AA1-E5-Aplicación de La Norma ISO 27002

Share Embed Donate


Short Description

Aplicación de La Norma ISO 27002...

Description

AA1-E5-APLICACIÓN AA1-E5-APLICAC IÓN DE LA NORMA ISO 27002 AA1-E5-APLICACIÓN AA1-E5-APLICAC IÓN DE LA NORMA ISO 27002 Descripción breve Dominar los conceptos claves para preservar la seguridad de la información. Conocer estándares internaciones como guía y apoyo en la seguridad de la información.

Adrian Mauricio Rodríguez Amaya [email protected]

TABLA DE CONTENIDO Pág. INTRODUCCIÓN ................................................................................................................................... 1 OBJETIVO DE LA AUDITORIA ............................................................................................................... 3 ALCANCE DE LA AUDITORIA ................................................................................................................ 4 RESULTADOS DE LA AUDITORIA .......................................................................................................... 5 ASPECTOS CONFORMES .................................................................................................................. 5 ASPECTOS CONFORMES .................................................................................................................. 6 OPORTUNIDADES DE MEJORA ............................................................................................................ 7 PLAN DE MEJORA SUGERIDO .............................................................................................................. 8 RESULTADOS DE LA AUDITORIA .......................................................................................................... 0 BIBLIOGRAFÍA ...................................................................................................................................... 0

INTRODUCCIÓN La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles. A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de evaluar los controles controles de cada uno de los dominios de la norma ISO 27002: Política de seguridad: seguridad: Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relación a los requisitos del negocio y regulaciones relevantes. Estructura organizativa para la seguridad: seguridad: Organización interna: estos controles gestionan la seguridad de la información dentro de la Organización. El órgano de dirección debe aprobar la política de seguridad de la información, asignando los roles de seguridad y coordinando la implantación de la seguridad en toda la Organización. Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización. Clasificación y control de activos: activos: Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y control de de la información: la información se encuentra clasificada para indicar las necesidades, prioridades y nivel de protección previsto para su tratamiento. t ratamiento. Seguridad del personal: personal : Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. Seguridad física y del entorno: entorno : Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados. Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado.

Gestión de las comunicaciones y operaciones: operaciones: Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información, además de la operación correcta y segura de los recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y asegurando la protección de la información en las redes y la protección de su infraestructura de apoyo. Control de accesos: Controla los accesos a la información y los recursos de tratamiento de la información en base a las necesidades de seguridad de la organización y las políticas para el control de los accesos. Desarrollo y mantenimiento de sistemas: sistemas: Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún efecto en activos de información de carácter sensible, valioso o crítico. Dichos controles se determinan en función de los requisitos de seguridad y la estimación del riesgo. Gestión de incidentes de seguridad de la información: información: Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratistas y terceros deben estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos de la organización. Gestión de la continuidad del negocio: negocio: La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN) y de los demás procesos de gestión dentro de la organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanudación a tiempo de las operaciones esenciales. esenciales. Cumplimiento: Cumplimiento: Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad dentro y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los asesores legales de la organización o por profesionales del área. Además se deberían realizar revisiones regulares de la seguridad de los sistemas de información.

OBJETIVO DE LA AUDITORIA AUDITORIA 

Evaluar la conformidad del sistema de gestión de seguridad de la información regido bajo la norma ISO 27002.



Revisar la situación actual de la empresa identificando las condiciones de seguridad de la información-



Proponer un plan de mejora con base a los hallazgos encontrados en el contexto de seguridad de la información con base a la norma 27002.

ALCANCE DE LA AUDITORIA La auditoría tiene como alcance el sistema de gestión de seguridad de la información relacionada con la empresa IEB, donde se analizaron todos los requisitos bajo la norma ISO 27002, expuestos en el anexo de este documento.

RESULTADOS DE LA AUDITORIA ASPECTOS CONFORMES 

Se pudo identificar que la empresa cuenta con una política de seguridad sólida, contando con documentos que soportan la seguridad de la información, al igual que las revisiones de estas.



La estructura organizativa para la seguridad se encuentra bien constituida en lo correspondiente a la organización interna y lo relacionado con las terceras partes.



La empresa cuenta con el inventario de los activos que posee, sus propietarios y uso aceptable. Además cuenta con una clasificación organizada, incluyendo las guías de clasificación, etiquetado y manejo de la información.



Durante la auditoria se pudo identificar que los procedimientos y responsabilidades se encuentran bien definidos y documentados, al igual que la administración de los servicios de terceras partes, monitoreando y revisando sus servicios.



Los controles de seguridad contra software malicioso se encuentran bien soportados, empleando controles en las redes y seguridad de sus servicios.



Se identifican sólidos controles de accesos, empleando políticas de control de accesos, registrando usuarios y administrando sus privilegios y contraseñas. También se ejerce fuerte control de acceso a las redes, por medio de autenticación para usuarios con conexiones externas.



Se registran procedimientos, reportes y procedimientos de los incidentes relacionados con la seguridad de la información; recolectando evidencias y publicando las lecciones aprendidas.

ASPECTOS CONFORMES



Se logró evidenciar que no se encuentra bien definido un comité relacionado con la dirección sobre la seguridad de la información.



No se soporta los riesgos r iesgos identificados por el acceso de terceras personas.



No se tienen claras las políticas de copias de seguridad de la información, donde posiblemente no se tenga soporte de estas.



Se pudo observar que no se posee un sistema de administración de contraseñas, no se exigen controles adicionales para el cambio de estas luego de un lapso determinado de tiempo.

OPORTUNIDADES DE MEJORA ASPECTO Estructura organizativa para la seguridad Organización Interna. Comité de la dirección o seguridad de la información.

OBSERVACIÓN



sobre

Estructura organizativa para la seguridad Terceras Partes. Identificación de riesgos por el acceso o de terceras partes. 

Gestión de comunicaciones y operaciones Copias de seguridad. o Información de copias de seguridad. 

Control de accesos Control de acceso al sistema operativo. Sistema de administración o contraseñas. 

de

Se considera necesario que se conformen o se definan de manera más clara el comité de la dirección sobre seguridad de la información, esto permitirá una estructura organizativa más sólida para la empresa. Se considera importante analizar los riesgos por parte de acceso de terceras partes, esto para garantizar la solidez del esquema de seguridad de la información con una estructura organizativa mejor formada. Se deben documentar y soportar las copias de seguridad, con el fin de obtener mejores prestaciones en la persistencia de los datos y obteniendo a su vez mejor gestión de comunicaciones y operaciones. Para garantizar la robustez de los controles de acceso, es necesario que se mejore el sistema de administración de contraseñas; permitiéndole a los usuarios realizar cambios periódicos de estas garantizando la seguridad de los datos privados de la empresa.

PLAN DE MEJORA SUGERIDO FASE

ACTIVIDADES Estructura organizativa para la seguridad Organización Interna. Comité de la dirección sobre seguridad de la i nformación. o Estructura organizativa para la seguridad Terceras Partes. Identificación de riesgos por el acceso de terceras partes. o Gestión de comunicaciones y operaciones Copias de seguridad. Información de copias de seguridad. o Control de accesos Control de acceso al sistema operativo. Sistema de administración de contraseñas. o 



Análisis de la información ISO 27002





1

2

MES 3 4

5

RESULT RESULTADOS DE LA LA AUDITORIA AUDITORIA Dominios

5

Controles

1

2

1

2

1 6

2

Dominios

1

2

1.5

100

PO

NC. O

PC

NC. C

Escala

100

Debe

Documento de la política de s eguridad de la información

50

100

100

2

Debe

Revisión de la política de seguridad de la información

50

100

100

11

Estructura organizativa para la seguridad

100

8.27

100

100

80.91

8

Organización Interna

1

Debe

Comité de la dirección sobre seguridad de la información

9.09

30

30

2

Debe

9.09

90

90

3

Debe

9.09

100

100

4

Debe

Coordinación de la seguridad de la información  Asignación de responsabilidades para la de seguridad de la información Proceso de autorización para instalaciones de procesamiento de información

9.09

100

100

5

Debe

 Acuerdos de confidencialidad

9.09

100

100

6

Puede

Contacto con autoridades

9.09

80

7

Puede

Contacto con grupos de interés

9.09

100

8

Puede

Revisión independiente de la seguridad de la información

9.09

80

80

72.73

27.27

61.82

80 100

3

Terceras partes

1

Debe

Identificación de riesgos por el acceso de terceras partes

9.09

50

50

2

Debe

Temas de seguridad a tratar con clientes

9.09

80

80

3

Debe

Temas de seguridad en acuerdos con terceras partes

9.09

80

80

5

10

NC. D

1

2

2

Política de Seguridad

PD

Política de Seguridad de la Información

Controles

7

Descripción

Orientación

2

Objetivos de Control

1

10

% de cumplimiento de la norma

Objetivos de Control

Descripción

Orientación

Clasificación y control de activos

PD

NC. D

3.76

100

PO

19.09

NC. O

PC

NC. C

Escala

100

3

Responsabilidad sobre los activos

60

1

Debe

Inventario de activos

20

100

100

2

Debe

Propietario de activos

20

100

100

3

Debe

Uso aceptable de los activos

20

100

100

2

Clasificación de la información

1

Debe

Guías de clasificación

20

100

100

2

Debe

Etiquetado y manejo de la información

20

100

100

32

Gestión de comunicaciones y operaciones

40

60

24.06

40

100

33.5

4

Procedimientos operacionales y responsabilidades

12.5

1

Debe

Procedimientos de operación documentados

3.125

100

100

2

Debe

Control de cambios

3.125

100

100

3

Debe

Separación de funciones

3.125

80

80

4

Debe

Separación de las instalaciones de desarrollo y producción

3.125

80

80

3

A dministración de servicios de terceras partes

1

Puede

Entrega de servicios

3.12

100

2

Puede

Monitoreo y revisión de servicios de terceros

3.12

80

80

3

Puede

Manejo de cambios a servicios de terceros

3.12

80

80

9.38

11.25

8.13 100

Dominios

Objetivos de Control

Controles

2

5

1 7

2

10

1

2 10

4

5

6

Dominios

4

100

NC. O

PC

NC. C

Escala

100

Debe

Inventario de activos

20

100

100

2

Debe

Propietario de activos

20

100

100

3

Debe

Uso aceptable de los activos

20

100

100

60

60

2

Clasificación de la información

1

Debe

Guías de clasificación

20

100

100

2

Debe

Etiquetado y manejo de la información

20

100

100

32

40

Gestión de comunicaciones y operaciones

24.06

40

100

33.5

4

Procedimientos operacionales y responsabilidades

1

Debe

Procedimientos de operación documentados

3.125

100

100

2

Debe

Control de cambios

3.125

100

100

3

Debe

Separación de funciones

3.125

80

80

4

Debe

Separación de las instalaciones de desarrollo y producción

3.125

80

80

3

A dministración de servicios de terceras partes

1

Puede

Entrega de servicios

3.12

100

2

Puede

Monitoreo y revisión de servicios de terceros

3.12

80

80

Manejo de cambios a servicios de terceros

3.12

80

80

3.125

100

100

3.125

100

100

3.13

50

3

Puede

2

Protección contra software malicioso y móvil

1

Debe

Controles contra software malicioso Controles contra código móvil

2

Debe

1

Copias de seguridad

1

Debe

12.5

11.25

9.38

8.13

6.25

100

6.25

3.13

1.57

Información de copias de seguridad

Administración de la seguridad en redes

1

Debe

Controles de redes

3.125

100

100

2

Debe

Seguridad de los servicios de red

3.125

100

100

PC

NC. C

Escala

4

100

100

Descripción

Orientación

Control de accesos

1

Requisitos de negocio para el control de acceso

6.25

50

2

25

11

3.76

PO

1

7

3

NC. D

Responsabilidad sobre los activos

Controles

2

Clasificación y control de activos

PD

3

Objetivos de Control

1

Descripción

Orientación

PD

NC. D

18.8

96.4

6.25

PO

NC. O

100 4

4

16

16

1

Debe

4

Administración de acceso de usuarios

Política de control de accesos

1

Debe

Registro de usuarios

4

100

100

2

Debe

 Administración de privilegios

4

100

100

3

Debe

 Administración de contraseñas

4

100

100

4

Debe

Revisión de los derechos de acceso de usuario

4

100

100

3

Responsabilidades de los usuarios

1

Debe

Uso de contraseñas

12

12 4

100

100

2

Puede

Equipos de cómputo de usuario desatendidos

4

100

100

Política de escritorios y pantallas limpias

4

100

100

3

Puede

7

Control de acceso a redes

1

Debe

Política de uso de los servicios de red

4

100

100

2

Puede

 Autenticación de usuarios para conexiones externas

4

100

100

3

Puede

Identificación de equipos en la red

4

100

100

4

Debe

 Administración remota y protección de puertos

4

100

100

5

Puede

Segmentación de redes

4

100

100

28

28

Dominios

Objetivos de Control

Controles

7

25

1

2

3

11

4

5

6

7

Dominios

Descripción

Orientación

Control de accesos

1

Requisitos de negocio para el control de acceso

PD

NC. D

18.8

96.4

PO

NC. O

PC

NC. C

Escala

4

100

100

100 4

4

16

16

1

Debe

4

Administración de acceso de usuarios

Política de control de accesos

1

Debe

Registro de usuarios

4

100

100

2

Debe

 Administración de privilegios

4

100

100

3

Debe

 Administración de contraseñas

4

100

100

4

Debe

Revisión de los derechos de acceso de usuario

4

100

100

3

Responsabilidades de los usuarios

1

Debe

Uso de contraseñas

12

12 4

100

100

2

Puede

Equipos de cómputo de usuario desatendidos

4

100

100

Política de escritorios y pantallas limpias

4

100

100

3

Puede

7

Control de acceso a redes

1

Debe

Política de uso de los servicios de red

4

100

100

2

Puede

 Autenticación de usuarios para conexiones externas

4

100

100

3

Puede

Identificación de equipos en la red

4

100

100

4

Debe

 Administración remota y protección de puertos

4

100

100

5

Puede

Segmentación de redes

4

100

100

6

Debe

Control de conexión a las redes

4

100

100

7

Debe

Control de enrutamiento en la red

4

100

100

28

24

28

6

Control de acceso al 2istema operativo

1

Debe

Procedimientos seguros de Log-on en el sistema

4

80

2

Debe

Identificación y autenticación de los usuarios

4

100

3

Debe

Sistema de administración de contraseñas

4

30

4

Puede

Uso de utilidades de sistema

4

100

100

5

Debe

Inactividad de la sesión

4

100

100

6

Puede

Limitación del tiempo de conexión

4

100

100

2

Control de acceso a las aplicaciones y la información

1

Puede

Restricción del acceso a la información

4

100

100

2

Puede

 Aislamiento de sistemas sensibles

4

100

100

2

Ordenadores portátiles y teletrabajo

1

Puede

Ordenadores portátiles y comunicaciones moviles

4

100

100

2

Puede

Teletrabajo

4

100

100

PC

NC. C

Escala

8

8

20.4 80 100

8

8

Objetivos de Control

Controles

2

5

Gestión de incidentes de la seguridad de la información

2

Notificando eventos de seguridad de la información y debilidades

1

Debe

Reportando eventos de seguridad de la información

20

100

100

2

20

100

100

3

Puede Reportando debilidades de seguridad Gestión de incidentes y mejoramiento de la seguridad de la información

1

Debe

Procedimientos y responsabilidades

20

100

100

2

Puede

Lecciones aprendidas

20

100

100

3

Debe

Recolección de evidencia

20

100

100

1 13

2

Descripción

Orientación

PD

NC. D

3.76

100

PO

NC. O

100 40

60

40

60

6

7

Dominios

6

Puede

Limitación del tiempo de conexión

4

100

100

2

Control de acceso a las aplicaciones y la información

1

Puede

2

Puede

Restricción del acceso a la información

4

100

100

 Aislamiento de sistemas sensibles

4

100

100

2

Ordenadores portátiles y teletrabajo

1

Puede

2

Puede

Ordenadores portátiles y comunicaciones moviles

4

100

100

Teletrabajo

4

100

100

PC

NC. C

Escala

8

8

8

8

Objetivos de Control

Controles

2

5

Gestión de incidentes de la seguridad de la información

2

Notificando eventos de seguridad de la información y debilidades

1

Debe

Reportando eventos de seguridad de la información

20

100

100

2

20

100

100

3

Puede Reportando debilidades de seguridad Gestión de incidentes y mejoramiento de la seguridad de la información

1

Debe

Procedimientos y responsabilidades

20

100

100

2

Puede

Lecciones aprendidas

20

100

100

3

Debe

Recolección de evidencia

20

100

100

1 13

2

Descripción

Orientación

PD

NC. D

3.76

100

PO

NC. O

100 40

60

40

60

BIBLIOGRAFÍA 

Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA ISO 27002. Recuperado de http://www.senasofiaplus.edu.co



Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de Gestión de Seguridad

de

la

Información

http://es.presidencia.gov.co

ISO/IEC

27001:2013.

Recuperado

de

BIBLIOGRAFÍA 

Servicio Nacional de Aprendizaje SENA. (2017). DESCRIPCION DE LA PLANTILLA ISO 27002. Recuperado de http://www.senasofiaplus.edu.co



Angarita, Juan; Alarcón, Juan. (2016). Informe de auditoría interna Sistema de Gestión de Seguridad

de

la

Información

http://es.presidencia.gov.co

ISO/IEC

27001:2013.

Recuperado

de

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF