Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 2700; ISO 20000!"20 Gestión del Ser#icio
Datos del alumno
Fecha
Apellidos: Pico Lache 08 de junio de 2017 Nombre: Natalia Alexandra
Caso práctico rabajo: !"C Abo#ados $n la actualidad% la in&ormaci'n ha pasado a ser uno de los acti(os más (aliosos para las )r#ani*aciones+ ,e una buena #esti'n de la in&ormaci'n dependerá% en #ran medida% el buen &uncionamiento de la empresa+ ras un problema en sus ser(idores% -ue ha pro(ocado la p.rdida de parte de la in&ormaci'n con&idencial manejada% !"C Abo#ados% -ue hasta entonces no hab/a tenido en cuenta la se#uridad de la in&ormaci'n% con(ierte la misma en uno de los objeti(os estrat.#icos para el pr'ximo ao+ Para ello decide implantar certi&icar un istema de 3esti'n de la e#uridad de la 4n&ormaci'n en base a la Norma 4)54$C 27001 te nombra responsable del 34+ $reguntas del %rofesor
Con los datos &acilitados en el caso práctico% los -ue necesites extraer de las unidades% as/ como de cual-uier otra &uente de in&ormaci'n% como pueden ser las propias Normas de #esti'n% da respuesta a las si#uientes cuestiones:
&'(A ) * aso %r,ctico
Asignatura
Datos del alumno
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 2700; ISO 20000!"20 Gestión del Ser#icio
Fecha
Apellidos: Pico Lache 08 de junio de 2017 Nombre: Natalia Alexandra
Antes de comen*ar con la implantaci'n como responsable del istema% debes plantearte estas cuestiones 6u. debe hacer !"C Abo#ados 6u. N) debe hacer !"C Abo#ados Cumplimenta la si#uiente tabla+
-.u/ dee hacer 1 Aogados3
-.u/ 4O dee hacer 1 Aogados3 $rinci%ales errores
1+ ,e&inir el alcance l/mites del 34 en
1+ No entender el problema esperar -ue
t.rminos
no suceda nada+
de
las
caracter/sticas
del
ne#ocio% la or#ani*aci'n% su ubicaci'n% sus
2+ Creer
acti(os% tecnolo#/a% e incluir los detalles
>nicamente en productos tecnolo#/a+
justi&icaci'n de cual-uier exclusi'n del
9+ er >nicamente reacti(os+
alcance
+ 4mplementar
2+ Anali*ar a pro&undidad el problema
pre(enti(as+
tomar decisiones antes -ue suceda+
;+ Con&iarse >nicamente en se#uridad
9+ ener en cuen ta -ue el pers onal es el
perimetral% a sea &/sica con barreras o
medio de comunicaci'n donde se puede
l'#ica con &ire?alls% nada más+
&iltrar con &acilidad la in&ormaci'n% por lo
=+ No e(aluar los ries#os+
tanto% es importante hacer un proceso de
7+ ,isponer de poco personal% con poca o
concienti*aci'n sobre la se#uridad de la
nin#una experiencia en se#uridad+
in&ormaci'n+
8+ No controlar la destrucci'n de la
+ $s importante ser proacti(o ante los
in&ormaci'n+
cambios -ue se puedan presentar en la or#ani*aci'n+ ;+
la
or#ani*aci'n
para
seleccionar
correctamente los controles correctos+ 7+ Ase#urar el compromiso de la alta #erencia% preparar al e-uipo -ue inicia el proecto+
&'(A ) * aso %r,ctico
-ue la
se#uridad
>nicamente
se
basa
medidas
Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 2700; ISO 20000!"20 Gestión del Ser#icio
Datos del alumno
Fecha
Apellidos: Pico Lache 08 de junio de 2017 Nombre: Natalia Alexandra
6Cuáles ser/an los pasos a se#uir por !"C Abo#ados para lle(ar a cabo la e(aluaci'n de ries#os 1+ $le#ir el m.todo para reali*ar la e(aluaci'n de ries#os 2+ 4denti&icar los ries#os asociados a la perdida de con&idencialidad% inte#ridad disponibilidad de la in&ormaci'n 9+ Anali*ar los ries#os identi&icados en el punto anterior + @alorar los ries#os priori*ándolos de acuerdo a los resultados del punto anterior 6u. in&ormaci'n documentada deri(ar/a de la implantaci'n del 34 en base a la Norma 4)54$C 27001 ,e acuerdo a la Norma 4)54$C 27001 la in&ormaci'n documentada -ue debe incluir el 34 es la si#uiente
,eclaraciones documentadas de la pol/tica objeti(os del 34 Alcance del 34
Procedimientos controles -ue apoan el 34
,escripci'n de la metodolo#/a de (aloraci'n de ries#os
4n&orme de (aloraci'n de ries#os
Plan de tratamiento de ries#os
Procedimientos documentados -ue necesita la or#ani*aci'n para ase#urar la e&icacia
de la plani&icaci'n% operaci'n control de sus procesos de se#uridad de la in&ormaci'n% para describir c'mo medir la e&icacia de los controles
,eclaraci'n de aplicabilidad+
6u. pol/tica se#uir/as para controlar los accesos externos a la red interna endr/a en cuenta las si#uientes su#erencias
4n&ormar al usuario del peli#ro en el -ue se incurre al introducir so&t?are no
autori*ado por la or#ani*aci'n en los e-uipos tanto internos como externos con acceso a la red interna+
detectarlas a tiempo poder impedir su introducci'n en el sistema+
$stablecer protocolos se#uros para el reconocimiento de usuarios remotos+ ,esarrollar una pol/tica para escritorios% tanto (irtuales como &/sicos% (ac/os+
&'(A ) * aso %r,ctico
Asignatura Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 2700; ISO 20000!"20 Gestión del Ser#icio
Datos del alumno
Fecha
Apellidos: Pico Lache 08 de junio de 2017 Nombre: Natalia Alexandra
,ebemos ser capaces de dejar el puesto de modo -ue al#uien sea capa* de
sustituirnos en cual-uier momento sin -ue acceda de &orma indebida a dato al#uno+
$ncriptar toda a-uella in&ormaci'n sensible a sea para la or#ani*aci'n de &orma
espec/&ica o bien por re-uisitos le#ales+ $xtensi'n máxima: 9 pá#inas% &uente 3eor#ia 11 e interlineado 1%;+ 5ista de referencias ubieta 3uill.n% B+% 201=D+ Cap/tulo 2+ istemas de #esti'n 4E,Ei+ $n FN4<%
Gestión de I+D+i; Gestión de la seguridad de la Información ISO 27000 y 27001; ISO 20000-1:2011 Gestión del Sericio pp+ 91G=D! Lo#roo: Fni(ersidad 4nternacional de la
&'(A ) * aso %r,ctico