• Author / Uploaded
• Dany Abad

Citation preview

Asignatura

Datos del alumno

Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2018

Fecha

Apellidos: Durazno Coronel Nombre: Alexander David

31/05/2020

Trabajo: KHC Abogados Antes de comenzar con la implantación y como responsable del Sistema, debes plantearte estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados? Cumplimenta la siguiente tabla. ¿Qué debe hacer KHC Abogados?

¿Qué NO debe hacer KHC Abogados? Principales errores

-

La alta dirección debe establecer una

-

política de seguridad de la información. -

La

alta

liderazgo

dirección y

debe

compromiso

en el producto y la tecnología.

demostrar según

roles

pertinentes

a

la

-

seguridad

en seguridad de la información. -

Solo establecer acciones preventivas.

La organización debe aplicar un proceso

-

Diseñar un SGSI que se encuentre sobre las necesidades de la organización.

-

los miembros de la organización para

cuestiones internas y externas que afecten

proceder con el sistema. -

El sistema implementado no tendrá

propuestos del sistema de gestión de

exitoso si solo está dirigido a la obtención

seguridad de la información.

de una acreditación o certificación oficial.

Establecer mecanismos de acuerdo a las

-

partes interesadas.

-

No brindar las capacitaciones adecuadas a

La organización debe determinar las la capacidad de alcanzar los objetivos

-

No disponer de personal con experiencia

designados en la organización.

la información.

-

No prestar atención a la evaluación de riesgos.

de apreciación de riesgo de seguridad de -

Procesos improvisados para alcanzar el producto deseado.

La alta dirección debe asegurarse de que se cumplan las responsabilidades y los

-

-

lo

establecido en el sistema de información. -

Suponer que la seguridad está basada solo

Establecer

límites

Encargar completamente el sistema a una consultora externa.

y

determinar

la

-

La organización no se puede encargar de

aplicabilidad del sistema junto con su

todo el proceso debido a que provoca que

alcance.

las evaluaciones y controles internos sean

Capacitar a todo el personal de la

insuficientes.

organización en el tema sobre el SGSI. -

Documentar requisitos normativos.

¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de riesgos?

TEMA 4 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Durazno Coronel

Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2018

31/05/2020

Nombre: Alexander David

1. Identificar los activos de la organización ( responsables y todo aquello que tiene valor para la organización) 2. Identificar los propietarios de los activos (incluyendo respaldos físicos, intelectuales o informativos). 3. Identificar las amenazas bajo las que operan los activos. 4. Identificar la probabilidad de que se materialice una amenaza (aquello que pueda afectar la información mediante desastre natural o ataques informáticos entre otros). 5. Realizar

valoraciones

conforme

a

la

confidencialidad,

integridad

y

disponibilidad de la información. 6. Definir el método de cálculo para el riesgo (se realiza a partir de la probabilidad de ocurrencia de riesgo y el impacto que este tiene sobre la organización). 7. Analizar los impactos para la organización de la materialización de las amenazas. ¿Qué información documentada derivaría de la implantación del SGSI en base a la Norma ISO/IEC 27001? La Norma ISO 27001 en su desarrollo establece el sistema documental derivado de la implantación de un SGSI, tales como: -

Proceso de apreciación de riesgos de seguridad de la información.

-

Proceso de tratamiento de riesgos de seguridad de la información.

-

Objetivos de seguridad de la información.

-

Competencia de los integrantes de la organización.

-

Planificación, implantación y control de los procesos.

-

Resultados de las apreciaciones de riesgos de seguridad de la información.

-

Resultados del tratamiento de los riesgos de seguridad de la información.

-

Resultados del seguimiento, medición, análisis y mejora.

-

Resultados de la auditoría interna.

-

Implementación del programa de auditoría

-

Resultados de las recisiones por la dirección.

-

No conformidades.

-

Resultados acciones correctivas. ¿Qué política seguirías para controlar los accesos externos a la red interna?

Para poder establecer un control de los accesos externos a la red interna, iniciaría de la siguiente manera:

TEMA 4 – Actividades

Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2018

-

Datos del alumno

Fecha

Apellidos: Durazno Coronel Nombre: Alexander David

31/05/2020

El acceso a plataforma, aplicaciones, servicios y en general cualquier recurso de la información de KHC Abogados debe ser asignado a la identificación previa de requerimientos de seguridad y del negocio que se definan por las diferentes dependencias de la organización, así como normas legales o leyes aplicables a la protección de acceso a la información presente en los sistemas de información.

-

Restricción de actualización o eliminación a través de un usuario y/o contraseña, en donde, solo las personas identificadas podrán acceder a dicha información y se informará al usuario de la acción que se tomará en caso de incumplimiento de la norma.

-

La autorización para el acceso a los sistemas de información debe ser definida y aprobado por la Alta Dirección,

y se debe otorgar de acuerdo al nivel de

clasificación de la información identificada determinando de esta manera los controles y privilegios de acceso que se pueden otorgar a los funcionaros y terceros. -

Revisión de manera periódica el estado de los equipos y de las amenazas que pueden afectar al sistema.

-

Cualquier usuario interno o externo que requiera acceso remoto a la red y a la infraestructura de procesamiento de información de KHC Abogados, sea por internet, acceso telefónico o por otro medio, siempre debe estar autenticado y sus conexiones deberán utilizar cifrado de datos.

-

En caso de necesitar cambios por parte del usuario, se debe realizar una solicitud dando a conocer el archivo o proceso que se haya guardado con error y el fundamento técnico que lo originó.

-

Realizar capacitaciones y evaluaciones periódicas al usuario en el manejo de la información.

Bibliografía AENOR. (2017). NORMA UNE-EN ISO/IEC 27001- Sistemas de Gestión de la Seguridad de la Información (SGSI). Madrid: AENOR. Zubieta, J. (2018). Gestión I+D+i; Gestión de la Seguridad de la Información: ISO 27000 y 27001; ISO 20000-1:2011 Gestión del Servicio. Logroño: UNIR

TEMA 4 – Actividades