Plan de Mejora de Seguridad

Actividad AA1-5: Aplicación de la norma ISO 27002 Especialización en Gestión y Seguridad en Base de Datos. Cód.: 3839909 Nombre: Jose Cuadrado

Norma ISO 27002 El Objetivo de esta actividad es realizar un estudio a la Empre sa Restitución de Tierras identificando el cumplimiento de los criterios establecidos en la norma ISO 27002 y el desarrollo de un plan de mejora de seguridad para la empresa. La norma ISO 27002 es un estándar para la seguridad de la información que proporciona diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables para iniciar, implementar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad, integridad y disponibilidad. En este sentido, la empresa seleccionada reconoce la información, como uno de los activos más importantes para lograr su objetivo fundamental como entidad pública prestadora de servicios; es por eso que se compromete a disponer los recursos tanto físicos, tecnológicos, financieros informáticos, de conocimiento y humanos para liderar y fortalecer la seguridad y privacidad de la información a través de la creac ión, puesta en operación y mejora c ontinua de un sistema de gestión de seguridad de la información (SGSI); cuyo fin es el aseguramiento de la integridad, disponibilidad y confidencialidad de la información mediante su acceso, uso y apropiación, dispuesto a contribuir a la cultura de seguridad de la información. Los objetivos de la seguridad de la información, entre otros son: 

Proteger los activos de información de la empresa y la tecnología utilizada para su procesamiento, frente amenazas



Establecer políticas, lineamientos, procedimientos e instructivos en materia de seguridad de la información.



Minimizar el riesgo de los procesos de la empresa.



Fortalecer la cultura de seguridad de la información entre todos los integrantes de la empresa y terceros



Garantizar la continuidad de la empresa frente a incidentes y eventos destructivos

Dentro del compendio de las políticas de seguridad de la información de la empresa, se establece un comité de seguridad y privacidad de la información, responsable de orientar la implementación de la Estrategia de Gobierno en Línea. Las funciones de este comité, entre otras son las siguientes: 

Coordinar la implementación del Modelo de Seguridad y Privacidad de la información



Revisar los diagnósticos del estado de la seguridad de la información.



Acompañar e impulsar el desarrollo de proyectos de segur idad.



Coordinar y dirigir acciones específicas que ayuden a proveer un ambiente seguro y establecer los recursos de información que sean consistentes con las metas y objetivos de la empresa.

Las políticas de seguridad de la información se encuentran soportada en el documento C ompendio de políticas complementarias de seguridad y privacidad de la información, en donde se encuentran definido las políticas, lineamientos y procedimientos, los cuales guían el SGSI, enmarcados en la clasificación de los activos de información de acuerdo a la criticidad, sensibilidad y reserva de la misma con base a los lineamientos dados frente a la clasificación de la información, como también en la protección de la información a la que se tiene acceso cada integrante de la empresa y la gestión de los activos de información para establecer los límites y procedimientos frente a la identificación, uso, administración y responsabilidades. re sponsabilidades. El comité de seguridad establece los perímetros de seguridad y las áreas protegidas que facilita la implementación de controles de protección para el procesamiento de información crítica o sensible de la empresa, contra accesos físicos no autorizados. Este organismo debe establecer criterios más estrictos para los mantenimientos de los equipos de seguridad y el movimiento de los mismos, aunque los lineamientos actuales son aceptables, es necesario priorizar y dar cumplimiento a lo dispuesto en la contratación de mantenimiento y seguridad de los equipos; una opción sería contratación de personal calificado para esta tarea. Implementar controles de acceso a los activos de información, con el fin de otorgar acceso solo por personas y medios autorizados, es otro de los puntos clave dentro del compendio de políticas de seguridad de la información impartida en la empresa, por tanto, se determinan los mecanismos de protección, los límites y procedimientos frente a la administración y responsabilidad, relacionados con los accesos a la información, sin importar si estos sean electrónicos o físicos. En este sentido, la cultura en cuanto al cumplimento de las políticas se debe prestar mu cha atención por parte de los integrantes de la e mpresa, seguir las recomendaciones del comité de seguridad de la información y cumplir las políticas y lineamientos en cuento al manejo y administración de los recursos y activos de información. Las políticas del manejo de escritorios y pantallas limpios se debe crear conciencia y cultura al cambio y establecer pautas para su cumplimiento. En términos generales la empresa cumple con los criterios y objetivos de la Norma ISO 27002, se debe mejorar en cuanto al mantenimiento de los equipos de seguridad y establecer criterios más adaptables para la cultura al cambio y cumplimiento de las políticas de seguridad como se mencionó en el desarrollo del informe.