DISEÑO Y ADMINISTRACIÓN DE UNA BASE DE DATOS PARA UNA

ALCALDÍA.

AA1-EV5 - APLICACIÓN DE LA NORMA ISO 27002

HERNAN MAURICIO PEÑA ERASO

JHON FREDY ORDOÑEZ

SERVICIO NACIONAL DE APRENDIZAJE “SENA”

ESPECIALIZACION TECNOLOGICA EN GETIÓN Y SEGURIDAD DE BASES

DE DATOS

2018
 INTRODUCCIÓN

En el presente documento se realiza la elaboración de un plan de mejora en seguridad de la

información a una empresa dedicada al sector de la construcción de obra civil. Este plan de
mejora está soportado en la auditoria que se realizó previamente y donde se pudo obtener
un punto de partida para poder evidenciar que algunos dominios no cumplen plenamente
con los requerimientos de la norma ISO 27002.
 HALLAZGOS

Dominio Escala de cumplimiento

Política de Seguridad 25 Bajo
Estructura organizativa para la
seguridad 35 Medio
clasificación y control de activos 48 Medio
seguridad en el personal 36 Medio
seguridad física y del entorno 58 Medio
gestión de comunicaciones y
operaciones 42 Medio
control de accesos 54 Medio
desarrollo y mantenimiento de
sistemas 37 Medio
gestión de incidentes de la seguridad
de la información 31 Medio
gestión de la continuidad del negocio 29 Bajo
Cumplimiento 31 Medio

POLITICAS DE SEGURIDAD

Actualmente, no existe ningún documento identificable con una política de seguridad

actualizada y completa en la organización, ni tampoco al alcance y conocimiento de todos
los empleados de esta misma. Por este motivo, uno de los objetivos principales, es la
creación de una política de seguridad bien definida y actualizada, con el fin de tener
implicada a toda la organización en temas de seguridad de la información. La política de
seguridad es un documento donde se especifican unas pautas a seguir por la organización
con el objetivo de proteger los activos que hacen posible llevar a cabo la actividad y
servicios de la organización. Por este motivo, es importante que la organización establezca
procedimientos para preservar la confidencialidad, integridad y disponibilidad de los datos,
especialmente en las áreas más críticas para la actividad de la misma, tal como se especifica
en el alcance del Plan Director, especificado en puntos anteriores. Por otro lado, en este
documento de seguridad, debería establecerse las pautas de seguridad adecuadas para que el
personal de la organización se sensibilice con estas buenas prácticas y sea un activo
importante en lo que la seguridad de los activos críticos se refiere. La política de seguridad
deberá someterse a revisión para reflejar los diferentes cambios que puedan surgir, como
por ejemplo de activos, procedimientos, de carácter legislativo, etc. Con el fin de adecuarse
a los cambios que van surgiendo en el conjunto de la organización y su actividad y por
ende, pueda seguir manteniendo un nivel de seguridad aceptable sobre los activos que dan
sentido al servicio ofrecido. Esta política de seguridad debería aplicarse y ponerse al
alcance de todo el personal de la organización a corto plazo, con el objetivo de aplicar las
mejoras pertinentes en toda la organización tal como se especifique. Posteriormente debería
someterse a revisión por parte de la gerencia y responsables, de manera permanente, para
reflejar los cambios en la organización.

GESTIÓN EN LA CONTINUIDAD DEL NEGOCIO

Continuidad del negocio y evaluaciones de riesgos

Se deberían identificar los eventos que pueden ocasionar interrupciones en los procesos del
negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus
consecuencias para la seguridad de la información. Guía de implementación Los aspectos
de seguridad de la información en la continuidad del negocio se deberían basar en la
identificación de los eventos (o secuencia de eventos) que pueden causar interrupciones en
los procesos del negocio de la organización, por ejemplo fallas de los equipos, errores
humanos, robo, desastres naturales y actos terroristas. Se debería continuar con una
evaluación de riesgos para determinar la probabilidad y el impacto de tales interrupciones,
en términos de tiempo, escala de daño y periodo de recuperación.

Participación de los dueños de los recursos y los procesos del negocio. Estas evaluaciones
deberían considerar todos los procesos del negocio sin limitarse a los servicios de
procesamiento de información, sino incluir los resultados específicos para la seguridad de
la información. Es importante vincular en conjunto todos los aspectos del riesgo para
obtener un panorama completo de los requisitos de continuidad del negocio de la
organización. La evaluación debería identificar, cuantificar y priorizar los riesgos frente a
los criterios y los objetivos pertinentes para la organización, incluyendo los recursos
críticos, impactos de las interrupciones, duración permitida de corte y prioridades de
recuperación. Dependiendo de los resultados de la evaluación de riesgos, se debería
desarrollar una estrategia de continuidad del negocio para determinar el enfoque global para
la continuidad del negocio. Una vez se ha creado esta estrategia, la dirección debería
aprobarla y se debería crear y respaldar un plan para la implementación de esta estrategia
Marco para la planeación de la continuidad del negocio

Se debería mantener una sola estructura de los planes de continuidad del negocio, para
asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad
dela información de forma consistente, así como identificar las prioridades para pruebas y
mantenimiento.
Guía de implementación
Cada plan de continuidad del negocio debería describir el enfoque para la continuidad, por
ejemplo el enfoque para garantizar la disponibilidad y seguridad de la información o del
sistema de información. Igualmente, cada plan debería especificar el plan de escalada y las
condiciones para su activación, así como las personas responsables de ejecutar cada
componente del plan.
Cuando se identifican nuevos requisitos, todos los procedimientos de emergencia
existentes, por ejemplo planes de evacuación o disposiciones de respaldo, se deberían
modificar apropiadamente. Los procedimientos se deberían incluir en el programa de
gestión de cambios de la organización para garantizar el tratamiento adecuado de los
aspectos de la continuidad el negocio.
Cada plan debería tener un dueño específico. Los procedimientos de emergencia, los planes
de recursos de emergencia manuales y de reanudación deberían ser responsabilidad de los
dueños de los recursos o procesos apropiados del negocio involucrados. Las disposiciones
de respaldo para los servicios técnicos alternos, como servicios de procesamiento de
información y comunicaciones, usualmente deberían ser responsabilidad de los proveedores
del servicio.
Una estructura para la planificación de la continuidad del negocio debería abordar los
requisitos de seguridad de la información identificados y considera los siguientes aspectos:
a) Las condiciones para la activación de los planes que describen el proceso a seguir (por
ejemplo, la forma de evaluar la situación y quién se va a involucrar) antes de activar cada
plan.
b) Los procedimientos de emergencia que describen las acciones por realizar tras un
incidente que ponga en peligro las operaciones del negocio;
c) Los procedimientos de respaldo que describen las acciones por realizar para desplazar las
actividades esenciales del negocio o los servicios de soporte a lugares temporales alternos y
para devolver la operatividad de los procesos del negocio en los plazos requeridos.
d) Los procedimientos operativos temporales por seguir mientras se terminan la
recuperación y la restauración;
e) los procedimientos de reanudación que describen las acciones por realizar para que las
operaciones del negocio vuelvan a la normalidad;
f) una programación de mantenimiento que especifique cómo y cuándo se realizarán
pruebas al plan y el proceso para el mantenimiento del plan.
g) actividades de concientización, educación y formación diseñadas para comprender los
procesos de continuidad del negocio y garantizar que los procesos siguen siendo eficaces.
h) las responsabilidades de las personas, que describan quién es responsable de la ejecución
de cada componente del plan. Si se requiere, se deberían nombrar suplentes;
i) los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia,
respaldo y reanudación.