Plan de Mejora ISO27002

Presentado por:
Farley Giovanni González Londoño
Cedula: 98713087
Ficha:
1881790

Instructora:
Candelaria Victoria Suarez Beleño

Servicio Nacional de Aprendizaje SENA

Especialización tecnológica en gestión

Y seguridad de bases de datos

2019
 Plan de Mejora ISO27002

1. Objetivo
Mencionar todos los elementos técnicos y tecnológicos necesarios para la
mejora en la organización basados en la norma ISO 27002.

2. Propósito
El propósito es mejorar la entidad del estado, organizaciones y las unidades
de negocios, como desempeñarse satisfactoriamente según la norma ISO
27002.

Para este ejercicio se tomó como ejemplo la entidad El Ministerio de Agricultura

y Desarrollo Rural una entidad encargada de formular, coordinar y evaluar
políticas que promuevan el desarrollo competitivo, equitativo y sostenible de
los procesos agropecuarios, forestales, pesqueros y de desarrollo rural, que
propendan por su armonización con la política macroeconómica y por una
ejecución descentralizada, concertada y participativa.

1. Es importante destacar que para el cumplimiento de estos ejercicios se

es necesario que todas las áreas que componen el MADR estén alineadas
y estén en la capacidad de brindar información que permita el análisis y
la generación de resultados enfocados en el cumplimiento de las metas
trazadas. La infraestructura tecnológica el MADR cuenta 600 equipos de
cómputo (370 equipos de escritorio y 66 portátiles), 99 Impresoras (60
locales, 39 en red, por tipo de servicio 25 multifuncionales, 74 solo
impresión), 8 video proyectores, 3 Scanner. El nivel de obsolescencia
en infraestructura cliente es muy alta, el 88% de equipos de
cómputo de escritorio no cuentan con las características técnicas para
desarrollar un trabajo eficiente, tan solo el 24% de los equipos cuentan
con características técnicas óptimas para el desarrollo de funciones de
los usuarios, en cuanto a licenciamiento se tiene diversidad de
sistemas operativos (Windows Xp, Windows 7 , Windows8), lo que
ocasiona una difícil administración de remediación, actualmente este
proceso se realiza manualmente ya que no contamos con infraestructura
base que permita la centralización de esta actividad, en
herramientas ofimáticas el Ministerio tiene como estándar Microsoft
Office desde la versión 19hasta la versión 2010, cuenta con
licenciamiento para el 80% de la infraestructura.

2. En cuanto a la plataforma de impresión, el 60% solamente prestan

servicios de impresión lo que no es funcional por cuanto a la mayoría de
los casos los usuarios requieren servicios como scanner y fotocopias, los
cuales son prestados por impresoras multifuncionales, este servicio es
atendido solo por el 40% de los equipos disponibles en la entidad.
Adicionalmente la variedad de tecnologías, marcas, modelos de
impresoras hace compleja la administración, se tiene un gasto mayor en
adquisición de consumibles y no contamos con una herramienta que
permita la administración centralizada del servicio. Como parte del Plan
 de Gestión Ambiental, dentro de la línea de acción relacionada con el uso
eficiente de los recursos, se tiene establecido un indicador de eficiencia,
con el fin de controlar el volumen de impresión, cuya información es
tomada de la revisión mensual de cada página de las impresoras
multifuncionales, lo que puede ocasionar un porcentaje de error en la
información suministrada.

3. Actualmente la información institucional reposa en los equipos de

escritorio, equipos portátiles, discos externos de usuarios, memorias o
Cd de cada usuario o dependencia lo que conlleva a que el Ministerio
corra un alto grado de riesgos en cuanto a seguridad de la información,
por cuanto la entidad, no cuenta con un repositorio central que
permita el almacenamiento de la información institucional y los
mecanismos de respaldo, lo que hace que en la actualidad, la entidad
este atada a la responsabilidad de cada usuario en la generación
de backup para evitar perdida de información por fallas en los equipos
cliente, o la entrega de la misma en el momento de retiro de la entidad.

4. El servicio de correo electrónico es prestado por un tercero, a

través de un contrato de internet y hosting, este servicio es
prestado sobre plataforma Linux, los correos son descargados
automáticamente por el usuario cuando conecta un cliente Outlook,
lo que causa que la información no pueda ser consultada vía web una
vez el mail es descargado, o que los directores y/o usuarios usen
eficiente el servicio de datos con el que cuentan en sus dispositivos
móviles.

5. Dentro de la infraestructura tecnológica para la prestación de servicios,

actualmente el Ministerio cuenta con 10 Servidores, sobre plataforma
Windows Server, donde se encuentra el Directorio Activo, Sistemas
de Información como Orfeo, Novasof, Perno, Isosystem, Mcafee
Antivirus. SIGMAR y SIGP. Estos servidores se encuentran
ubicados en un cuarto, que no cuenta con las condiciones adecuadas
para ello (se cuenta con un sistema de ventilación deficiente - Aire
Acondicionado mini Split,) que no suministra la eficiencia requerida, 4
de los servidores no cuentan con un rack o un sistema seguro en su
ubicación (actualmente se encuentran en el piso), para asegurar la
información se generar backup semanales de forma manual, lo que
implica que en caso de pérdida y necesidad de restauración se requieren
altos tiempos para la recuperación del servicio, ya que no se
cuentan con imágenes ni máquinas para realizar las restauraciones de
los mismos. El Directorio activo actual solamente cuenta con el servicio
de autenticación de usuarios, no se tienen establecidas políticas GPO, ni
un uso eficiente que permita la centralización de autenticación, cada
sistema tiene su modelo de autenticación de usuarios, lo que no permite
la admón. centralizada de usuarios, haciendo que la información se deba
actualizar en cada uno de los sistemas de acuerdo con la rotación de
personal.
6. En parte de infraestructura de redes y comunicaciones el Ministerio
cuenta con un tendido de cableado estructurado categoría 4, 5 y 5E en
algunas zonas, el tercer piso es totalmente inalámbrico debido a la
imposibilidad de hacer el tendido de cable por el piso o la pared (que
es totalmente en madera), por cuanto este edificio es considerado un
bien de interés cultural del ámbito nacional, para lo cual se requiere
contar con la autorización de Min Cultura.

7. Los equipos de comunicaciones se encuentran distribuidos en centros de

cableado, en algunos de estos sitios no se cuenta con los sistemas de
seguridad que requiere un cuarto de estas características, los switch
cuentan ya con un nivel de obsolescencia alto, no permiten la prestación
de servicios que exijan calidad de servicio, no se pueden
implementar protocolos que permitan mejorar el tráfico IP; además con
el nuevo modelo de IPV6, que obliga a todas las empresas trabajar en
este tipo de infraestructura. El Ministerio de Tecnologías de la
Información y las Comunicaciones (MinTIC) llegó al 100% de
implementación del protocolo IPv para ofrecer mejores servicios con
calidad a los ciudadanos.

8. La red inalámbrica es controlada por un dispositivo central, pero se

requiere optimizar este servicio, con el fin de que todas las dependencias
del Ministerio cuenten con red inalámbrica y a su vez, implementar
sistemas de seguridad, por cuanto los equipos que conforman este
servicio ya están a punto de culminar su vida útil. Los switch de Core,
no tienen las características para implementar parámetros de seguridad
que brinden protección a las diferentes dependencias, por las
condiciones anteriormente mencionadas.

9. A nivel de seguridad la entidad cuenta con un Firewall Cisco ASA 5500

el cual debe ser reconfigurado para prestar seguridad de navegación, el
Ministerio no cuenta con filtros de contenido a nivel de internet, la
navegación no puede ser restringida ni se tienen políticas de seguridad
que aseguren el acceso a la infraestructura.

10. El soporte técnico es prestado por contratistas, y la información

para atender las solicitudes es gestionada mediante archivos de Excel,
por cuanto no se cuenta con una mesa de ayuda que permita prestar un
servicio más eficiente, y a su vez los usuarios puedan hacer el
seguimiento correspondiente, herramienta que a su vez permite hacer
análisis y establecer diagnósticos, respecto a l estado de la plataforma
tecnológica.
 Bibliografía

 Minagricultura.gov (2019) Funciones - Recuperado de:

https://www.minagricultura.gov.co/ministerio/quienes-
somos/Paginas/Funciones.aspx

 Minagricultura.gov (2019) Funciones La Oficina de Tecnologías de la

Información - Recuperado de:
https://www.minagricultura.gov.co/ministerio/direcciones/Paginas/Ofici
na-de-Tecnologias-de-la-informacion-y-las-telecomunicaciones.aspx

 MinTic.gov (2019) Protocolo de Seguridad PV6 - Recuperado de:

https://www.mintic.gov.co/portal/inicio/Micrositios/IPV6/

 De Miguel Ignacio (2016) 17 puntos para un plan de mejora en la

empresa- Recuperado de:
https://www.mintic.gov.co/portal/inicio/Micrositios/IPV6/

 Isotools.org (2018) Cómo elaborar un plan de mejora continua -

Recuperado de: https://www.isotools.org/2015/05/07/como-elaborar-
un-plan-de-mejora-continua/

 Bolaño Rocha Eder Fernando (2015) ISO27002 plan de mejora-

Recuperado de: https://es.slideshare.net/fernando729/iso27002-plan-
de-mejora

 Monografías.com (2018) TICS - Tecnologías de Información y

Comunicación - Recuperado de:
https://www.monografias.com/trabajos89/tics-tecnologias-
informacion-y-comunicacion/tics-tecnologias-informacion-y-
comunicacion.shtml