Professional Documents
Culture Documents
Caso Practico Sgsi Deny Sarmiento
Caso Practico Sgsi Deny Sarmiento
Ejercicio 1
La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global.
Se pide
1. Identificar los asuntos internos y externos que podrían afectar a los objetivos del SGSI.
❖ Asuntos internos
❖ Asuntos externos
Ejercicio 2
Datos
Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar las
acciones para abordar los riesgos y las oportunidades, así como los objetivos de seguridad de la
información.
Se pide
- Dar acceso de toda la información a los empleados: solo se debe dar acceso a la
información lo que es necesaria para proteger la, confidencialidad, integridad y
disponibilidad de la información, solo personas autorizadas pueden ver dicha información
y manipularlas.
- No hay documentación: debería de estar documentado todo para que cuando vuelva
ocurrir este detallado como se procedería en esos casos y sea más rápido actuar.
- Poca seguridad: En una organización tan grande se debe de implementar más seguridad
tanto físicas y tecnológicas.
- No hay un respaldo en la nube: en caso de un ataque o perdida de información ya sea por
diferentes motivos, se debe tener información de respaldo en la nube y poder
restablecerlo de manera segura.
- No se involucra el área de IT: Todas las personas deben asumir su responsabilidad, cada
personal tiene una responsabilidad sea el área que lo corresponda.
Por ejemplo, para LucesCo una opción apropiada es reducir y evitar. Debido a que se va
implantar un SGSI y lo que quiere la empresa es reducir al máximo los riesgos y evitarlos.
b) Se determinar todos los controles que sean necesarios para implantar las opciones
escogidas para el tratamiento de riesgo de la seguridad de la información
La aprobación se da por parte de la gerencia. Para ello se tiene que dar a conocer todas las
evidencias para su revisión y aprobación.
3. Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según todos los
requisitos de la cláusula 6.2
Ejemplo: no hay un sistema de seguridad para las áreas restringidas a la información, se debe
implementar sistemas tecnológicos de monitorización para identificar quien están ingresando a las
zonas restringidas, solo personas autorizadas deben ingresar.
Ejercicio 3
Datos
La empresa LucesCo tiene la intención de implantar un SGSI con alcance global y necesita saber qué
información documentada es obligatoria.
Se pide
1. De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no?
DOCUMENTO OBLIGATORIO
Alcance del SGSI (cláusula 4.3) Obligatorio
Ejercicio 4
Datos
Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados
en temas anteriores.
Se pide
1. Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así
como el acceso no autorizado a las instalaciones y dependencias de LucesCo.
Acceso no autorizado a los servidores corporativos: ¿Que causaría el acceso no autorizado a los
servidores corporativos? En los servidores se encuentras los datos, informaciones de toda la
empresa y estar expuesta a personas mal intencionadas provocaría riesgos potenciales a la empresa.
¿Se imaginarían que divulguen información confidencial o si se perdería toda la información? La
reputación, la imagen, la confianza todo se vería afectado.
2. Aplique el proceso de tratamiento de riesgos elaborado durante este ejercicio práctico con
anterioridad para los riesgos evaluados, para obtener todas las evidencias
necesarias según ISO/IEC 27001:2013.
Opciones de tratamiento
✓ Reducir
✓ Evitar
Ejercicio 5
Datos
Ya se ha visto la necesidad de medir la eficiencia y la eficacia de los controles a fin de
poder garantizar que nuestro SGSI es fiable y acorde a las necesidades del negocio, y el resultado de
nuestro análisis de riesgos.
A continuación, se plantean una serie de controles del Anexo A de la ISO/IEC 27001 para los cuales se
debe formular una métrica que nos ayude a medir cumplimiento.
Se pide
NC
Las contraseñas administrativas para el acceso a los servidores virtuales se almacenaban en
cuadernos de notas o apuntes en el área de ingeniería.
Se pide
Datos
En base al análisis de riesgos elaborado en temas anteriores.
Se pide
A9.2 Gestión de A 9.2.4 Gestión de 4 Si Para que puedan ingresar a los activos que
accesos de usuario la información. de son muy importante para la empresa.
autenticación
secreta de usuarios
A 9.2.5 Revisión de 5 Si Esto si se produce cualquier cambio de rol o
los derechos de salida de los usuarios.
acceso de usuarios
A11. Seguridad física y medioambiental.
A 11.1.2 Controles 7 Si
de acceso físicos
A 11.1.3 Seguridad 8 Si Esto para evitar y poner en riesgo la
A11.1 Áreas seguras de oficinas, información de cualquier amenaza tanto
recintos e
interna como externa.
instalaciones
A 11.1.4 Protección 9 Si
contra amenazas
externas y
ambientales