantizan protección de activos, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.

El Sistema de Gestión de Seguridad de la Información se debe convertir al interior de la

entidad en un proceso sistemático de revisión y mejora continua a través de
herramientas como las auditorías internas de cumplimiento que garanticen políticas,
procesos, procedimientos, estructura organizacional, controles y lo más importantes con
la concientización del recurso humano sobre la importancia de la seguridad de la
Información, los cuales procuran el máximo nivel de cumplimiento de la Norma con los
resultados esperados para el beneficio de cualquier organización que se proponga su
implantación.

Martin Cartagena Polo