Professional Documents
Culture Documents
Presentado a:
Por alumno:
A través del suministro de una guía completa de implementación, esa norma describe
cómo se pueden establecer los controles. Dichos controles, a su vez, deben ser elegidos
en base a una evaluación de riesgos de los activos más importantes de la empresa. Al
contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para apoyar
la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño
o gran porte, con o sin fines de lucro; y no sólo en las empresas de tecnología.
Sección 15 – Conformidad
Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos,
regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la
información.
ISO/IEC 27000-series
ISO/IEC 27001
ISO/IEC 27002
Este sistema de gestión significa que la seguridad de la información debe ser planificada,
implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus
responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se
deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO
27001, pero no en la ISO 27002
SERVICIO NACIONAL DE APRENDIZAJE
GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
AA1-E5-Aplicación de la norma ISO 27002
Seguridad de la información:
Conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de datos y de la misma.
Seguridad informática:
Se encarga de la seguridad en el medio informático, pero la información puede
encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su
disponibilidad y la pone en riesgo.
La información es poder, y según las posibilidades estratégicas que ofrece tener acceso
a cierta información, ésta se clasifica como:
Hacker:
Persona que conoce de programación y sistemas complejos; es un investigador nato que
se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "información segura".
Cracker:
Hábil conocedor de programación de Software y Hardware; diseña y fabrica programas
de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo
electrónico o el control de otros computadores remotos.
Copyhacker:
Persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas
inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para
copiarles los métodos de ruptura y después venderlos.
Phreak:
Se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil,
incluso más que los propios técnicos de las compañías telefónicas; recientemente con el
auge de los teléfonos móviles, han tenido que entrar también en el mundo de la
informática y del procesamiento de datos.
Newbie:
"novato de red" Sin proponérselo tropieza con una página de hacking y descubre que en
ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y
empieza a trabajar con ellos.
SERVICIO NACIONAL DE APRENDIZAJE
GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
AA1-E5-Aplicación de la norma ISO 27002
Marcos de referencia y áreas de seguridad habituales.
ISO 27001
Norma que contiene las especificaciones de un sistema de gestión de la seguridad de la
información (ISMS). Esta reemplaza a la antigua BS7799-2 standard.
ISO 27002
Estándar numérico de la serie 27000. Originalmente conocida como ISO 17799
standard. Antiguamente fue conocido como BS7799-1.
ISO 27003
Estándar oficial de un nuevo estándar con la intención de ofrecer una guía para la
implementación de un ISMS.
ISO 27004
Estándar que cubre las especificaciones y métricas de un ISMS. Incluye como
sugerencia los controles de la ISO 27002.
ISO 27005
Metodología independiente de ISO para la administración de riesgo de la seguridad de
la información.
ISO 27006
Estándar que provee guías para la acreditación de las organizaciones que ofrecen
certificaciones ISMS.
DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo Escala visual de la valoración del control
NC.O Nivel de cumplimineto del dominio
PC Peso del control Alto Mas del 70% de cumplimiento
NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30%
5. POLITICAS DE SEGURIDAD.
Directrices de la Dirección en
5.1 seguridad de la información.
No se encuentran Crear manual
Conjunto de políticas para la seguridad políticas de seguridad manejo de
5.1.1 MD
de la información. garanticen manejo información con
información. responsables.
No existen soportes ni Asignar responsable
Revisión de las políticas para la
5.1.2 D procedimientos de las procedimientos
seguridad de la información.
políticas de seguridad. trazabilidad en tema
ISO 27002 Hallazgos u
Descripción Status Recomendaciones
Controles Observaciones
ASPECTOS ORGANIZATIVOS DE LA
6. SEGURIDAD DE LA INFORMACION.
6.1 Organización interna.
No se encuentran
soportes ni se cuenta
con responsables para Crear manual
Asignación de responsabilidades para
6.1.1 MD cada procedimiento responsabilidades de
la seguridad de la información.
acuerdo a rangos
No se capacita al Programar
personal antes de entrenamiento en
7.3.1 Cese o cambio de puesto de trabajo. D
ocupar una nueva temas de personal y
posición. recursos humanos.
8. GESTIÓN DE ACTIVOS.
En algunos casos No se
utiliza trasportadoras Generar política
Seguridad de los equipos y activos
11.2.6 D privadas para evitar pólizas de variada
fuera de las instalaciones.
inconvenientes en los cobertura.
traslados.
Crear mecanismos
en la plataforma
Recordar protocolos al
Reutilización o retirada segura de tecnológica, ya sea
11.2.7 MD personal para evitar
dispositivos de almacenamiento. cuando son dados de
inconvenientes.
baja o cambian de
usuario.
Para estaciones de
trabajo conectadas Los usuarios deben
acceso remoto, No se tener medios de
Equipo informático de usuario cuenta con controles almacenamiento
11.2.8 D
desatendido. de acceso para uso de cifrados, para
las aplicaciones dentro protección de la
y fuera de la información.
compañía.
Se debe ser más
Los funcionarios
estricto con el
deben asegurarse la
Política de puesto de trabajo cumplimiento de
protección de la
despejado y bloqueo de pantalla. protocolos básicos de
información en los
aseo y buen uso de los
equipos.
equipos.
11.2.9 D
Actualizar
documentación y los
El área de tecnología procedimientos
Documentación de procedimientos de en la actualidad NO relacionados con la
12.1.1 D
operación. tiene documentada operación y
toda la información. administración de la
plataforma
tecnológica.
Recursos a
No se lleva a cabo,
funcionarios y
Implantación de la continuidad de la mantenimiento
17.1.2 D procesos en caso
seguridad de la información. aplicaciones de forma
contingencia o
periódica.
eventos catastróficos
Repasar al personal, Asegurar pruebas del
Verificación, revisión y evaluación de como actuar en plan de recuperación
17.1.3 la continuidad de la seguridad de la MD situaciones afecten la ante desastres y/o
información. continuidad del continuidad de
negocio. negocio.
17.2 Redundancias.
La compañía NO Sistemas debe crear
Disponibilidad de instalaciones para el
17.2.1 D cuenta con sedes de plataforma
procesamiento de la información.
soporte informático. requerimientos
18. CUMPLIMIENTO.
Cumplimiento de los requisitos
18.1 legales y contractuales.
Crear el marco jurídico Sistemas debe
Identificación de la legislación para soportar la mantener
18.1.1 D
aplicable. plataforma informática licenciamientos
según las leyes. aplicables.
Contratos NO tienen Recursos humanos y
Derechos de propiedad intelectual
18.1.2 D derechos de propiedad Jurídica, ajustar
(DPI).
y de autor. contratos.
Las capacitaciones con Jurídica, Recursos
Protección de los registros de la
18.1.3 D el tema, No se han humanos y
organización.
realizado este año. Seguridad coordinar
NO se ha dictado Jurídica y Seguridad,
Protección de datos y privacidad de la charla, Ley 1581 preparar
18.1.4 MD
información personal. procedimientos con procedimiento
directrices legales. ajustado a Ley 1581.
Existen controles Otra tarea para
Regulación de los controles Criptografía, pero no implementar, según
18.1.5 D
criptográficos. en todos los directrices legales y
procedimientos. jurídicas.
Revisiones de la seguridad de la
18.2
información.
Cada área es ISO 27001 y otras
Revisión independiente de la responsable cualquier fuentes como COBIT,
18.2.1 D
seguridad de la información. incidente de ITIL, BASILEA II,
seguridad. entre otros.
Guía seguridad de la Las políticas son de
información por cumplimiento
Cumplimiento de las políticas y
18.2.2 MD incumplir con las obligatorio para
normas de seguridad.
políticas y normas funcionarios,
establecidas. contratistas.
Ñ´KÑ´KÑKÑ´LKÑLKÑLKPOÌPOIPOUDOIFJUOPEUOPFJUOIO
Etapa de Determinación de la ISO 27002 - Controles
Proceso
Proceso
Proceso se no cumple
Cumple con
lleva a cabo con la Proceso no está en su lugar / no esta Proceso no
Referencia la norma y
y se debe norma y implementado es aplicable
esta
documentar debe ser
documentado
rediseñado
ISO
74 39 0 0 1
Controles
JKIKIYT7UY8
DFGCRONOGRACRONOGRAMA PLAN DE MEJORA SEGÚN HALLAZGOS ISO 27002
Porcentaje de
Cumplimiento por fechas
Norma Sección
fecha fecha fecha fecha
1 2 3 4
5 POLITICAS DE SEGURIDAD 0% 0% 0% 0%
Directrices de la Dirección en seguridad de
5,1 la información 0% 0% 0% 0%
Conjunto de políticas para la seguridad de la
5.1.1
información 0% 0% 0% 0%
Revisión de las políticas para la seguridad de
5.1.2
la información 0% 0% 0% 0%
8 GESTION DE ACTIVOS 0% 0% 0% 0%
Clasificacion de la Informacion
8,2 0% 0% 0% 0%
9 CONTROL DE ACCESO 0% 0% 0% 0%
Requisitos de negocio para el control de
9,1 accesos 0% 0% 0% 0%
12 SEGURIDAD EN LA OPERATIVA 0% 0% 0% 0%
FGHFGHFGHFGHFGGHFFFFGHFGHFGHG
V
BIBLIOGRAFIA: (WEBGRAFIA)
1ª)
https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi
2ª)
http://repository.poligran.edu.co/bitstream/handle/10823/654/Proyecto%20de%20Grado
%20SGSI%20-%20IGM-
%20CarlosGuzman%20%28FINAL%29.pdf?sequence=1&isAllowed=y
CONCLUSIONES: