Asignatura Datos del alumno Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1
Views 156 Downloads 0 File size 80KB
Asignatura
Datos del alumno
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1:2011 Gestión del Servicio
Fecha
Apellidos: Sotelo Puerto 03/06/2019
Nombre: Marlesby
Caso práctico Trabajo: KHC Abogados Antes de comenzar con la implantación y como responsable del Sistema, debes plantearte estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados? Cumplimenta la siguiente tabla.
¿Qué debe hacer KHC Abogados?
¿Qué NO debe hacer KHC Abogados? Principales errores
1.
Conseguir el apoyo de la Dirección de
1.
KHC Abogados
alcance
2. Establecer la trascendencia y límites del SGSI de la empresa de abogados,
3.
Fijar un SGSI que este fuera del y
posibilidades
de
KHC
a
una
Abogados. 2. Delegar
por
completo
su ubicación, la tecnología con que
consultoría externa el control del
cuenta.
sistema, o centrarlo totalmente en la
Redactar una política de SGSI,
organización ya que el seguimiento se
teniendo en cuenta que el sistema debe formar parte y estar integrado en los
procesos
de
gestión
de
puede volver insuficiente. 3. No realizar seguimiento al proceso de
la
organización.
la eliminación de la información 4. No capacitar al personal en SGSI
4. Capacitar al personal en SGSI
5. Ser reactivos únicamente.
5.
6. No comprender el problema y esperar
Publicar
todos
los
documentos
referentes a SGSI. 6. Ser proactivos ante cualquier riesgo o cambio que se pueda presentar en la Compañía
que no suceda nada 7.
Falta de Personal
8. Confiarse en barreras o con firewall y nada más. 9. Pensar que la seguridad únicamente se centra en productos y tecnología.
¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de riesgos?
TEMA 4 – Caso práctico
Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1:2011 Gestión del Servicio
-
Datos del alumno
Fecha
Apellidos: Sotelo Puerto Nombre: Marlesby
03/06/2019
Tendrá que definir y desarrollar un proceso de apreciación de riesgos de seguridad de la información donde se recojan los ítems para identificar los riesgos de la información.
-
Es necesario identificar los riesgos vinculados a la perdida de confidencialidad, integridad y disponibilidad de la información.
-
Es necesario asociar un dueño con el riesgo
-
Los riesgos deben ser evaluados teniendo en cuenta las consecuencias
y la
probabilidad de ocurrencia. -
Una vez detectados y evaluados los riesgos, es vital priorizar el tratamiento de cada uno de ellos. Como Obligación de acuerdo a la noma es necesario establecer una mecánica para para identificar, analizar y valorar los riesgos: -Establecer los activos empleados, identificando los propietarios de estos activos. -Identificar las amenazas a las que se ven expuestos. -Identificar cual serían los impactos sobre esos activos, la perdida de confidencialidad, integridad y disponibilidad. -Así mismo establecer los efectos en la Empresa KHC Abogados ocasionados por la pérdida de confidencialidad, integridad y disponibilidad de sus activos. -Determinar la probabilidad de la materialización de dichos riesgos, sus impactos y controles.
¿Qué información documentada derivaría de la implantación del SGSI en base a la Norma ISO/IEC 27001? La norma establece los siguientes documentos como fruto de la implantación de un SGSI : -
Proceso de apreciación y tratamiento de riesgos de seguridad de la información
-
Metas de seguridad de la información
-
Competencia de los integrantes de la organización
-
Planificación, implementación y control de los procesos
-
Resultados de la categorización y control de los riesgos de seguridad de la información
-
Resultados del seguimiento, medición, análisis y mejora.
-
Resultado de la auditoria interna.
-
Implementación del Programa de auditoria
-
Resultado de las revisiones por la dirección
-
No conformidades.
TEMA 4 – Caso práctico
Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1:2011 Gestión del Servicio
-
Datos del alumno
Fecha
Apellidos: Sotelo Puerto Nombre: Marlesby
03/06/2019
Resultados de acciones correctivas.
La empresa KHC Abogados realizara toda la documentación requerida para garantizar el funcionamiento efectivo del sistema, de igual forma controlara cualquier documento externo que sea necesario para llevar a cabo el SGSI. ¿Qué política seguirías para controlar los accesos externos a la red interna? Actualmente las empresas cuentan con una infraestructura que las protegen de las amenazas externas, la visión se enfoca en controlar los accesos internos como externos, en primera instancia habría que concientizar tanto a los actores internos como externos de la organización de la importancia de estos controles en pro de la protección de la información, ya que cada vez se hace más necesario. Algunos podrían ser -
Autenticación fuerte en los accesos
-
Protección de los Elementos Wireless
-
Control de acceso a redes
-
Protección de los canales de comunicación utilizando cifrado de datos.
-
Revisar periódicamente los equipos y las posibles amenazas para poder identificarlas e impedir ingresos al sistema
-
Fijar protocolos seguros para usuarios remotos
-
Instalar un sistema que limite las veces en las que se puede introducir una contraseña errónea.
BIBLIOGRAFIA
-
Zubieta Guillén, J., (2016). Capítulo 4. Sistemas de gestión I+D+i. En UNIR, Gestión de I+D+i; Gestión de la seguridad de la Información ISO 27000 y 27001; ISO 200001:2011 Gestión del Servicio (pp. 70-87). Universidad Internacional de la Rioja
-
Norma ISO/IEC 27001. Tecnología De La Información. Técnicas De Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
TEMA 4 – Caso práctico