Subido por Roberth Tirado Romero

Escenarios problemas propuestos fases 2, 3 y 4

Anuncio
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
Escenarios problemas propuestos
Escenario problema 1 - fase 2: Cumplimiento de la norma ISO/IEC
27001 y 27002.
Tras realizar la lectura y comprensión de la última versión disponible de
las normas ISO/IEC 27001 e ISO/IEC 27002, ofrezca una solución
adecuada y razonable a la siguiente situación problema:

Ha sido elegido dentro de la empresa en la que trabajas para que
lideres el proceso de certificarse según el estándar de la norma
ISO/IEC 27001. Para ello, es necesario cumplir y afrontar con
garantías el proceso de certificación mediante la realización de una
pre-auditoría.
Dentro de la documentación requerida y solicitada para llevar a cabo dicho
proceso se ha solicitado:
1.
Documento donde se defina el objetivo de negocio que
justifique la necesidad de realizar un SGSI dentro de la
empresa u organización. De igual forma se debe
contextualizar la actividad de la compañía (mediante una
introducción, explicando su misión y visión) y se debe
justificar cómo el SGSI sustentaría dicho objetivo (beneficio,
alineación con los objetivos estratégicos de la empresa).
2.
Una vez realizado lo anterior y respondiendo a ese objetivo
de negocio, se solicita establecer un posible alcance que
abarque (procesos involucrados, ubicaciones incluidas, etc.)
y de esta forma justificar el SGSI en la empresa.

El resultado del informe entregado tras pasar la pre-auditoría, se
detectaron e identificaron deficiencias en los siguientes controles:
1.
Roles y responsabilidades en seguridad de la información
No se tienen definidas las capacidades necesarias para desempeñar
los roles de la organización, en especial para el responsable de
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
seguridad. De igual forma no se tiene identificados los activos y su
responsable que garantice su protección.
2.
Concienciación,
información.
educación
y
capacitación
en
seguridad
de
la
No existe un programa de capacitación para los grupos técnicos
respecto a los procedimientos que se deben seguir y/o cumplir, ni se
realizan cursos de concienciación globales en temas de seguridad de
la información.
3.
Clasificación de la información.
No se ha establecido y definido un sistema de clasificación de la
información para la protección de la misma.
4.
Política de control de acceso.
Se detectó que existe acceso global por parte de todos los usuarios a
las principales aplicaciones de negocio de la entidad.
Lo anterior, es de gran importancia para cada uno de estos controles que
se han identificado proponer acciones de mejora que permitan cumplir
con la norma. Si en alguno de ellos considera necesario hacer exaltaciones
o modificaciones sobre otros controles, éstas deben estar debidamente
justificadas.
Criterios de evaluación
Se valorará positivamente las referencias de las normas ISO/IEC 27001
y 27002 propuesta en el desarrollo del trabajo. Es necesario indicar
claramente qué epígrafe concreto sustenta lo escrito.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
Escenario problema 2 - fase 3: Aplicación de controles necesarios
para la protección y mejoramiento del SGSI.
En una reconocida e importante empresa dedicada a la fabricación de
equipos de refinería de hidrocarburos. Usted ha sido nombrado
reciénteme como nuevo responsable de seguridad de la información. La
empresa dentro de sus objetivos y políticas organizacionales tiene un alto
compromiso con la seguridad de la información.
Dentro de su primera función a desarrollar en su nuevo cargo, la Dirección
General ha solicitado que abordes las tareas más urgentes de su área
asignado para gestionar adecuadamente los riesgos actuales y de esta
forma proteger y garantizar de la mejor forma posible la información.
En ese contexto y prioridad, usted ha encargado a una entidad consultora
la elaboración de un Plan Director de Seguridad. Semanas posteriores,
tienes en la mesa un plan de proyectos entre los que destacan por su
prioridad e impacto los siguientes:

Proyecto para la correcta gestión y análisis de las vulnerabilidades
técnicas. Ref.: ISO/IEC 27002 (A12.6).

Proyecto de mejora de las medidas de seguridad física. Ref.:
ISO/IEC 27002 (A11.1).

Incremento de la seguridad en las redes de la empresa. Ref.:
ISO/IEC 27002 (A13.1).
En este escenario planteado, se pide al estudiante que escoja uno de los
proyectos propuestos teniendo en cuenta y definiendo los siguientes
criterios:
1. Realizar un contexto para la empresa pudiendo tomar como partida
las directrices dadas en el capítulo 4 de la ISO/IEC 27001.
2. Identificar brevemente los principales riesgos asociados que podría
tener una empresa como la indicada.
3. Priorizar los proyectos justificando el que debe tener mayor
prioridad justificando el porqué de la elección y de qué modo
mitigaría los riesgos identificados.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
4. Para el proyecto escogido se debe especificar: Descripción general
del proyecto, Sus objetivos, El alcance del proyecto, Tiempo
estimado. (estimación basada en el alcance, la complejidad del
proyecto y el contexto de la organización), Plan detallado de acción
indicando las tareas que se llevarán a cabo en el corto, medio y
largo plazo.
Criterios de evaluación
Como marco referencial se puede utilizar como guía las buenas prácticas
de la norma ISO/IEC 27002 indicadas para cada proyecto. Se valorará
incluir referencias a otros documentos relevantes que apoyen la
información del proyecto, tanto de fuentes abiertas disponibles online
como de libros de texto y bibliografía disponible en la Biblioteca.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
Escenario problema 3 - fase 4: Auditoria y alineación estrategia
de gobierno de SGSI.
La empresa Fly Aires dedicada a transporte aéreo. Dentro de la estrategia
empresarial, se desarrolló como canal de información y venta: un portal
Web diseñado y estructurado en dos partes definidas de la siguiente
manera:

Una zona de Administración, desde la cual se gestiona la
información relativa a suministros y proveedores.

Una zona de clientes y proveedores, donde el usuario tiene acceso
a la información de la empresa referente a actividades de ventas y
suministros, y acceso a la parte privada de cada uno, con la
posibilidad de realizar trámites, descargar tiquetes y demás
documentación.
El desarrollo de este escenario consiste en: 1) Planificar y realizar una
auditoría basada en riesgos del portal web de la empresa anteriormente
mencionada. Para ello se debe comenzar con la identificación de «riesgos
inherentes» a partir de los cuales se establezcan objetivos de control,
controles, etc. 2) Redactar un informe dirigido a la Dirección de Fly Aires,
con los resultados de la auditoría siguiendo las fases explicadas.
Datos útiles

Se estableció un equipo de dos auditores.

El tiempo estimado del proceso completo 2 meses/hombre.

La tecnología en la que está desarrollado el portal web es Java.
Nota Importante: La solución se puede presentar considerando una de
las siguientes dos opciones:

La empresa tiene subcontratado
ofrecidos en la Web.
un hosting de
los
servicios

La empresa tiene en sus instalaciones los servidores que dan el
servicio ofrecido en la web.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias básicas, tecnología e ingeniería
Programa: Esp. en seguridad Informática
Curso: Sistema de gestión de seguridad informática
Código: 233003
Criterios de evaluación
Cada apartado será válido si razona y contesta adecuadamente o
debidamente a cada decisión tomada de acuerdo al contexto de la
temática sugerida.
Descargar