Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
Acc t i v i d a d e s A Trabajo: Estudio de la norma ISO 27001 Merino Bada, C. y Cañizares Sales, R. (2011). Implantación (2011). Implantación de un sistema sistema de gestión de seguridad de la información según ISO 27001. 27001. Madrid: Fundación Confemetal.
Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la información según ISO 27001, así como consulta las normas ISO 27001 y 27002, disponibles en el aula virtual y responde a las siguientes preguntas de forma
breve: 1. Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.
DESCRIPCIÓN La Cooperativa de Ahorro y Crédito Vicentina “Manuel Esteban Godoy Ortega”, CoopMego, es una entidad financiera controlada por la Superintendencia de Bancos y Seguros del Ecuador. Ecuador. Actualmente dispone dispone de 18 oficinas distribuidas en en el austro ecuatoriano.
La cartera de clientes supera las 100,000 100,000 personas personas entre hombres, hombres,
mujeres y personas personas jurídicas. Su función principal principal es la captación y colocación de dinero, para lo cual cuenta con un amplio portafolio de productos. La Organización operativa de la CoopMego se s e fundamenta en cuatro direcciones:
Dirección Administrativa Financiera,
Dirección de Negocios,
Dirección de Gestión y Desarrollo, y
Dirección de Tecnología.
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
Misión “Ofrecemos productos y servicios financieros competitivos con eficiencia y calidez, a los diferentes sectores socioeconómicos del país, sustentando nuestra gestión en los principios cooperativos, en la generación de rentabilidad mutua y en la responsabilidad social”.
Visión “Liderar el sistema cooperativo de ahorro y crédito del sur del Ecuador, en la prestación de productos y servicios financieros integrales”.
OBJETIVO DE NEGOCIO Los principales motivos de seguridad por los que han decidido implantar ISO 27001 podrían describirse como:
Tratar de que la información sea tan relevante y pertinente para los procesos de la Cooperativa.
Proveer de información a través del uso óptimo de los recursos, es decir la manera más productiva y menos costosa.
Aplicar un nivel de protección a la información a fin de que la misma no pueda ser accedida por personas no autorizadas.
Tratar que la información sea exacta y completa, y que la misma haya sido validada apropiadamente.
Mantener la información actual e histórica disponible cuando la misma fuese requerida.
Establecer que la información obedezca las leyes, reglamentos, normas, y regulaciones contractuales de acuerdo al tipo de negocios que ejecuta la Entidad.
Entregar la información apropiada a la Administración para que la Cooperativa tenga respaldo apropiado para ejercer sus responsabilidades sobre los informes que le sirven para la toma de decisiones.
2. Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
La Dirección de Tecnología, es la encargada de administrar y gestionar los recursos de la tecnología de la información (TI), cuya inversión supera el millón de dólares de Estados Unidos. Es así que por definición, la CoopMego, igual que cualquier empresa mediana o grande, es informático-dependiente, ya que todas sus transacciones se procesan a través de equipos de computación, el procesamiento electrónico transforma una montaña de datos que ingresan, en información con valor económico. La información es uno de los activos más valiosos de la Cooperativa. Esto, lamentablemente se entiende cuando dicha información se vuelve inaccesible, porque se ha destruido o porque ha sido robada, lo cual implicaría un serio traspié para la Cooperativa. Por consiguiente debemos conocer cómo se produce esa información y (lo más importante) cómo debemos protegerla. Esta política de seguridad afecta a toda la información de la cooperativa, incluidos los sistemas de comunicaciones que sustentan la transferencia de información así como los aplicativos que la manipulan. Todos los empleados internos y externos que utilicen estos sistemas de información quedan incluidos en las políticas. 3. De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.
6. Organización de la seguridad de la información 6.1 Organización interna 6.1.1. Roles y responsabilidades en Seguridad Informática: [N] En la guía de implementación se establece que se debería tener documentación los niveles de autorización así como los aspectos de coordinación y supervisión de seguridad de la información relativo a relaciones y a proveedores.
[O] Porque se establece individuos y áreas con responsabilidades específicas. 6.1.2. Segregación de tareas [T] Se requieren implementar procedimientos técnicos para los diferentes controles.
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
[O] Requiere supervisión de la Dirección. 6.1.3. Contacto con las autoridades [O] Requiere que se conozca de las autoridades que se encuentran a cargo de los diferentes procedimientos para ponerse en contacto con ellas.
6.1.4. Contacto con grupos de interés especial [T] Creación de medios para el intercambio de la información. [O] Relaciones entre grupos de interés para intercambio de conocimientos. 6.1.5. Seguridad de la Información en la gestión de proyectos [N] Al indicar que debería integrarse en el método o métodos de la gestión de proyectos de la organización, indica un agregado a la normativa de la empresa.
[T] Al tener que revisarse que revisarse con regularidad las implicaciones de seguridad se debe establecer metodologías y técnicas para realizarlo.
6.2 Los dispositivos móviles y el teletrabajo 6.2.1. Política de dispositivos móviles [N] Al indicar una política establecería que debe incluirse en la documentación de la empresa.
[T] Al establecer actividades para el control de dispositivos móviles se deberá utilizar procedimientos técnicos.
6.2.2. Teletrabajo [T] Al establecer las seguridades y condiciones del lugar de teletrabajo [N] Al crear políticas y condiciones para al acceso de la información a través de este medio.
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
7 Seguridad relativa a los recursos humanos 7.1 Antes del empleo 7.1.1. Investigación de antecedentes [O] Es de tipo ya que se basa en el manual de funciones de la empresa y del perfil profesional que debe cumplir el candidato.
[N] Al indicar que dentro de la organización la información y documentación del candidato debe ser recopilada y ser tratada de acuerdo a la legislación aplicable existente en la jurisdicción correspondiente.
7.1.2. Términos y condiciones del empleo [N] Se requiere un documento normativo que lo establezca ya que se requiere la firma de documentos de confidencialidad.
7.2 Durante el empleo 7.2.1. Responsabilidades de gestión [O] La información de la empresa y de la gestión debe ser brindada por los directivos a través de manuales de funciones.
[N] Conocimiento de los lineamientos y políticas que como empleado se debe cumplir. 7.2.2. Concienciación, educación
y capacitación en seguridad de la
información. [T] Procedimientos técnicos utilizados para la difusión de la seguridad de la información. [N] Conocimiento de la normativa y políticas del uso de la información de la empresa. 7.2.3. Proceso Disciplinario [N] Deberes y obligaciones de los empleadores con la empresa, a través de compromisos de confidencialidad.
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
7.3 Finalización del empleo o cambio en el puesto de trabajo 7.3.1. Responsabilidades ante la finalización o cambio [O] Documentación de bloqueo de claves y de desvinculación.
8 Gestión de activos 8.1 Responsabilidad sobre los activos [N] Se requiere un documento normativo que lo establezca.
8.1.1 Inventario de Activos [N] Se requiere un documento normativo que lo establezca.
8.1.2. Propiedad de los activos [N] Se requiere un documento normativo que lo establezca.
8.1.3 Uso aceptable de los activos [N] Se requiere un documento normativo que lo establezca.
8.1.4. Devolución de los activos 8.2 Clasificación de la información 8.2.1 Clasificacion de la información [N] Se requiere un documento normativo que lo establezca
8.2.2. Etiquetado de la Información [N] Se requiere un documento normativo que lo establezca
8.2.3. Manipulado de la información [N] Se requiere un documento normativo que lo establezca
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
8.3 Manipulación de los soportes 8.3.1. Gestión de soportes extraíbles [T] Procedimientos técnicos
8.3.2. Eliminación de soportes [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
8.3.3. Soportes físicos en transito [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9 Control de acceso 9.1 Requisitos de negocio para el control de acceso 9.1.1 Política de control de acceso [N] Se requiere un documento normativo que lo establezca
9.1.2. Acceso a las redes y a los servicios de red [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2 Gestión de acceso de usuario [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.1 Registro y baja del usuario
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
[N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.2. Provisión de acceso al usuario [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.3 Gestión de privilegios de acceso [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.4 Gestión de la información secreta de autenticación de usuarios [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.5. Revisión de los derechos del usuario [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.2.6. Retirada o reasignación de los derechos de acceso [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.3 Responsabilidades del usuario 9.3.1. Uso de la información secreta de autentificación [N] Se requiere un documento normativo que lo establezca
TEMA 2 – Actividades
Asignatura Gestión de la seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2017-12-05 Nombre: María José
[T] Procedimientos técnicos
9.4 Control de acceso a sistemas y aplicaciones 9.4.1 Restricción de acceso a la información [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos [O] Accesos de acuerdo a manual de funciones
9.4.2. Procedimientos seguros de inicio de sesión [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos
9.4.3. Sistema de gestión de contraseñas [T] Procedimientos técnicos
9.4.4. Uso de utilidades con privilegios de sistema [T] Procedimientos técnicos
9.4.5. Control de acceso a código fuente de los programas [N] Se requiere un documento normativo que lo establezca [T] Procedimientos técnicos [O] Accesos de acuerdo a manual de funciones y actividades
TEMA 2 – Actividades
