Plan de Mejora Norma Iso 27002 (1)
Short Description
Descripción: redes...
Description
PLAN DE MEJORA ALCALDIA SAN ANTONIO DEL SENA NORMA ISO27002
ANDRES FERNANDO JAIMES FABIO ANDRES LIZARAZO CARLOS ANTONIO RAMIREZ
SERVICIO NACIONAL DE APRENDIZAJE- SENA (CASA) ESPECIALIZACION TECNOLOGICA EN GESTION Y SEGURIDAD DE BASES DE DATOS FICHA 1130488 PIEDECUESTA 2016
PLAN DE MEJORAMIENTO DE LA ALCALDIA SAN ANTONIO DOMINIOS POLITICA DE SEGURIDAD
La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes. La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad Se implantara capacitaciones semanales acerca de la política de seguridad de la alcaldía para que cada funcionario sepa las funciones a realizar sobre su cargo actual con su respectiva auditoria personalizada para llevar un buen control sobre la norma ISO 27002. Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.
ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD En esta área encontramos un porcentaje bastante bajo con un promedio bajo.
La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la seguridad de la información. Las actividades de seguridad de la información deben ser coordinadas por representantes de las diferentes partes de la organización con las funciones y roles laborales relevantes. Se deben definir claramente las responsabilidades de la seguridad de la información. Se debe definir e implementar un proceso de autorización gerencial para los nuevos medios de procesamiento de información. Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-divulgación reflejando las necesidades de la organización para la protección de la información. Donde la alcaldía san Antonio ha descuidado sobre la estructura de la seguridad ISO 27002. En esta área si es necesario buscar personas capacitadas o capacitarlas para tener a cargo y estar al frente de esas funciones y responsabilidades a
la hora de hablar y coordinar sobre la seguridad de la información para llevar a cabo la norma ISO 27002. También una persona encargada para autorizar y llevar el control sobre las instalaciones de procesamiento de la información, identificando los riesgos para acceso de terceras partes. Para formar un comité y tomar decisiones, acuerdos sobre los temas de seguridad siempre buscando cumplir las normas ISO 27002.
CLASIFICACION Y CONTROL DE ACTIVOS En esta área encontramos bastante descuido con un promedio bajo.
Mirando la parte de control de activos (inventario) vemos que falta mucha organización y mejoras en la parte de tecnología Implantaría un área de mantenimiento preventivo y correctivo con el fin de estar más pendiente de cada equipo que se encuentre en la alcaldía San Antonio más que todo por la información que se encuentra en cada disco duro todo llevándolo a cabo con la norma ISO 27002 sobre todo también llevar un control de cada dispositivo como por ejemplo memoria RAM, procesador, discos duro con su respectivo código de seguridad que se identifique que sea de la alcaldía san Antonio. Vemos que está muy descuidada con esos dispositivos que son obsoletos para las funciones que requiere la alcaldía por eso le queremos implantar esa área de mantenimiento preventivo y correctivo.
SEGURIDAD EN EL PERSONAL En esta área encontramos una escala visual baja. Mirando la parte de seguridad en el personal implantaremos la norma ISO 27002.
Donde implantaremos la política de seguridad que incluya un marco general y los objetivos de la organización que este alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y se a aprobada por la Alcaldía san Antonio. Definir el enfoque de evaluación de riesgos del personal. Definir una metodología de evaluación apropiada de SGSI y las necesidades de la organización existen muchas metodologías que podemos implantar a la alcaldía San Antonio puede optar por una de ellas podemos unir varias o crear una respectivamente para organización. Sabemos que el riesgo nunca es eliminable y por eso tenemos que tener una metodología o estrategia para prevenirla que es lo máximo que podemos hacer con sus respectivas normas de la ISO 27002.
SEGURIDAD FISICA Y DEL ENTORNO
En esta área encontramos un nivel de seguridad medio, para mejorar la seguridad física de vemos tener estos elementos (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) para proteger la información, Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado. Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, disturbios civiles y otras formas de desastre natural o creado por el hombre. Brindar una mayor seguridad para Evitar la pérdida, daño, robo o puesta en peligro de los activos e interrupción de las actividades de la organización.
GESTION DE COMUNICACIÓN Y OPERACIONES
Los procedimientos de operación se deben documentar, mantener y estar disponibles para todos los usuarios que los necesiten. Mejorar la organización física de las instalaciones y demás procesos independientes. Desarrollar la política para el manejo de la información interna y los canales de trabajo para el manejo de email o medios físicos como CD, USB u otros dispositivos, así como también archivos en la nube. Ajustar las políticas del manual de seguridad para el comercio y transacciones en línea. Aprovechar la información de los log como lecciones aprendidas almacenando y protegiendo los casos dados.
CONTROL DE ACCESOS
Se debe establecer, documentar y revisar la política de control de acceso con base a los requisitos del negocio y de la seguridad para el acceso. La asignación de contraseñas se debe controlar a través de un proceso formal de gestión. Se debe restringir y controlar la asignación y uso de privilegios. Debe existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información. Mejorar la organización física de las instalaciones y demás procesos independientes.
Se debe restringir el acceso a la información y las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida en el control de acceso. Orientar los contenidos de los equipos a la identidad de la alcaldía. Se debe exigir a los usuarios el cumplimiento de buenas prácticas de seguridad en la selección y el uso de contraseñas. Los usuarios solo deben tener acceso a los servicios para cuyo uso están específicamente autorizados. Se deben emplear métodos adecuados de autenticación para controlar el acceso de usuarios remotos. Definir el teletrabajo como una solución a los incidentes de la alcaldía.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Se deben validar los datos de entrada a las aplicaciones para asegurar que dichos datos son correctos y apropiados. Se debe implementar un sistema de gestión de llaves para apoyar el uso de las técnicas criptográficas por parte de la alcaldía. Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. Se deben incorporar verificaciones de validación en las aplicaciones para detectar cualquier corrupción de la información por errores de procesamiento o actos deliberados. Se deben incorporar verificaciones de validación en las aplicaciones para detectar cualquier corrupción de la información por errores de procesamiento o actos deliberados. Se debe restringir el acceso al código fuente de los programas.
GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION
Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios. Los eventos de seguridad de la información se deben informar atreves de los canales de gestión apropiados tan pronto como sea posible. Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios.
Se deben establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información. Deben existir mecanismos que permitan cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información.
GESTION DE LA CONTINUIDAD DEL NEGOCIO
Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio en toda la organización el cual trate los requisitos de seguridad de la información necesarios para la continuidad del negocio de la organización. Se debe identificar los eventos que puedan ocasionar interrupciones en los procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información. Se deben desarrollar e implementar planes para mantener o recuperar las operaciones y asegurar la disponibilidad de la información en el grado y la escala de tiempo requerido, después de la interrupción o la falla de los procesos críticos para el negocio. Se debe mantener una sola estructura de los planes de continuidad del negocio, para asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad de la información de forma consistente, así como identificar las prioridades para pruebas y mantenimiento. Los planes de continuidad del negocio se deben someter a pruebas y revisiones periódicas para asegurar su actualización y su eficacia.
CUMPLIMIENTO
Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, así como el enfoque de la organización para cumplir estos requisitos se deben definir explícitamente, documentar y mantener actualizados para cada sistema de información y para la organización. Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados. Los registros importantes se deben proteger contra perdida, destrucción y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio.
Dominio s
Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes, si se aplica, con las cláusulas del contrato. Los directores deben garantizar que todos los procedimientos de seguridad dentro de sus áreas de responsabilidad se llevan a cabo correctamente para lograr los cumplimientos con las políticas y las normas de seguridad.
Objetivos de Control
Control es
1
2 2
5
1
1 2
2
11 8 1 2
1
3 4 5 6 7
6
8 3 2
1 2
Dominio Objetivos s de Control 2 1 7 2
3 Control es
3 1
Descripción Política de Seguridad
Política de Seguridad de la Información Documento de la política de Debe seguridad de la información Revisión de la política de Debe seguridad de la información Estructura organizativa para la seguridad
PD 1,5
% de cumplimiento de la norma NC. NC. NC. Escal PO PC D O C a 100
8,27
45,4 6
27,2 7
NC. D
3,76
64
PO
60
2 1
Clasificación de la información Debe Guías de clasificación Etiquetado y manejo de la Debe información
40
3
Antes del empleo
1 2
Debe Debe
Roles y responsabilidades Verificación
60
60
50
60
60
9,09
60
60
9,09
60
60
9,09
60
60
9,09 9,09 9,09 9,09
40 40 40 40
40 40 40 40
9,09
20
20
9,09
20
20
9,09
60
60
32,7 3
12,7 3
6,77
NC. O
PC
60 60 NC. Escal C a
100
Clasificación y control de activos Responsabilidad sobre los activos Debe Inventario de activos Debe Propietario de activos Debe Uso aceptable de los activos
Seguridad en el personal
50
9,09 PD
3 1 2 3
9
60
100 72,7 3
Organización Interna Comité de la dirección sobre Debe seguridad de la información Coordinación de la seguridad de Debe la información Asignación de responsabilidades para la de seguridad de la Debe información Proceso de autorización para instalaciones de procesamiento Debe de información Debe Acuerdos de confidencialidad Puede Contacto con autoridades Puede Contacto con grupos de interés Revisión independiente de la Puede seguridad de la información Terceras partes Identificación de riesgos por el Debe acceso de terceras partes Temas de seguridad a tratar con Debe clientes Temas de seguridad en Debe acuerdos con terceras partes Orientaci Descripción ón
100
60
5
2 8
Orientaci ón
44 20 20 20
80 70 70
80 70 70
20
50
50
20
50
50
11,1 1 11,1 1
70 70
70 70
20
100
63,3 33,3 3
23,3 3
3 3 2
2
Durante el empleo Responsabilidades de la Debe gerencia Educación y formación en Debe seguridad de la información
3
Debe
1
3 3
Dominio s
Objetivos de Control 2
1 2
Debe
3 Control es
3 4 5 6
9
7
2
3
Debe
3 1 2 2 3 2
33,3 3
PD 9,77
60
PO
53,8 5
NC. O
24,0 6
70
70
70
50
50
50
50
50
50
70 70 NC. Escal C a
30 7,69 7,69
60 60
60 60
7,69
60
60
7,69 7,69
70 70
70 70
7,69
70
70
7,69 7,69 7,69 7,69
70 70 60 70
70 70 60 70
7,69
40
40
30
PO
NC. O
PC
40 40 40 40 NC. Escal C a
100
52,2 12,5
7,5 3,12 5 3,12 5 3,12 5 3,12 5
Control de cambios
Separación de funciones Separación de las instalaciones Debe de desarrollo y producción Administración de servicios de terceras partes Puede Entrega de servicios Monitoreo y revisión de Puede servicios de terceros Manejo de cambios a servicios Puede de terceros Planificación y aceptación del sistema
PC
7,69 7,69 NC. D
70
100 46,1 5
PD
70
18,8 9 11,1 1 11,1 1 11,1 1
NC. D
70
21,1 1 11,1 1 11,1 1 11,1 1
Áreas Seguras Debe Perímetro de seguridad física Debe Controles de acceso físico Seguridad de oficinas, recintos Debe e instalaciones Protección contra amenazas Debe externas y ambientales Debe Trabajo de áreas seguras Áreas de carga, entrega y áreas Puede públicas
Debe
32
4
3
Seguridad fisica y del entorno
2
6 7 Control es
4
1
Descripción
1
1 2 3 4
33,3 3
Devolución de activos Eliminación de privilegios de acceso
Seguridad de los Equipos Ubicación y protección del Debe equipo Debe Herramientas de soporte Debe Seguridad del cableado Debe Mantenimiento de equipos Seguridad del equipamiento Debe fuera de las instalaciones Seguridad en la reutilización o Debe eliminación de equipos Debe Movimientos de equipos Orientaci Descripción ón Gestión de comunicaciones y operaciones Procedimientos operacionales y responsabilidades Procedimientos de operación Debe documentados
5
Dominio Objetivos s de Control 10 10
Debe Orientaci ón
13
11,1 1
Procesos disciplinarios
Terminación o cambio del empleo Responsabilidades en la Debe terminación
6 1 2 1
Términos y condiciones de empleo
Debe
9,38
6,25
70
70
60
60
70
70
40
40
3,12
60
60
3,12
60
60
3,12
60
60
5,63
4,38
Debe
2
1
Debe Aceptación del sistema Protección contra software malicioso y móvil Controles contra software Debe malicioso
2
Debe
1
3,13
2,19
1
Copias de seguridad Información de copias de Debe seguridad
2
Administración de la seguridad en redes
6,25
5
1
Debe
2
Debe
4 1
Manejo de medios de soporte Administración de los medios de Debe computación removibles
2
Debe
3
Debe
4
Debe
2 4
5
6
7
5
8
9
10
Dominio Objetivos s de Control 11 7 1
3,12 5 3,12 5
1
Planificación de la capacidad
3,13 3,12 5 3,12 5
Controles de redes Seguridad de los servicios de red
3,12 5 3,12 5 3,12 5 3,12 5
2
Puede
Acuerdos de intercambio
3
Puede
Medios físicos en transito
4
Puede
Mensajes electrónicos Sistemas de información del negocio
5
Puede
3
Servicios de comercio electronico
1
Puede
Comercio electronico
2
Puede
3
Puede
Transacciones en línea Información públicamente disponible
6
Monitoreo y supervisión
1
Debe
Logs de auditoria
2
Debe
Monitoreo de uso de sistema
3
Debe
4
Debe
Protección de los logs Registro de actividades de administrador y operador del sistema
5
Debe
Fallas de login
Puede Orientaci ón
Sincronización del reloj
Descripción
Control de accesos Requisitos de negocio para el control de
15,6 3
3,12 6 3,12 6 3,12 6 NC. D
18,8
59,2
PO
NC. O
100 4
80
70
70
70
70
80
80
80
80
70
70
70
70
60
60
60
60
50
50
50
50
50
50
50
50
50
50
40
40
40
40
40
40
10
10
50
50
10
10
10
10
10
10
3,13 3,12 6 3,12 6 3,12 6
PD
80
3,75 3,12 6 3,12 6 3,12 6
18,7 5
70
7,82 3,12 6 3,12 6 3,12 6 3,12 6 3,12 6
9,38
70
8,13
Eliminación de medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema
1
25 1
3,12 5 3,12 5
12,5
70
4,69
Controles contra código móvil
Intercambio de información Políticas y procedimientos para Debe el intercambio de información
6 Control es
6,25
70
2,8
PC
10 10 NC. Escal C a
acceso
2
1
Debe
4 1 2 3
Administración de acceso de usuarios Debe Registro de usuarios Debe Administración de privilegios Debe Administración de contraseñas Revisión de los derechos de Debe acceso de usuario
16
Responsabilidades de los usuarios Debe Uso de contraseñas Equipos de cómputo de usuario Puede desatendidos Política de escritorios y Puede pantallas limpias
12
Control de acceso a redes Política de uso de los servicios Debe de red Autenticación de usuarios para Puede conexiones externas Identificación de equipos en la Puede red Administración remota y Debe protección de puertos Puede Segmentación de redes Debe Control de conexión a las redes Control de enrutamiento en la Debe red
28
Control de acceso al sistema operativo Procedimientos seguros de LogDebe on en el sistema Identificación y autenticación de Debe los usuarios Sistema de administración de Debe contraseñas Puede Uso de utilidades de sistema Debe Inactividad de la sesión Limitación del tiempo de Puede conexión Control de acceso a las aplicaciones y la información Restricción del acceso a la Puede información Aislamiento de sistemas Puede sensibles
24
4 3 1 3
2 3 7 1 2
4
3 4 5 6 7 6 1
5
2 3 4 5 6 2
6
1 2 2
7 Dominio s 12
Objetivos de Control 6 1
1 2 Control es 16 1 1
2 4 1 2 3 4
Política de control de accesos
Ordenadores portátiles y teletrabajo Ordenadores portátiles y Puede comunicaciones moviles Puede Teletrabajo Orientaci Descripción ón Desarrollo y mantenimiento de sistemas Requerimientos de seguridad de sistemas de información Análisis y especificaciones de Debe los requerimientos de seguridad Procesamiento adecuado en aplicaciones Validación de los datos de Debe entrada Controles de procesamiento Puede interno Puede Integridad de mensajes Puede Validación de los datos de salida
8
8
PD 12,0 3
NC. D 59,3 9
PO
4
70
4 4 4
70 70 70
4
70
4
60
4
50
4
50
4
70
4
50
4
60
4 4 4
60 60 60
4
60
4
10
4
60
4 4 4
60 60 60
4
60
4
70
4
70
4 4
60 40 NC. C
Escal a
6,25
60
60
6,25
60
60
6,25 6,25 6,25
70 70 70
70 70 70
11,2
6,4
16,8
12,4
5,6
4
NC. O
PC
100 6,25
3,75
25
16,8 8
2 3
1 2 3 1
4 2 3 5 1 5
2 3 4 5
6 Dominio Objetivos s de Control 2
1 1 Control es 5 2
1 13
1 2 3
2
1
1 2 3 5
Gestión de vulnerabilidades técnicas Control de vulnerabilidades Debe técnicas Orientaci Descripción ón Gestión de incidentes de la seguridad de la información Notificando eventos de seguridad de la información y debilidades Reportando eventos de Debe seguridad de la información Reportando debilidades de Puede seguridad Gestión de incidentes y mejoramiento de la seguridad de la información Procedimientos y Debe responsabilidades Puede Lecciones aprendidas Debe Recolección de evidencia
31,2 5
PD 3,76
60
6
Cumplimiento con los requisitos legales Identificación de la legislación Debe aplicable Debe Derechos de propiedad
5 Control es
1 2
30 30
30 30
6,25
70
70
6,25
60
60
6,25
60
60
6,25
60
60
6,25
60
60
6,25 6,25 6,25
60 60 60
60 60 60
18,7 5
4,38
PO
NC. O
PC
24 20
60
60
20
60
60
20 20 20
70 70 40
70 70 40
20
60
60
20
70
70
20
70
70
20
70
70
36
100
68 100
68
20 PD
NC. D 63,3 3
70 70 NC. Escal C a
100
60
7,52
4
6,25 6,25 11,8 8
6,25
40
Cumplimiento
3
3,75
100 NC. D
10
2 1
1
18,7 5
Seguridad de los archivos del sistema Debe Control del software operacional Protección de los datos de Puede prueba del sistema Control de acceso al código Debe fuente de las aplicaciones Seguridad en los procesos de desarrollo y soporte Procedimientos de control de Debe cambios Revisión técnica de los cambios Debe en el sistema operativo Restricciones en los cambio a Puede los paquetes de software Debe Fugas de información Debe Desarrollo externo de software
3,76
1
Dominio Objetivos s de Control 15 3
12,5
Gestión de la continuidad del negocio Aspectos de seguridad de la información en la gestión de continuidad del negocio Inclusión de seguridad de la información en el proceso de gestión de la continuidad del Debe negocio Continuidad del negocio y Debe análisis del riesgo Desarrollo e implementación de planes de continuidad incluyendo seguridad de la Debe información Marco para la planeación de la Debe continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de Debe continuidad del negocio Orientaci Descripción ón
5
14
Controles criptográficos Política de utilización de Puede controles criptográficos Puede Administración de llaves
PO
NC. O
PC
70 70 NC. Escal C a
100 60
22 10 10
30 30
30 30
3 4 5 6 2 2
1 2 2
3
1 2
intelectual (dpi) Protección de los registros de la Debe organización Protección de datos y privacidad Debe de la información personal Prevención del uso inadecuado de los recursos de Debe procesamiento de información Regulación de controles para el Debe uso de criptografía Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico Cumplimiento con las políticas y Debe procedimientos Verificación de la cumplimiento Debe técnico Consideraciones de la auditoria de sistemas de información Controles de auditoria a los Debe sistemas de información Protección de las herramientas Debe de auditoria de sistemas
20
20
10
50
50
10
30
30
10
70
70
10
10
10
10
60
60
10
60
60
10
10
10
10
10
10
12
2
View more...
Comments
