Caso Práctico ISO/IEC 27001 CEUPE Centro Europeo de Postgrado Caso Práctico ISO/IEC 27001 CEUPE Centro Europeo de Postgrado Caso Práctico: ISO/IEC 27001 Caso Práctico ISO/IEC 27001 • Equipamiento de ayuda a la navegación: • Sistemas de Balizamiento e iluminación y sistemas de control asociados. • Señalización vertical para guiado de aeronaves con tecnología Led. Dato importante A la hora de subir las respuestas de los ejercicios al campus virtual se recuerda la necesidad de incluir en las mismos los enunciados de los ejercicios. En la actualidad, han sido contratados para todos los aeropuertos públicos y varios privados, como el de Villabonita y el de Torrijas. El caso puede presentarse en Formato Word (o similar) o en PDF. Es importante razonar de forma justificada las respuestas que se redacten. Asi como cuidar la estructura y presentación y evitar las faltas de ortografía. La empresa tiene 2 grandes accionistas mayoritarios que controlan el 80% del capital (inversiones AC y JGR Consuting, con el 40% respectivamente) y el 20 restante en manos de pequeños accionistas. Nota: en los siguientes enlaces puede encontrar información sobre las cláusulas referidas de la norma ISO. https://www.pmg-ssi.com/norma-27001/6-1-acciones-para-tratar-riesgos-y-oportunidades/ https://www.pmg-ssi.com/norma-27001/6-2-objetivos-de-seguridad-de-la-informacion-yplanes-para-lograrlos/ Ejercicio 1 Datos La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global. LucesCo es una empresa que ofrece soluciones llave en mano en telecomunicación, balizamiento y seguridad, que incluyen el diseño, la ingeniería, la instalación, el mantenimiento y la gestión operacional de todos los sistemas. Los servicios prestados en la actualidad, con 4.000 empleados, incluyen: • Integración completa de comunicaciones tierra-aire: • Radios V/VHF, UHF y V/UHF. A su vez, ofrece una amplia variedad de acciones formativas a disposición de los técnicos y responsables de los distintos aeropuertos. LucesCo dispone de su propio departamento de desarrollo y gestión de infraestructuras, y trabaja de la mano con su socio tecnológico INCRA sistemas. Las oficinas centrales están ubicadas en las afueras de Madrid, a unos 30km. Están protegidas mediante perímetro de seguridad y puerta, que es atendida por personal de seguridad. Las dependencias están formadas por una nave de unos 45.000 m2, dividida en zona de almacén y un área de ingeniería, donde se diseñan y prueban las soluciones que se entregan. Anexa se encuentra la zona de oficinas, separada por un pasillo. En cuanto a los sistemas de información, LucesCo mantiene un servidor de ficheros para el almacenamiento de los documentos departamentales mediantes carpetas compartidas, aunque la finalidad es que todos puedan ver cualquier carpeta, a excepción de Financiero y RRHH, por cuestiones de confidencialidad. Las copias de seguridad, realizadas diariamente, son introducidas en una caja fuerte ignífuga semanalmente. Además del servidor, existen entornos de prueba implementados en varios servidores virtuales, administrados directamente por este área sin que el área de IT tenga responsabilidad ni disponga de documentación para su mantenimiento ni explotación. Se pide • Equipamiento portátil y móvil. 1. Identificar los asuntos internos y externos que podrían afectar a los objetivos del SGSI. 2. Desarrolla un listado de partes interesadas así como de las necesidades o requisitos de los mismos. • Estaciones remotas de amplio alcance. • Sistemas de monitorización HW y SW. 02 03 CEUPE Centro Europeo de Postgrado Caso Práctico ISO/IEC 27001 CEUPE Centro Europeo de Postgrado Ejercicio 2 DOCUMENTO Datos Inventario de activos ( cláusula A.8.1.1 ) Uso aceptable de los activos ( cláusula A.8.1.3 ) Los requisitos legales, reglamentarios y contractuales ( cláusula 4 ) Se pide Los resultados de las auditorías internas (apartado 9.2 ) Elaborar un proceso de evaluación de riesgos para la seguridad de la información según la cláusula 6.1.2. Justifique cada uno de los requisitos de dicha cláusula. 2. Elaborar un proceso de tratamiento de riesgos de acuerdo a la cláusula 6.1.3. 3. Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según todos los requisitos de la cláusula 6.2 Ejercicio 3 Los resultados de la revisión por la dirección ( cláusula 9.3 ) Los resultados de las acciones correctivas ( cláusula 10.1 ) Procedimiento de control de documentos ( cláusula 7.5 ) Los controles para la gestión de documentos ( cláusula 7.5 ) Ejercicio 4 Datos Datos La empresa LucesCo tiene la intención de implantar un SGSI con alcance global y necesita saber que información documentada es obligatoria. Se pide 1. OBLIGATORIO Procedimiento para acciones correctivas ( cláusula 10.1 ) Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar las acciones para abordar los riesgos y las oportunidades, así como los objetivos de seguridad de la información. 1. Caso Práctico ISO/IEC 27001 De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no? DOCUMENTO OBLIGATORIO Alcance del SGSI ( cláusula 4.3 ) Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados en temas anteriores. Se pide 1. Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así como el acceso no autorizado a las instalaciones y dependencias de LucesCo. 2. Aplique el proceso de tratamiento de riesgos elaborado durante este ejercicio práctico con anterioridad para los riesgos evaluados, para obtener todas las evidencias necesarias según ISO/IEC 27001:2013. Política y objetivos de seguridad de la información ( puntos 5.2 y 6.2) La evaluación de riesgos y la metodología de tratamiento de riesgos (apartado 6.1.2 ) Declaración de Aplicabilidad ( cláusula 6.1.3 d ) Plan de tratamiento de riesgos ( cláusulas 6.1.3 y 6.2 e ) Informe de evaluación de riesgos (apartado 8.2 ) Procedimiento de auditoría interna ( cláusula 9.2 ) 04 05 CEUPE Centro Europeo de Postgrado Caso Práctico ISO/IEC 27001 CEUPE Centro Europeo de Postgrado Caso Práctico ISO/IEC 27001 Ejercicio 5 Ejercicio 6 Datos Datos Ya se ha visto la necesidad de medir la eficiencia y la eficacia de los controles a fin de poder garantizar que nuestro SGSI es fiable y acorde a las necesidades del negocio, y el resultado de nuestro análisis de riesgos. La organización debe acometer acciones correctivas para solucionar aquellos incumplimientos de los requisitos que hayan sido detectados y evitar su recurrencia a través de acciones preventivas. A continuación, se plantean una serie de controles del Anexo A de la ISO/IEC 27001 para los cuales se debe formular una métrica que nos ayude a medir cumplimiento. Durante la última auditoría interna de LucesCo se han detectado las siguientes No Conformidades en el SGSI: Se pide NC Control Información de ayuda Protección contra código malicioso Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Copias de seguridad Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales, sino también requisitos de negocio "internos" de la organización. Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información más importantes y use esta información para crear su estrategia de backup y recuperación. Clasificación de la información Distinga los requisitos de seguridad básicos (globales) de los avanzados, de acuerdo con el riesgo. Comience, quizás, con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad. Las contraseñas administrativas para el acceso a los servidores virtuales se almacenaban en cuadernos de notas o apuntes en el área de ingeniería. Métrica No se mantiene una copia de seguridad fuera de las instalaciones. Se pide 1. En este ejercicio el alumno deberá saber asignar a cada problema su correspondiente acción correctiva, junto a la acción que elimine la causa de la NC, si la aplicara. ACCIONES CORRECTIVAS ACCIONES QUE ELIMINAN LA CAUSA Ejercicio 7 Datos En base al análisis de riesgos elaborado en temas anteriores. Se pide 1. 06 Elaborar la Declaración de Aplicabilidad según los controles de la ISO 27002. 07 CEUPE Centro Europeo de Postgrado Web www.ceupe.com E-mail [email protected]