Anda di halaman 1dari 12

PLAN DE MEJORA ALCALDIA SAN ANTONIO DEL SENA

NORMA ISO27002

ANDRES FERNANDO JAIMES


FABIO ANDRES LIZARAZO
CARLOS ANTONIO RAMIREZ

SERVICIO NACIONAL DE APRENDIZAJE- SENA (CASA)


ESPECIALIZACION TECNOLOGICA EN GESTION Y SEGURIDAD DE BASES
DE DATOS
FICHA 1130488
PIEDECUESTA
2016

PLAN DE MEJORAMIENTO DE LA ALCALDIA SAN ANTONIO


DOMINIOS
POLITICA DE SEGURIDAD

La gerencia debe aprobar un documento de poltica, este se debe publicar y


comunicar a todos los empleados y entidades externas relevantes.
La poltica de seguridad de la informacin debe ser revisada regularmente a
intervalos planeados o si ocurren cambios significativos para asegurar la
continua idoneidad, eficiencia y efectividad
Se implantara capacitaciones semanales acerca de la poltica de seguridad
de la alcalda para que cada funcionario sepa las funciones a realizar sobre
su cargo actual con su respectiva auditoria personalizada para llevar un
buen control sobre la norma ISO 27002.
Realizar regularmente auditoras internas: para determinar si los controles,
procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de
seguridad de la organizacin, estn implementados y mantenidos con
eficacia y tienen el rendimiento esperado.

ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD


En esta rea encontramos un porcentaje bastante bajo con un promedio bajo.

La gerencia debe apoyar activamente la seguridad dentro de la


organizacin a travs de una direccin clara, compromiso demostrado,
asignacin explcita y reconocimiento de las responsabilidades de la
seguridad de la informacin.
Las actividades de seguridad de la informacin deben ser coordinadas por
representantes de las diferentes partes de la organizacin con las funciones
y roles laborales relevantes.
Se deben definir claramente las responsabilidades de la seguridad de la
informacin.
Se debe definir e implementar un proceso de autorizacin gerencial para los
nuevos medios de procesamiento de informacin.
Se deben identificar y revisar regularmente los requerimientos de
confidencialidad o los acuerdos de no-divulgacin reflejando las
necesidades de la organizacin para la proteccin de la informacin.
Donde la alcalda san Antonio ha descuidado sobre la estructura de la
seguridad ISO 27002.
En esta rea si es necesario buscar personas capacitadas o capacitarlas
para tener a cargo y estar al frente de esas funciones y responsabilidades a

la hora de hablar y coordinar sobre la seguridad de la informacin para


llevar a cabo la norma ISO 27002.
Tambin una persona encargada para autorizar y llevar el control sobre las
instalaciones de procesamiento de la informacin, identificando los riesgos
para acceso de terceras partes.
Para formar un comit y tomar decisiones, acuerdos sobre los temas de
seguridad siempre buscando cumplir las normas ISO 27002.

CLASIFICACION Y CONTROL DE ACTIVOS


En esta rea encontramos bastante descuido con un promedio bajo.

Mirando la parte de control de activos (inventario) vemos que falta mucha


organizacin y mejoras en la parte de tecnologa
Implantara un rea de mantenimiento preventivo y correctivo con el fin de
estar ms pendiente de cada equipo que se encuentre en la alcalda San
Antonio ms que todo por la informacin que se encuentra en cada disco
duro todo llevndolo a cabo con la norma ISO 27002 sobre todo tambin
llevar un control de cada dispositivo como por ejemplo memoria RAM,
procesador, discos duro con su respectivo cdigo de seguridad que se
identifique que sea de la alcalda san Antonio.
Vemos que est muy descuidada con esos dispositivos que son obsoletos
para las funciones que requiere la alcalda por eso le queremos implantar
esa rea de mantenimiento preventivo y correctivo.

SEGURIDAD EN EL PERSONAL
En esta rea encontramos una escala visual baja. Mirando la parte de seguridad
en el personal implantaremos la norma ISO 27002.

Donde implantaremos la poltica de seguridad que incluya un marco general


y los objetivos de la organizacin que este alineada con la gestin de riesgo
general, establezca criterios de evaluacin de riesgo y se a aprobada por la
Alcalda san Antonio.
Definir el enfoque de evaluacin de riesgos del personal.
Definir una metodologa de evaluacin apropiada de SGSI y las
necesidades de la organizacin existen muchas metodologas que
podemos implantar a la alcalda San Antonio puede optar por una de ellas
podemos unir varias o crear una respectivamente para organizacin.
Sabemos que el riesgo nunca es eliminable y por eso tenemos que tener
una metodologa o estrategia para prevenirla que es lo mximo que
podemos hacer con sus respectivas normas de la ISO 27002.

SEGURIDAD FISICA Y DEL ENTORNO

En esta rea encontramos un nivel de seguridad medio, para mejorar la


seguridad fsica de vemos tener estos elementos (como paredes, tarjetas
de control de entrada a puertas o un puesto manual de recepcin) para
proteger la informacin,
Se deben proteger las reas seguras mediante controles de entrada
apropiados para asegurar que slo se permita acceso al personal
autorizado.
Se debe disear y aplicar proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, disturbios civiles y otras formas de
desastre natural o creado por el hombre.
Brindar una mayor seguridad para Evitar la prdida, dao, robo o puesta en
peligro de los activos e interrupcin de las actividades de la organizacin.

GESTION DE COMUNICACIN Y OPERACIONES

Los procedimientos de operacin se deben documentar, mantener y estar


disponibles para todos los usuarios que los necesiten.
Mejorar la organizacin fsica de las instalaciones y dems procesos
independientes.
Desarrollar la poltica para el manejo de la informacin interna y los canales
de trabajo para el manejo de email o medios fsicos como CD, USB u otros
dispositivos, as como tambin archivos en la nube.
Ajustar las polticas del manual de seguridad para el comercio y
transacciones
en lnea.
Aprovechar la informacin de los log como lecciones aprendidas
almacenando y protegiendo los casos dados.

CONTROL DE ACCESOS

Se debe establecer, documentar y revisar la poltica de control de acceso


con base a los requisitos del negocio y de la seguridad para el acceso.
La asignacin de contraseas se debe controlar a travs de un proceso
formal de gestin.
Se debe restringir y controlar la asignacin y uso de privilegios.
Debe existir un procedimiento formal para el registro y cancelacin de
usuarios con el fin de conceder y revocar el acceso a todos los sistemas y
servicios de informacin.
Mejorar la organizacin fsica de las instalaciones y dems procesos
independientes.

Se debe restringir el acceso a la informacin y las funciones del sistema de


aplicacin por parte de los usuarios y del personal de soporte, de acuerdo
con la poltica definida en el control de acceso.
Orientar los contenidos de los equipos a la identidad de la alcalda.
Se debe exigir a los usuarios el cumplimiento de buenas prcticas de
seguridad en la seleccin y el uso de contraseas.
Los usuarios solo deben tener acceso a los servicios para cuyo uso estn
especficamente autorizados.
Se deben emplear mtodos adecuados de autenticacin para controlar el
acceso de usuarios remotos.
Definir el teletrabajo como una solucin a los incidentes de la alcalda.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Se deben validar los datos de entrada a las aplicaciones para asegurar que
dichos datos son correctos y apropiados.
Se debe implementar un sistema de gestin de llaves para apoyar el uso de
las tcnicas criptogrficas por parte de la alcalda.
Se debe desarrollar e implementar una poltica sobre el uso de controles
criptogrficos para la proteccin de la informacin.
Se deben incorporar verificaciones de validacin en las aplicaciones para
detectar cualquier corrupcin de la informacin por errores de
procesamiento o actos deliberados.
Se deben incorporar verificaciones de validacin en las aplicaciones para
detectar cualquier corrupcin de la informacin por errores de
procesamiento o actos deliberados.
Se debe restringir el acceso al cdigo fuente de los programas.

GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

Se debe exigir a todos los empleados, contratistas y usuarios de terceras


partes de los sistemas y servicios de informacin que observen y reporten
todas las debilidades observadas o sospechadas en los sistemas o
servicios.
Los eventos de seguridad de la informacin se deben informar atreves de
los canales de gestin apropiados tan pronto como sea posible.
Se debe exigir a todos los empleados, contratistas y usuarios de terceras
partes de los sistemas y servicios de informacin que observen y reporten
todas las debilidades observadas o sospechadas en los sistemas o
servicios.

Se deben establecer las responsabilidades y los procedimientos de gestin


para asegurar una respuesta rpida, eficaz y ordenada a los incidentes de
seguridad de la informacin.
Deben existir mecanismos que permitan cuantificar y monitorear todos los
tipos, volmenes y costos de los incidentes de seguridad de la informacin.

GESTION DE LA CONTINUIDAD DEL NEGOCIO

Se debe desarrollar y mantener un proceso de gestin para la continuidad


del negocio en toda la organizacin el cual trate los requisitos de seguridad
de la informacin necesarios para la continuidad del negocio de la
organizacin.
Se debe identificar los eventos que puedan ocasionar interrupciones en los
procesos del negocio junto con la probabilidad y el impacto de dichas
interrupciones, as como sus consecuencias para la seguridad de la
informacin.
Se deben desarrollar e implementar planes para mantener o recuperar las
operaciones y asegurar la disponibilidad de la informacin en el grado y la
escala de tiempo requerido, despus de la interrupcin o la falla de los
procesos crticos para el negocio.
Se debe mantener una sola estructura de los planes de continuidad del
negocio, para asegurar que todos los planes son consistentes, y considerar
los requisitos de la seguridad de la informacin de forma consistente, as
como identificar las prioridades para pruebas y mantenimiento.
Los planes de continuidad del negocio se deben someter a pruebas y
revisiones peridicas para asegurar su actualizacin y su eficacia.

CUMPLIMIENTO

Todos los requisitos estatutarios, reglamentarios y contractuales


pertinentes, as como el enfoque de la organizacin para cumplir estos
requisitos se deben definir explcitamente, documentar y mantener
actualizados para cada sistema de informacin y para la organizacin.
Se deben implementar procedimientos apropiados para asegurar el
cumplimiento de los requisitos legales, reglamentarios y contractuales sobre
el uso del material con respecto al cual pueden existir derechos de
propiedad intelectual y sobre el uso de productos de software patentados.
Los registros importantes se deben proteger contra perdida, destruccin y
falsificacin, de acuerdo con los requisitos estatutarios, reglamentarios,
contractuales y del negocio.

Dominio
s

Se debe garantizar la proteccin de los datos y la privacidad, de acuerdo


con la legislacin y los reglamentos pertinentes, si se aplica, con las
clusulas del contrato.
Los directores deben garantizar que todos los procedimientos de seguridad
dentro de sus reas de responsabilidad se llevan a cabo correctamente
para lograr los cumplimientos con las polticas y las normas de seguridad.

Objetivos
de Control

Control
es

2
2

1
2

11
8
1
2

3
4
5
6
7

8
3
2

1
2

Dominio Objetivos
s
de Control
2
1
7
2

3
Control
es

3
1

Descripcin
Poltica de Seguridad

Poltica de Seguridad de la Informacin


Documento de la poltica de
Debe
seguridad de la informacin
Revisin de la poltica de
Debe
seguridad de la informacin
Estructura organizativa para la
seguridad

PD
1,5

% de cumplimiento de la norma
NC.
NC.
NC. Escal
PO
PC
D
O
C
a
100

8,27

45,4
6

27,2
7

NC.
D

3,76

64

PO

60

2
1

Clasificacin de la informacin
Debe
Guas de clasificacin
Etiquetado y manejo de la
Debe
informacin

40

Antes del empleo

1
2

Debe
Debe

Roles y responsabilidades
Verificacin

60

60

50

60

60

9,09

60

60

9,09

60

60

9,09

60

60

9,09
9,09
9,09
9,09

40
40
40
40

40
40
40
40

9,09

20

20

9,09

20

20

9,09

60

60

32,7
3

12,7
3

6,77

NC.
O

PC

60
60
NC. Escal
C
a

100

Clasificacin y control de activos


Responsabilidad sobre los activos
Debe
Inventario de activos
Debe
Propietario de activos
Debe
Uso aceptable de los activos

Seguridad en el personal

50

9,09
PD

3
1
2
3

60

100
72,7
3

Organizacin Interna
Comit de la direccin sobre
Debe
seguridad de la informacin
Coordinacin de la seguridad de
Debe
la informacin
Asignacin de responsabilidades
para la de seguridad de la
Debe
informacin
Proceso de autorizacin para
instalaciones de procesamiento
Debe
de informacin
Debe
Acuerdos de confidencialidad
Puede
Contacto con autoridades
Puede
Contacto con grupos de inters
Revisin independiente de la
Puede
seguridad de la informacin
Terceras partes
Identificacin de riesgos por el
Debe
acceso de terceras partes
Temas de seguridad a tratar con
Debe
clientes
Temas de seguridad en
Debe
acuerdos con terceras partes
Orientaci
Descripcin
n

100

60

2
8

Orientaci
n

44
20
20
20

80
70
70

80
70
70

20

50

50

20

50

50

11,1
1
11,1
1

70
70

70
70

20

100

63,3
33,3
3

23,3
3

3
3
2

Durante el empleo
Responsabilidades de la
Debe
gerencia
Educacin y formacin en
Debe
seguridad de la informacin

Debe

3
3

Dominio
s

Objetivos
de Control
2

1
2

Debe

3
Control
es

3
4
5
6

Debe

3
1
2
2
3
2

33,3
3

PD
9,77

60

PO

53,8
5

NC.
O

24,0
6

70

70

70

50

50

50

50

50

50

70
70
NC. Escal
C
a

30
7,69
7,69

60
60

60
60

7,69

60

60

7,69
7,69

70
70

70
70

7,69

70

70

7,69
7,69
7,69
7,69

70
70
60
70

70
70
60
70

7,69

40

40

30

PO

NC.
O

PC

40
40
40
40
NC. Escal
C
a

100

52,2
12,5

7,5
3,12
5
3,12
5
3,12
5
3,12
5

Control de cambios

Separacin de funciones
Separacin de las instalaciones
Debe
de desarrollo y produccin
Administracin de servicios de terceras
partes
Puede
Entrega de servicios
Monitoreo y revisin de
Puede
servicios de terceros
Manejo de cambios a servicios
Puede
de terceros
Planificacin y aceptacin del sistema

PC

7,69
7,69
NC.
D

70

100
46,1
5

PD

70

18,8
9
11,1
1
11,1
1
11,1
1

NC.
D

70

21,1
1
11,1
1
11,1
1
11,1
1

reas Seguras
Debe
Permetro de seguridad fsica
Debe
Controles de acceso fsico
Seguridad de oficinas, recintos
Debe
e instalaciones
Proteccin contra amenazas
Debe
externas y ambientales
Debe
Trabajo de reas seguras
reas de carga, entrega y reas
Puede
pblicas

Debe

32

Seguridad fisica y del entorno

6
7
Control
es

Descripcin

1
2
3
4

33,3
3

Devolucin de activos
Eliminacin de privilegios de
acceso

Seguridad de los Equipos


Ubicacin y proteccin del
Debe
equipo
Debe
Herramientas de soporte
Debe
Seguridad del cableado
Debe
Mantenimiento de equipos
Seguridad del equipamiento
Debe
fuera de las instalaciones
Seguridad en la reutilizacin o
Debe
eliminacin de equipos
Debe
Movimientos de equipos
Orientaci
Descripcin
n
Gestin de comunicaciones y
operaciones
Procedimientos operacionales y
responsabilidades
Procedimientos de operacin
Debe
documentados

Dominio Objetivos
s
de Control
10
10

Debe
Orientaci
n

13

11,1
1

Procesos disciplinarios

Terminacin o cambio del empleo


Responsabilidades en la
Debe
terminacin

6
1
2
1

Trminos y condiciones de
empleo

Debe

9,38

6,25

70

70

60

60

70

70

40

40

3,12

60

60

3,12

60

60

3,12

60

60

5,63

4,38

Debe

Debe
Aceptacin del sistema
Proteccin contra software malicioso y
mvil
Controles contra software
Debe
malicioso

Debe

3,13

2,19

Copias de seguridad
Informacin de copias de
Debe
seguridad

Administracin de la seguridad en redes

6,25

Debe

Debe

4
1

Manejo de medios de soporte


Administracin de los medios de
Debe
computacin removibles

Debe

Debe

Debe

2
4

10

Dominio Objetivos
s
de Control
11
7
1

3,12
5
3,12
5

Planificacin de la capacidad

3,13
3,12
5
3,12
5

Controles de redes
Seguridad de los servicios de
red

3,12
5
3,12
5
3,12
5
3,12
5

Puede

Acuerdos de intercambio

Puede

Medios fsicos en transito

Puede

Mensajes electrnicos
Sistemas de informacin del
negocio

Puede

Servicios de comercio electronico

Puede

Comercio electronico

Puede

Puede

Transacciones en lnea
Informacin pblicamente
disponible

Monitoreo y supervisin

Debe

Logs de auditoria

Debe

Monitoreo de uso de sistema

Debe

Debe

Proteccin de los logs


Registro de actividades de
administrador y operador del
sistema

Debe

Fallas de login

Puede
Orientaci
n

Sincronizacin del reloj

Descripcin

Control de accesos
Requisitos de negocio para el control de

15,6
3

3,12
6
3,12
6
3,12
6
NC.
D

18,8

59,2

PO

NC.
O

100
4

80

70

70

70

70

80

80

80

80

70

70

70

70

60

60

60

60

50

50

50

50

50

50

50

50

50

50

40

40

40

40

40

40

10

10

50

50

10

10

10

10

10

10

3,13
3,12
6
3,12
6
3,12
6

PD

80

3,75
3,12
6
3,12
6
3,12
6

18,7
5

70

7,82
3,12
6
3,12
6
3,12
6
3,12
6
3,12
6

9,38

70

8,13

Eliminacin de medios
Procedimientos para el manejo
de la informacin
Seguridad de la documentacin
del sistema

25
1

3,12
5
3,12
5

12,5

70

4,69

Controles contra cdigo mvil

Intercambio de informacin
Polticas y procedimientos para
Debe
el intercambio de informacin

6
Control
es

6,25

70

2,8

PC

10
10
NC. Escal
C
a

acceso

Debe

4
1
2
3

Administracin de acceso de usuarios


Debe
Registro de usuarios
Debe
Administracin de privilegios
Debe
Administracin de contraseas
Revisin de los derechos de
Debe
acceso de usuario

16

Responsabilidades de los usuarios


Debe
Uso de contraseas
Equipos de cmputo de usuario
Puede
desatendidos
Poltica de escritorios y
Puede
pantallas limpias

12

Control de acceso a redes


Poltica de uso de los servicios
Debe
de red
Autenticacin de usuarios para
Puede
conexiones externas
Identificacin de equipos en la
Puede
red
Administracin remota y
Debe
proteccin de puertos
Puede
Segmentacin de redes
Debe
Control de conexin a las redes
Control de enrutamiento en la
Debe
red

28

Control de acceso al sistema operativo


Procedimientos seguros de LogDebe
on en el sistema
Identificacin y autenticacin de
Debe
los usuarios
Sistema de administracin de
Debe
contraseas
Puede
Uso de utilidades de sistema
Debe
Inactividad de la sesin
Limitacin del tiempo de
Puede
conexin
Control de acceso a las aplicaciones y la
informacin
Restriccin del acceso a la
Puede
informacin
Aislamiento de sistemas
Puede
sensibles

24

4
3
1
3

2
3
7
1
2

3
4
5
6
7
6
1

2
3
4
5
6
2

1
2
2

7
Dominio
s
12

Objetivos
de Control
6
1

1
2
Control
es
16
1
1

2
4
1
2
3
4

Poltica de control de accesos

Ordenadores porttiles y teletrabajo


Ordenadores porttiles y
Puede
comunicaciones moviles
Puede
Teletrabajo
Orientaci
Descripcin
n
Desarrollo y mantenimiento de sistemas
Requerimientos de seguridad de
sistemas de informacin
Anlisis y especificaciones de
Debe
los requerimientos de seguridad
Procesamiento adecuado en
aplicaciones
Validacin de los datos de
Debe
entrada
Controles de procesamiento
Puede
interno
Puede
Integridad de mensajes
Puede
Validacin de los datos de salida

PD
12,0
3

NC.
D
59,3
9

PO

70

4
4
4

70
70
70

70

60

50

50

70

50

60

4
4
4

60
60
60

60

10

60

4
4
4

60
60
60

60

70

70

4
4

60
40
NC.
C

Escal
a

6,25

60

60

6,25

60

60

6,25
6,25
6,25

70
70
70

70
70
70

11,2

6,4

16,8

12,4

5,6

NC.
O

PC

100
6,25

3,75

25

16,8
8

2
3

1
2
3
1

4
2
3
5
1
5

2
3
4
5

6
Dominio Objetivos
s
de Control
2

1
1
Control
es
5
2

1
13

1
2
3

1
2
3
5

Gestin de vulnerabilidades tcnicas


Control de vulnerabilidades
Debe
tcnicas
Orientaci
Descripcin
n
Gestin de incidentes de la seguridad
de la informacin
Notificando eventos de seguridad de la
informacin y debilidades
Reportando eventos de
Debe
seguridad de la informacin
Reportando debilidades de
Puede
seguridad
Gestin de incidentes y mejoramiento
de la seguridad de la informacin
Procedimientos y
Debe
responsabilidades
Puede
Lecciones aprendidas
Debe
Recoleccin de evidencia

31,2
5

PD
3,76

60

Cumplimiento con los requisitos legales


Identificacin de la legislacin
Debe
aplicable
Debe
Derechos de propiedad

5
Control
es

1
2

30
30

30
30

6,25

70

70

6,25

60

60

6,25

60

60

6,25

60

60

6,25

60

60

6,25
6,25
6,25

60
60
60

60
60
60

18,7
5

4,38

PO

NC.
O

PC

24
20

60

60

20

60

60

20
20
20

70
70
40

70
70
40

20

60

60

20

70

70

20

70

70

20

70

70

36

100

68
100

68

20
PD

NC.
D
63,3
3

70
70
NC. Escal
C
a

100

60

7,52

6,25
6,25
11,8
8

6,25

40

Cumplimiento

3,75

100
NC.
D

10

2
1

18,7
5

Seguridad de los archivos del sistema


Debe
Control del software operacional
Proteccin de los datos de
Puede
prueba del sistema
Control de acceso al cdigo
Debe
fuente de las aplicaciones
Seguridad en los procesos de desarrollo
y soporte
Procedimientos de control de
Debe
cambios
Revisin tcnica de los cambios
Debe
en el sistema operativo
Restricciones en los cambio a
Puede
los paquetes de software
Debe
Fugas de informacin
Debe
Desarrollo externo de software

3,76

Dominio Objetivos
s
de Control
15
3

12,5

Gestin de la continuidad del negocio


Aspectos de seguridad de la informacin
en la gestin de continuidad del negocio
Inclusin de seguridad de la
informacin en el proceso de
gestin de la continuidad del
Debe
negocio
Continuidad del negocio y
Debe
anlisis del riesgo
Desarrollo e implementacin de
planes de continuidad
incluyendo seguridad de la
Debe
informacin
Marco para la planeacin de la
Debe
continuidad del negocio
Prueba, mantenimiento y
reevaluacin de los planes de
Debe
continuidad del negocio
Orientaci
Descripcin
n

14

Controles criptogrficos
Poltica de utilizacin de
Puede
controles criptogrficos
Puede
Administracin de llaves

PO

NC.
O

PC

70
70
NC. Escal
C
a

100
60

22
10
10

30
30

30
30

3
4
5
6
2
2

1
2
2

1
2

intelectual (dpi)
Proteccin de los registros de la
Debe
organizacin
Proteccin de datos y privacidad
Debe
de la informacin personal
Prevencin del uso inadecuado
de los recursos de
Debe
procesamiento de informacin
Regulacin de controles para el
Debe
uso de criptografa
Cumplimiento con las polticas y
estndares de seguridad y cumplimiento
tcnico
Cumplimiento con las polticas y
Debe
procedimientos
Verificacin de la cumplimiento
Debe
tcnico
Consideraciones de la auditoria de
sistemas de informacin
Controles de auditoria a los
Debe
sistemas de informacin
Proteccin de las herramientas
Debe
de auditoria de sistemas

20

20

10

50

50

10

30

30

10

70

70

10

10

10

10

60

60

10

60

60

10

10

10

10

10

10

12