Subido por Jeison Espinoza

Caso Práctico 1 ISO IEC 27001

Anuncio
Caso Práctico
ISO/IEC 27001
CEUPE
Centro Europeo de Postgrado
Caso Práctico
ISO/IEC 27001
CEUPE
Centro Europeo de Postgrado
Caso Práctico: ISO/IEC 27001
Caso Práctico
ISO/IEC 27001
• Equipamiento de ayuda a la navegación:
• Sistemas de Balizamiento e iluminación y sistemas de control asociados.
• Señalización vertical para guiado de aeronaves con tecnología Led.
Dato importante
A la hora de subir las respuestas de los ejercicios al campus virtual se recuerda la necesidad de incluir en las mismos los enunciados de los ejercicios.
En la actualidad, han sido contratados para todos los aeropuertos públicos y varios privados, como el de Villabonita y el de Torrijas.
El caso puede presentarse en Formato Word (o similar) o en PDF. Es importante razonar
de forma justificada las respuestas que se redacten. Asi como cuidar la estructura y
presentación y evitar las faltas de ortografía.
La empresa tiene 2 grandes accionistas mayoritarios que controlan el 80% del capital (inversiones AC y JGR Consuting, con el 40% respectivamente) y el 20 restante en manos de
pequeños accionistas.
Nota: en los siguientes enlaces puede encontrar información sobre las cláusulas referidas
de la norma ISO.
https://www.pmg-ssi.com/norma-27001/6-1-acciones-para-tratar-riesgos-y-oportunidades/
https://www.pmg-ssi.com/norma-27001/6-2-objetivos-de-seguridad-de-la-informacion-yplanes-para-lograrlos/
Ejercicio 1
Datos
La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global.
LucesCo es una empresa que ofrece soluciones llave en mano en telecomunicación, balizamiento y seguridad, que incluyen el diseño, la ingeniería, la instalación, el mantenimiento y la gestión operacional de todos los sistemas.
Los servicios prestados en la actualidad, con 4.000 empleados, incluyen:
• Integración completa de comunicaciones tierra-aire:
• Radios V/VHF, UHF y V/UHF.
A su vez, ofrece una amplia variedad de acciones formativas a disposición de los técnicos
y responsables de los distintos aeropuertos.
LucesCo dispone de su propio departamento de desarrollo y gestión de infraestructuras,
y trabaja de la mano con su socio tecnológico INCRA sistemas.
Las oficinas centrales están ubicadas en las afueras de Madrid, a unos 30km. Están protegidas mediante perímetro de seguridad y puerta, que es atendida por personal de seguridad. Las dependencias están formadas por una nave de unos 45.000 m2, dividida en zona
de almacén y un área de ingeniería, donde se diseñan y prueban las soluciones que se
entregan. Anexa se encuentra la zona de oficinas, separada por un pasillo.
En cuanto a los sistemas de información, LucesCo mantiene un servidor de ficheros para
el almacenamiento de los documentos departamentales mediantes carpetas compartidas,
aunque la finalidad es que todos puedan ver cualquier carpeta, a excepción de Financiero
y RRHH, por cuestiones de confidencialidad.
Las copias de seguridad, realizadas diariamente, son introducidas en una caja fuerte ignífuga semanalmente.
Además del servidor, existen entornos de prueba implementados en varios servidores
virtuales, administrados directamente por este área sin que el área de IT tenga responsabilidad ni disponga de documentación para su mantenimiento ni explotación.
Se pide
• Equipamiento portátil y móvil.
1.
Identificar los asuntos internos y externos que podrían afectar a los objetivos del
SGSI.
2.
Desarrolla un listado de partes interesadas así como de las necesidades o requisitos
de los mismos.
• Estaciones remotas de amplio alcance.
• Sistemas de monitorización HW y SW.
02
03
CEUPE
Centro Europeo de Postgrado
Caso Práctico
ISO/IEC 27001
CEUPE
Centro Europeo de Postgrado
Ejercicio 2
DOCUMENTO
Datos
Inventario de activos ( cláusula A.8.1.1 )
Uso aceptable de los activos ( cláusula A.8.1.3 )
Los requisitos legales, reglamentarios y contractuales ( cláusula 4 )
Se pide
Los resultados de las auditorías internas (apartado 9.2 )
Elaborar un proceso de evaluación de riesgos para la seguridad de la información
según la cláusula 6.1.2. Justifique cada uno de los requisitos de dicha cláusula.
2.
Elaborar un proceso de tratamiento de riesgos de acuerdo a la cláusula 6.1.3.
3.
Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según
todos los requisitos de la cláusula 6.2
Ejercicio 3
Los resultados de la revisión por la dirección ( cláusula 9.3 )
Los resultados de las acciones correctivas ( cláusula 10.1 )
Procedimiento de control de documentos ( cláusula 7.5 )
Los controles para la gestión de documentos ( cláusula 7.5 )
Ejercicio 4
Datos
Datos
La empresa LucesCo tiene la intención de implantar un SGSI con alcance global y necesita saber que información documentada es obligatoria.
Se pide
1.
OBLIGATORIO
Procedimiento para acciones correctivas ( cláusula 10.1 )
Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar
las acciones para abordar los riesgos y las oportunidades, así como los objetivos de seguridad de la información.
1.
Caso Práctico
ISO/IEC 27001
De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no?
DOCUMENTO
OBLIGATORIO
Alcance del SGSI ( cláusula 4.3 )
Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados
en temas anteriores.
Se pide
1.
Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así
como el acceso no autorizado a las instalaciones y dependencias de LucesCo.
2.
Aplique el proceso de tratamiento de riesgos elaborado durante este ejercicio práctico con anterioridad para los riesgos evaluados, para obtener todas las evidencias
necesarias según ISO/IEC 27001:2013.
Política y objetivos de seguridad de la información ( puntos 5.2 y 6.2)
La evaluación de riesgos y la metodología de tratamiento de riesgos
(apartado 6.1.2 )
Declaración de Aplicabilidad ( cláusula 6.1.3 d )
Plan de tratamiento de riesgos ( cláusulas 6.1.3 y 6.2 e )
Informe de evaluación de riesgos (apartado 8.2 )
Procedimiento de auditoría interna ( cláusula 9.2 )
04
05
CEUPE
Centro Europeo de Postgrado
Caso Práctico
ISO/IEC 27001
CEUPE
Centro Europeo de Postgrado
Caso Práctico
ISO/IEC 27001
Ejercicio 5
Ejercicio 6
Datos
Datos
Ya se ha visto la necesidad de medir la eficiencia y la eficacia de los controles a fin de
poder garantizar que nuestro SGSI es fiable y acorde a las necesidades del negocio, y el
resultado de nuestro análisis de riesgos.
La organización debe acometer acciones correctivas para solucionar aquellos incumplimientos de los requisitos que hayan sido detectados y evitar su recurrencia a través de
acciones preventivas.
A continuación, se plantean una serie de controles del Anexo A de la ISO/IEC 27001 para
los cuales se debe formular una métrica que nos ayude a medir cumplimiento.
Durante la última auditoría interna de LucesCo se han detectado las siguientes No Conformidades en el SGSI:
Se pide
NC
Control
Información de ayuda
Protección contra
código malicioso
Combine controles tecnológicos
(p. ej., software antivirus) con
medidas no técnicas (educación,
concienciación y formación).
Copias de seguridad
Implante
procedimientos
de
backup
y
recuperación
que
satisfagan no sólo requisitos
contractuales,
sino
también
requisitos de negocio "internos"
de la organización. Básese en la
evaluación
de
riesgos
realizada para determinar cuáles
son los activos de información más
importantes
y
use
esta
información
para
crear
su
estrategia de backup y recuperación.
Clasificación de la
información
Distinga
los
requisitos
de
seguridad básicos (globales) de
los avanzados, de acuerdo con el
riesgo.
Comience,
quizás,
con
la
confidencialidad, pero no olvide los requisitos de integridad y
disponibilidad.
Las contraseñas administrativas para el acceso a los servidores virtuales se
almacenaban en cuadernos de notas o apuntes en el área de ingeniería.
Métrica
No se mantiene una copia de seguridad fuera de las instalaciones.
Se pide
1.
En este ejercicio el alumno deberá saber asignar a cada problema su correspondiente
acción correctiva, junto a la acción que elimine la causa de la NC, si la aplicara.
ACCIONES CORRECTIVAS
ACCIONES QUE ELIMINAN LA CAUSA
Ejercicio 7
Datos
En base al análisis de riesgos elaborado en temas anteriores.
Se pide
1.
06
Elaborar la Declaración de Aplicabilidad según los controles de la ISO 27002.
07
CEUPE
Centro Europeo de Postgrado
Web
www.ceupe.com
E-mail
[email protected]
Descargar