Caso N° 01: La empresa empresa tiene 300 equipos en su área de producción. Durante la semana constantemente los equipos presentan fallas de configuración y problemas con los aplicativos, muchos de los cuales son son críticos para el cumplimiento de los objetivos del negocio.
Éste problema recurrente ha hecho que el área de sistemas sistemas se convierta en “apagador de incendios”, lo que no ha permitido que el personal tenga la productividad esperada por los directivos de la empresa. El Jefe de Sistemas, preocupado ante la situación de su área, decide realizar una evaluación evaluación de los riesgos del área y del problema específico. En resumen, se identificaron las siguientes causas de la desconfiguración frecuente de los equipos: Los usuarios entran al panel de control de Windows y realizan configuraciones personalizadas que alteran los aplicativos de trabajo, tal como los colores, la resolución de pantalla, formato de fecha, etc. Se utiliza con frecuencia los puertos para conectar dispositivos de almacenamiento externo, sin revisar la existencia de malware. Los usuarios no tiene el conocimiento adecuado del sistema operativo y el proceso para vacunar dispositivos externos. Los usuarios pueden borrar archivos del sistema, porque no se ha deshabilitado la opción de visualización de éste tipo de archivos. El soporte a usuario por parte de sistemas es muy lento, a consecuencia del gran volumen de fallas que presentan los equipos de cómputo. No está restringido el uso de Internet y pueden acceder a todo tipo de páginas web. El aplicativo de vacunas no está correctamente instalado en todos los equipos, permitiendo la entrada de malware cuando se conectan a la red y al web. Los usuarios realizan actualizaciones de los aplicativos por Internet, sin el debido conocimiento. No está definido un plan de trabajo que permita a todo el personal de sistemas realizar una configuración de equipos con las mismas características. Se presentan diferentes versiones de los aplicativos y sistemas operativos. En base a lo descrito, se pide: Declare una única política de seguridad que resuelva específicamente el problema descrito: Declaración de política: _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ Alcance: _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ _________________________________________________ _____________________________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ Listado del cuerpo normativo/procedimental necesario: _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _______________________________________ ___________________ ______________________________________ ______________________________________ _____________________________ _________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _____________________________________ _________________________________________________________ ______________________________________ _____________________________ ___________ _______________________________________ ___________________ ______________________________________ ______________________________________ _____________________________ _________
Controles propuestos: ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ Excepciones: ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ Caso N° 02: De acuerdo a la clasificación de los controles de la ISO 27002, identifique a que dominio pertenece cada una de los siguientes controles: a. Gabinetes cerrados para el equipo de comunicaciones: ________________________________________ b. Identificación, provee la capacidad de identificar usuarios y recursos que sirve de apoyo para implantar controles de accesos: ________________________________________ c. Establece la capacidad de respuesta en un incidente para identificar y reportar un incidente, así como regresar el sistema a su estado normal: ________________________________________ d. Autorización, otorga nivel de acceso a los usuarios para opciones preestablecidas: ________________________________________ e. No-repudiación, permite al sistema probar el envío y recepción de información, utilizando tecnología de certificados digitales: ________________________________________ f. Provee continuidad del plan de operaciones: ________________________________________ g. Seguridad ambiental, detectores de humo, fuego, alarmas: ________________________________________ h. Auditoria: ________________________________________ i. Detección de intrusos y contención de penetración: ________________________________________ j. Prueba de integridad, control que analiza la integridad e identifica exposiciones del sistema: ________________________________________ k. Asignan responsabilidades de cumplimiento de la seguridad: ________________________________________ l. Revisión periódica de la efecti vidad de los controles: ________________________________________ m. Control para el manejo de dat a en medios magnéticos: ________________________________________
