Caso Práctico

Otras Normativas en el Ámbito de la Seguridad de la Información

Ejercicio 1

Se pide

1. Explicar las actividades a realizar para proporcionar a la administración la información

sobre su estado actual respecto al Esquema Nacional de Seguridad.

En vista de que se desea saber el estado actual respecto al ENS

✓ Primero se debería hacer una revisión general de los procesos y servicios que
imparte la empresa.
✓ Se realizaría evaluaciones y pruebas para verificar el estado actual de la
información.
✓ Se evaluará a todo el personal
✓ Se supervisará las instalaciones
✓ Se evaluará la infraestructura
✓ Se realizará auditorías internas
✓ Se pondrá en práctica la reacción y recuperación de la información
✓ Se monitoreará todas las actividades

2. Detallar qué medidas de carácter organizativo del anexo II del ENS deberían ser
implementadas.

Medidas de seguridad
✓ Carácter organizativo
o Política de Seguridad.
ORG. 1
Es lo primero que debe hacer la administración, establecer los
objetivos de la organización, los roles, el marco legal etc.
o Normativa de Seguridad.
ORG. 2
Nos dispondrá de una documentación que se debe de cumplir, como,
por ejemplo:
El uso adecuado de ciertos equipos, lo que esta prohibido, las
responsabilidades del personal, etc.
o Procedimientos de Seguridad.
ORG. 3
Esto hace referencia a como llevar a cabo dichas tareas de forma clara
y precisa
o Proceso de Autorización.
ORG. 4
La cual detalla las autorizaciones previamente establecidas como:
Utilización de los quipos móviles, utilización de instalaciones,
utilización de medios de comunicación, etc.

Todas estas medidas de carácter organizativo son mecerías que deben ser
implementadas
Ejercicio 2

Se pide:

1. ¿Realmente es necesario que la empresa GESTIONA S.A se adecue a PCI DSS? Razone
su respuesta.
BILLETE APARA TODOS se encuentra certificada, al delegar a un tercero para gestionar
las ventas de billetes, este también tiene que cumplir con todos los controles y
requisitos necesarios para priorizar la seguridad de la información. Para esllo tiene que
adecuarse a PCI DSS.

2. De ser así, indique el tipo de cuestionario SAQ que utilizaría, y por qué.
De acuerdo a lo planteado se utilizaría el cuestionario SAQ A, este cuestionario nos
dice:
Comerciales con tarjetas ausentes (comercio electrónico, pedido por correo o pedido
por teléfono); todas las funciones que impliquen el manejo de datos del titular de la
tarjeta, tercerizadas. Esto nunca se aplicaría a comerciantes cara a cara.

Para acceder a los billetes todo se hace llamado a un operador la cual proporcionamos
nuestros datos para que nos diga cual se adecue a nuestras necesidades.

3. Rellene el cuestionario SAQ conforme a la información de la que se dispone (si no

existe dato sobre algún punto, se entenderá que no se encuentra implementado o
que falta información por parte del cliente, por lo que se contestará indicando que
no se encuentra información en la política). Utilizar la plantilla adjunta. En el caso de
incumplimiento de un control, especificar el motivo de forma breve en la columna
“especial” y la solución, en la columna “solución”. Se recuerda que, si un control no
aplica al supuesto, esto se indicará en la columna “especial”

DESARROLLAR Y MANTENER UNA RED SEGURA

Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos

Respuesta a la pregunta de PCI DSS: Si No Especial* Solución

1.1 ¿Incluyen las normas de configuración del
firewall y router establecidas lo siguiente?
1.1.1 ¿Existe un proceso formal para aprobar y
probar todos los cambios y las conexiones externas X
de red en la configuración de los firewalls y los
routers?
1.2. ¿se restringe la configuración para firewall la X
conexión a redes que no son confiables?
1.2.1 ¿firewall pueden impedir el acceso no deseado X
al equipo?
 Proteger los datos titulares de la tarjeta

requisito 2: se debe proteger los datos de la tarjeta que fueron almacenados

Respuesta a la pregunta de PCI DSS: Si No Especial* Solución
2.1 ¿Se oculta el PAN? X
2.1.1 El PAN aparecerá codificado en pantalla en el
momento de su introducción, X
2.2 Los datos de las tarjetas de crédito se almacenan X
siempre en el servidor adecuado
2.2.1 ¿Se almacena el código de verificación de la X
tarjeta?
Mantener un programa de administración de vulnerabilidad

Requisito 3: se debe utilizar los softwares antivirus

Respuesta a la pregunta de PCI DSS: Si No Especial* Solución

3.1 ¿tiene instalado software de antivirus para X
proteger de software maliciosos?
Solo Se debe
3.1.1 ¿Los antivirus son capaces de detectar los especifica implantar otro
malwares más devastadores? lo básico software
antivirus más
potentes
3.2 los sistemas siempre tengan los últimos parches X
y actualizaciones instalados

Ejercicio 3

Se pide

1. Detallar al menos cinco requisitos generales del SGSTI que habría que auditar.

Requisitos esenciales para auditar son:

• La entrega de los servicios
• La transición del servicio
• Evaluación de la documentación
• Los objetivos de la empresa
• El alcance

2. Decidir sobre la conveniencia de incluir una no conformidad en el informe de

auditoría respecto a la ausencia de un procedimiento de control de la
documentación.

Al incluir muchas no conformidades en el informe de auditoría hace que talvez no

podamos certificarnos. En este caso solo se habla de una no conformidad, y si es
recomendable ya que se puede trabajar en ese aspecto ya que debemos tener siempre
el control de la documentación.
 3. Justificar, en su caso, la no conformidad anterior con la referencia o referencias
concretas de la norma que no han sido observadas por la organización.

La no conformidad, son procesos que nos falta madurar y están en fase de desarrollo,
al momento de detectarlas mediante auditorias se hace saber en el informe, para
posteriormente hacer la certificación en caso cumpla como todos los requisitos
El control de la documentación es muy importante para la organización en caso de no
implantarse se observará como una no conformidad.

Ejercicio 4

Se pide

1. Un informe de riesgos potenciales detectados, indicando el impacto de estos riesgos

en la entidad, según sus objetivos de negocio.

Riesgos potenciales detectados en la entidad:

• Políticas organizativas para sistemas de información.
Todas las entidades deben tener una política organizativa, donde rigen
principios a cumplir y están involucrados todos los integrantes de una
organización. El objetivo dependerá de como se implementa las políticas
organizativas para sistemas de información.
• Plan de cambios de emergencias
Al no contar con un plan de cambios de emergencia, hace que la entidad este
paralizada, hasta que todo se restablezca esto generara incertidumbre
poniendo en riesgo a la entidad.
• No hay un proceso formal de implantación de parches
Los parches son para corregir error y mejorar un programa, pero tiene que
estar debidamente documentado y supervisado, solo el encargado de
realizarlo puede hacerlo.
• No realizan auditoria de sistemas de información
Las auditorias son un tipo de control para supervisar que todo funcione
correctamente y encontrar no conformidades para poder corregirlo. Al no
realizar este tipo de prácticas, se estaría dejado pasar vulnerabilidades que
podrían convertirse en amenazas potenciales.

2. Un programa de auditoría, indicando los procesos según COBIT 5 a auditar.

▪ Planeación y organización
▪ Definir el plan estratégico
▪ Identificar el objetivo general
▪ Alcance
▪ El establecimiento del marco del gobierno
▪ Operatividad de los sistemas
▪ Optimización de recursos
▪ Gestión de la estrategia
▪ Presupuestos y costes
▪ Definición de los requisitos
▪ Gestión de cambios
 ▪ Gestión de continuidad

3. Diseñar las pruebas a realizar (objetivo y alcance).

✓ Se procederá a la verificación de los controles
✓ Se pondrán a prueba los controles
✓ Se asignará responsabilidades a todos los involucrados
✓ Se medirá el desempeño de todos
✓ Se hará comparaciones
✓ Se definirán las políticas y estrategias
✓ Se evaluará los niveles de prueba

Ejercicio 5

Se pide

1. Indicar al menos 5 motivos por los que las tecnologías de la información son
importantes a la hora de implantar un sistema IT GRC.
• Nos ayuda a tener un mejor control de la organización
• Nos proporciona ventajas competitivas
• Nos facilita con las tareas
• Nos ayuda con el logro de los objetivos del negocio
• Nos facilita la comunicación

2. Definir los controles internos que diseñaría para aplicar al entorno de control IT y los
controles generales de IT que aplicaría.

Controles internos:
✓ Definir instrucciones para cada actividad
✓ Verificación de dispositivos
✓ Manejo de herramientas de software
✓ Protección de base de datos
✓ Fortalecer las contraseñas de seguridad
✓ La verificación de backup
✓ Monitorización de vulnerabilidad

Controles Generales:

✓ Control de accesos a las áreas

✓ Establecer políticas
✓ Monitorear todas las áreas
✓ Establecer auditorias internas
✓ Establecer responsabilidades a todos lo que conforman la organización
✓ Supervisión del manejo de información
3. Diseñar al menos 10 controles internos necesarios para el resto de elementos de
preocupación de las partes interesadas de la organización.

Controles internos:
✓ Planificar las políticas y procedimiento
✓ Mantenimiento de los dispositivos
✓ Manejo de aplicaciones
✓ Backup de los datos de usuario
✓ Verificación de la base de datos
✓ Requisitos de seguridad por parte de los clientes
✓ Delimitar responsabilidades
✓ Implementar software antivirus para proteger la información
✓ Control de acceso tanto físicos y lógicos a las instalaciones
✓ Protección de comunicaciones y redes