Caso Práctico: ISO/IEC 27001

Ejercicio 1

La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global.

Se pide

1. Identificar los asuntos internos y externos que podrían afectar a los objetivos del SGSI.

❖ Asuntos internos

✓ Cuando no se respetan las políticas de la organización.

✓ Cuando las estrategias están mal definidas.
✓ Cuando los empleados no están capacitados.
✓ Cuando la directiva no se involucra.
✓ Cuando no hay una supervisión adecuada.
✓ Cuando hay una mala relación dentro de la organización.
✓ Cuando los gerentes no se ocupan de sus cargos, no hacen cumplir con las
tareas.
✓ Cuando no están disponibles los informes sobre la situación para actuar de
inmediato.
✓ Cuando las áreas no se hacen cargo de sus responsabilidades.
✓ Cuando se maneja mal la información.
✓ Cuando no hay una política reguladora de acceso a la información.
✓ Falta de documentación en los entornos de prueba
✓ Falta de compromiso y liderazgo de la organización.
✓ Cambios relevantes que se puedan dar a último momento perjudicando a la
organización
✓ Falta de presupuesto
✓ Cuando hay deficiencias en el trabajo coordinado

❖ Asuntos externos

✓ Falta de compromiso de las partes interesadas externas

✓ Mala relación con las interesadas externas
✓ Desastres naturales
✓ Pandemias
✓ Estado económico del país
2. Desarrolla un listado de partes interesadas, así como de las necesidades o requisitos de los
mismos.

Partes Interesadas Necesidades o Requisitos

Se debe dar cumplimiento a los requisitos de seguridad de la
Clientes información.

Se debe dar cumplimiento con los requisitos de seguridad

Proveedores de la información que nos imponen.

Cumplir con los requisitos de seguridad de la información y

Socios las políticas de la empresa. Salvaguardando la
confidencialidad, la integridad y disponibilidad en la
organización.
Debemos dar siempre una buena imagen para evitar
Accionistas perdida de nuestros accionistas

Empleados La necesidad de poner a buen resguardo la información para

no poner en peligro a la organización.

La Organización Tratará los daños en caso pone en peligro a la organización

Las agencias gubernamentales Cumplimiento, veracidad y confiabilidad.

Ejercicio 2

Datos

Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar las
acciones para abordar los riesgos y las oportunidades, así como los objetivos de seguridad de la
información.

Se pide

1. Elaborar un proceso de evaluación de riesgos para la seguridad de la información según la

cláusula 6.1.2. Justifique cada uno de los requisitos de dicha cláusula.

a) Establecer y mantener los criterios de los riesgos en la seguridad de la información

- Se debe cumplir con los requisitos.

- Se debe multar, sancionar o penalizar a quien no cumple con las normas establecidas.
- Se debe dar evaluaciones periódicas
- Actuar sobre los riesgos que necesitan atención inmediata
- No ignorar los problemas que comprometan con la seguridad de la información.
- No dejar que avance cualquier problema menor ya que pude agravarse con el tiempo
 b) Asegurarse de que las valoraciones repetidas de riesgos de la seguridad de la información
produzcan resultados consistentes, válidos y comparables

Esto se da mediante valoraciones de los riesgos, cada riesgo tiene un grado de

importancia y si esto se repite, ya habrá una historial como proceder a atender al riego.

c) Identificar los riesgos de la seguridad de la información

- Poca seguridad en torno a l acceso y manipulación de la información.

- Dar acceso de toda la información a los empleados mediante carpetas compartidas
- No hay un respaldo en la nube
- No hay una documentación para el mantenimiento
- No tiene responsabilidad el área de IT

d) Analizar los riesgos de la seguridad de la información

✓ Debemos proteger a los activos

✓ Determinar las amenazas que pueden afectar a los activos

- Dar acceso de toda la información a los empleados: solo se debe dar acceso a la
información lo que es necesaria para proteger la, confidencialidad, integridad y
disponibilidad de la información, solo personas autorizadas pueden ver dicha información
y manipularlas.
- No hay documentación: debería de estar documentado todo para que cuando vuelva
ocurrir este detallado como se procedería en esos casos y sea más rápido actuar.
- Poca seguridad: En una organización tan grande se debe de implementar más seguridad
tanto físicas y tecnológicas.
- No hay un respaldo en la nube: en caso de un ataque o perdida de información ya sea por
diferentes motivos, se debe tener información de respaldo en la nube y poder
restablecerlo de manera segura.
- No se involucra el área de IT: Todas las personas deben asumir su responsabilidad, cada
personal tiene una responsabilidad sea el área que lo corresponda.

e) Evaluar los riesgos de seguridad de la información

Se debe dar prioridad a los riesgos que tenga más valoración.

Primero se va actuar sobre los riesgos que tengan mayor prioridad

- Poca seguridad en torno a l acceso y manipulación de la información (Prioridad Alta)

- Dar acceso de toda la información a los empleados (Prioridad Alta)
- No hay un respaldo en la nube (Prioridad Alta)
- No hay una documentación para el mantenimiento (Prioridad Alta)
- No se involucra el área de IT (Prioridad Alta)
2. Elaborar un proceso de tratamiento de riesgos de acuerdo a la cláusula 6.1.3.

La empresa debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la

información.

a) Se debe seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de

la información, se deben tener en cuenta los resultados de la valoración de riesgos.
- La empresa debe decidir cuál es la mejor opción para el tratamiento de riesgo.
✓ Reducir
✓ Evitar
✓ Transferir
✓ Aceptar

Por ejemplo, para LucesCo una opción apropiada es reducir y evitar. Debido a que se va
implantar un SGSI y lo que quiere la empresa es reducir al máximo los riesgos y evitarlos.

b) Se determinar todos los controles que sean necesarios para implantar las opciones
escogidas para el tratamiento de riesgo de la seguridad de la información

➢ Anexo A5. Política de seguridad.

A5.1 Política de seguridad de la información.
➢ Anexo A9. Control de accesos.
A9.2 Gestión de accesos de usuario
➢ Anexo A11. Seguridad física y medioambiental.
A11.1 Áreas seguras
A11.2 Seguridad de equipos
➢ Anexo A12. Seguridad en las operaciones.
A12.3 Copias de seguridad
A12.2 Protección contra el código malicioso

c) Producir una declaración de aplicabilidad que contenga los controles necesarios y la

justificación de las inclusiones, ya sea que se implementen o no, y la justificación para las
exclusiones de los controles del Anexo A

Objetivo de control controles Aplicabilidad Justificación

A5. Política de seguridad
A5.1 Política de Es muy importante establecer política de
Para una buena seguridad de la 1 seguridad de información luego de que la
gestión de la información Si organización identificara ciertos riesgos que
información. pone en peligro a la organización.
A9. Control de accesos.
Toda organización dispone de información
Restringir el acceso a A9.2 Gestión de 2 Si valiosa, dicha información está en todas las
personas no accesos de áreas que compone la empresa, para ello se
autorizadas usuario debe tener gestionar adecuadamente el
acceso a los usuraros a dicha área o
proyecto que se realiza.
A11. Seguridad física y medioambiental.
Instalaciones seguras A11.1 Áreas Toda empresa cuenta con activos, para ello
y adecuadas para seguras 3 Si tienen que estar en sitios protegidos y áreas
proteger la seguras para evitar pérdidas de la
información información a causa de diferentes factores
como, por ejemplo: incendios, desastres
naturales, robos etc.
Evitar daño de los A11.2 Seguridad ¿Se imaginan que se pierda la caja fuerte?
activos de equipos 4 Si Por ello es importante las áreas seguras y
las restricciones de acceso.
A12. Seguridad en las operaciones.
Para una correcta y A12.2 Protección Si A veces desconocemos los peligros de la
segura operación de contra el código 5 red, pero es muy importante contar con
la información malicioso software para proteger de los malware y
conservar la integridad de la información.
Garantizar la A12.3 Copias de Si Ante un desastre producto de una
información seguridad 6 vulnerabilidad que no se corrigió a tiempo o
en el hipotético caso que se pierda la
información, ya sea incendios, desastres
naturales o por otros factores, las copias de
seguridad serán de gran importancia sobre
todo si se almacena en la nube ya que se
podrá acceder desde cualquier lugar.

d) Formular un plan de tratamiento de riesgo de la seguridad de la información

ID Nivel de Opción Controles Acciones Recursos Plazos

riesgo
A5 Alto Reducir A5.1 Se debe establecer Coordinador Diciembre
una política de del SGSI 2021
seguridad de la
información
A9 Muy alto Evitar A9.1 Cada personal será Coordinador Diciembre
supervisada y del SGSI 2021
monitoreado para
que cumpla con lo
establecido
A9 Muy Alto Evitar A9.2 El personal que no Coordinador Diciembre
cumpla con sus del SGSI 2021
funciones será
penalizado
A11 Alto Reducir A11.1 Se verificará y se Coordinador Diciembre
hará pruebas para del SGSI 2021
comprobar la
seguridad
A11 Alto Reducir A11.2 Implementar Responsable Diciembre
sistema de vigilancia de IT 2021
A12 Alto Evitar A12.2 Implementar Director de Diciembre
software para sistemas 2021
proteger de los
códigos maliciosos
 A12 Alto Evitar A12.3 Desarrollar políticas Director de Diciembre
de Backups sistemas 2021

e) Obtener la aprobación del plan de tratamiento de riesgo de la seguridad de la

información y la aceptación de los riesgos residuales de la seguridad de la información.

La aprobación se da por parte de la gerencia. Para ello se tiene que dar a conocer todas las
evidencias para su revisión y aprobación.

3. Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según todos los
requisitos de la cláusula 6.2

• Ser coherentes con la política de seguridad de la información

• Tener en cuenta los requisitos de seguridad de la información aplicables, los resultados de la
evaluación de riesgos y el tratamiento del riesgo.

Ejemplo: no hay un sistema de seguridad para las áreas restringidas a la información, se debe
implementar sistemas tecnológicos de monitorización para identificar quien están ingresando a las
zonas restringidas, solo personas autorizadas deben ingresar.

Ejercicio 3
Datos
La empresa LucesCo tiene la intención de implantar un SGSI con alcance global y necesita saber qué
información documentada es obligatoria.

Se pide
1. De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no?

DOCUMENTO OBLIGATORIO
Alcance del SGSI (cláusula 4.3) Obligatorio

Política y objetivos de seguridad de la información (puntos 5.2 y 6.2) Obligatorio

La evaluación de riesgos y la metodología de tratamiento de riesgos Obligatorio

(apartado 6.1.2)
Declaración de Aplicabilidad (cláusula 6.1.3 d) Obligatorio

Plan de tratamiento de riesgos (cláusulas 6.1.3 y 6.2 e) Obligatorio

Informe de evaluación de riesgos (apartado 8.2) Obligatorio

Procedimiento de auditoría interna (cláusula 9.2) No Obligatorio

Procedimiento para acciones correctivas (cláusula 10.1) No Obligatorio

inventario de activos (cláusula A.8.1.1) Obligatorio

 Uso aceptable de los activos (cláusula A.8.1.3) Obligatorio

Los requisitos legales, reglamentarios y contractuales (cláusula 4) Obligatorio

Los resultados de las auditorías internas (apartado 9.2) Obligatorio

Los resultados de la revisión por la dirección (cláusula 9.3) Obligatorio

Los resultados de las acciones correctivas (cláusula 10.1) Obligatorio

Procedimiento de control de documentos (cláusula 7.5) No Obligatorio

Los controles para la gestión de documentos (cláusula 7.5) No Obligatorio

Ejercicio 4
Datos
Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados
en temas anteriores.
Se pide
1. Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así
como el acceso no autorizado a las instalaciones y dependencias de LucesCo.

Acceso no autorizado a los servidores corporativos: ¿Que causaría el acceso no autorizado a los
servidores corporativos? En los servidores se encuentras los datos, informaciones de toda la
empresa y estar expuesta a personas mal intencionadas provocaría riesgos potenciales a la empresa.
¿Se imaginarían que divulguen información confidencial o si se perdería toda la información? La
reputación, la imagen, la confianza todo se vería afectado.

Acceso no autorizado a las instalaciones y dependencias de LucesCo: A veces ex trabajadores,

trabajadores descontentos u personas malas tratan de ingresar para cometer vandalismo, robo
informático, para ello se debe priorizar en la seguridad con la seguridad y que la información este
salvaguardada.

2. Aplique el proceso de tratamiento de riesgos elaborado durante este ejercicio práctico con
anterioridad para los riesgos evaluados, para obtener todas las evidencias
necesarias según ISO/IEC 27001:2013.

Opciones de tratamiento

✓ Reducir
✓ Evitar

Se tiene que aplicar controles de seguridad

A9. Control de accesos

A9.1 Requerimientos de negocio frente al control de acceso Acciones de capacitación y

concienciación en seguridad.

Se debe limitar el acceso a las instalaciones de procesamiento de información.

 A9.2 Gestión de accesos de usuario
Verificar que se cumpla con garantizar a las personas el acceso adecuado a las instalaciones o
dependencias e impedir a las que no son autorizadas.
A9.3 Responsabilidades de los usuarios
El usuario tiene la responsabilidad de salvaguardar la información.
A9.4 Control de acceso al sistema y las aplicaciones
Prevenir el acceso no autorizado a los sistemas y aplicaciones.

Ejercicio 5
Datos
Ya se ha visto la necesidad de medir la eficiencia y la eficacia de los controles a fin de
poder garantizar que nuestro SGSI es fiable y acorde a las necesidades del negocio, y el resultado de
nuestro análisis de riesgos.
A continuación, se plantean una serie de controles del Anexo A de la ISO/IEC 27001 para los cuales se
debe formular una métrica que nos ayude a medir cumplimiento.

Se pide

Control Información de ayuda Métrica

✓ Solo la persona autorizada

Protección contra Combine controles tecnológicos (p. debe instalar el software
código malicioso y ej., software antivirus) con medidas no antivirus.
móvil técnicas (educación, concienciación y ✓ Capacitar al personal de forma
formación). periódica.

Implante procedimientos de backup y ✓ Las copias de seguridad se

recuperación que satisfagan no sólo
requisitos contractuales, sino también
requisitos de negocio "internos" de la
Copias de seguridad organización. Básese en la evaluación
de riesgos realizada para determinar
cuáles son los activos de información
más importantes y use esta
información para crear su estrategia
Distinga los requisitos de seguridad
básicos (globales) de los avanzados, de
Clasificación de la acuerdo con el riesgo. Comience,
información quizás, con la confidencialidad, pero
no olvide los requisitos de integridad y
disponibilidad.
deben hacer a la hora donde
no hay mucha actividad, por
ejemplo, a la media noche.
✓ Una vez hecho la copia de
seguridad, se deberá restaurar
para verificar si se realizó
correctamente la copia de
seguridad.
✓ Solo la persona encargada
debe realizar la copia de
seguridad.
✓ Primero se debe de clasificar a
la información para saber cuál
requiere mayor priorización de
atención.
✓ Comenzar con el que tiene
mayor impacto de riesgo e la
organización.
Ejercicio 6
Datos
La organización debe acometer acciones correctivas para solucionar aquellos incumplimientos de los
requisitos que hayan sido detectados y evitar su recurrencia a través de acciones preventivas.
Durante la última auditoría interna de LucesCo se han detectado las siguientes No Conformidades en
el SGSI:

NC
Las contraseñas administrativas para el acceso a los servidores virtuales se almacenaban en
cuadernos de notas o apuntes en el área de ingeniería.

No se mantiene una copia de seguridad fuera de las instalaciones.

Se pide

1. En este ejercicio el alumno deberá saber asignar a cada problema su correspondiente

acción correctiva, junto a la acción que elimine la causa de la NC, si la aplicara.

ACCIONES CORRECTIVAS ACCIONES QUE ELIMINAN LA CAUSA

Para las contraseñas, se debe de almacenar
en dispositivos electrónicos como
ordenadores, celulares o tables.
Para las copias de seguridad. Se debe de
mantener también fuera de las instalaciones,
contratando un lugar especifico restringido
para cualquier tipo de personas, solo la
persona autorizada debe de acceder y
manipular la información cuando lo requiera.
Implementar un software para acceder a la
contraseña, previamente tiene que
identificarse y ser una persona autorizada.
La copia de seguridad se debe de guardar en
la nube, solo la persona autorizada puede
acceder a ella.
Ejercicio 7

Datos
En base al análisis de riesgos elaborado en temas anteriores.
Se pide

1. Elaborar la Declaración de Aplicabilidad para los objetivos de control A.9.2 y A.11.1

Objetivo de control controles Aplicabilidad Justificación

A9. Control de accesos.

A 9.2.1 Registro y 1 Si Para tener un registro de su ID y control
cancelación del sobre ellas.
registro de usuarios
A 9.2.2 Suministro 2 Si Para asignar los derechos de acceso para los
de acceso de diferentes tipos de usuario
usuarios
A 9.2.3 Gestión de 3 Si Para tener un control sobre los
derechos de acceso privilegiados, ya que se le asignarán cargos
privilegiado más importantes y serán más estrictos.

A9.2 Gestión de A 9.2.4 Gestión de 4 Si Para que puedan ingresar a los activos que
accesos de usuario la información. de son muy importante para la empresa.
autenticación
secreta de usuarios
A 9.2.5 Revisión de 5 Si Esto si se produce cualquier cambio de rol o
los derechos de salida de los usuarios.
acceso de usuarios
A11. Seguridad física y medioambiental.
A 11.1.2 Controles 7 Si
de acceso físicos
A 11.1.3 Seguridad 8 Si Esto para evitar y poner en riesgo la
A11.1 Áreas seguras de oficinas, información de cualquier amenaza tanto
recintos e
interna como externa.
instalaciones
A 11.1.4 Protección 9 Si
contra amenazas
externas y
ambientales