Actividades Trabajo: Estudio de la norma ISO 27001
Enviado por Deissy Vega • 12 de Septiembre de 2017 • Práctica o problema • 1.963 Palabras (8 Páginas) • 667 Visitas
Actividades[pic 1]
Trabajo: Estudio de la norma ISO 27001
Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.
Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la información según ISO 27001, así como consulta las normas ISO 27001 y 27002, disponibles en el aula virtual y responde a las siguientes preguntas de forma breve:
- Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.
- Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.
- De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.
Por ejemplo, para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información: La respuesta sería [N], [O].
[N]: Se requiere un documento normativo que lo establezca.
[O]: En la guía de implantación se indica que deben asignarse las responsabilidades generales.
DESARROLLO DE LA ACTIVIDAD
Improcredit (PYME)
Misión
Ofrecer a nuestros clientes préstamos de libre destinación a través de libranzas, para promover la inclusión financiera ofreciendo la mejor experiencia de servicio al cliente.
Visión
En el año 2018 ser una compañía líder en el servicio financiero, incluyente y confiable en el país, ofreciendo productos de alta calidad.
- Objetivo SGSI
Proteger todos los recursos de información de la compañía y los componentes tecnológicos que intervienen en su procesamiento, frente a las diferentes amenazas ya sean internas o externas, para así preservar la confidencialidad, integridad y disponibilidad de la información. Así mismo mantener una cultura de seguridad de la información que se vea reflejada en la aceptación y aplicación de los lineamientos y políticas de seguridad por parte de los empleados.
- Alcance
Protección a los activos de información, recursos y procesos tanto internos como externos propios de la compañía a través de contratos o acuerdos con terceros. La empresa cuenta con dos sedes una en Medellín y otra en Bogotá siendo esta última la sede principal y donde se llevan a cabo la gran mayoría de operaciones por lo tanto el sistema se limita a esta sede.
- Categoría 6. Organización de la seguridad de la información
- 6.1 Organización interna
- 6.1.1 Roles y responsabilidades en seguridad de la información. [O]
- [O]= En la guía de implantación se indica que deben asignarse las responsabilidades especificas
- 6.1.2 Segregación de tareas. [O]
- [O] = habla exclusivamente de la importancia de que las tareas sean asignadas y que funcionen independientemente
- 6.1.3 Contacto con las autoridades. [N] [T] [O]
- [N]= Se requiere mantener contacto con entidades encargadas de vigilar el cumplimiento de la Ley
- [T] y [O]= Se requiere, mantener contacto con entidades que se relacionen con la continuidad del negocio
- 6.1.4 Contactos con grupos de interés especial. [T] [N] [O]
- [T]= La guía de implementación menciona que se debe mantener actualizado en cuanto parches, vulnerabilidades, nuevas tecnologías o amenazas.
- [N]=La guía de implementación menciona que se debe proporcionar adecuados puntos de enlace relacionados con incidentes de seguridad y asesoramiento especializado en seguridad de la información (este último también puede ser técnico)
- [O]=La guía de implementación menciona que control sirve para mejorar el conocimiento sobre mejores prácticas, además dichos intercambio sirven para mejorar la cooperación y coordinación en los asuntos de seguridad.
- 6.1.5 Seguridad de la información en gestión de proyectos. [O]
- [O]= La guía de implementación dice que la seguridad de la información debe estar integrada a todas las fases de la metodología aplicada en el proyecto. (La gestión de proyectos es la disciplina del planeamiento, la organización, la motivación, y el control de los recursos para alcanzar un objetivo)
- 6.2 Los dispositivos móviles y el teletrabajo
- 6.2.1 Política de dispositivos móviles. [T] [N]
- [T] = La gran mayoría de los puntos mencionados en la guía de implementación para asegurar la información corporativa en un dispositivo móvil son de orden técnico tales como restricción y uso de determinado software, accesos remotos, copias de respaldo y protección para accesos no autorizados entre otros.
- [N]= Debe ser tenida en cuenta la legislación de privacidad-
- 6.2.2 Teletrabajo. [T] [N] [O]
- [T]= Menciona todo lo concerniente a la seguridad en el canal de comunicación y al software y hardware que interviene en el proceso todo en miras a salvaguardar la información.
- [O]= En cuanto a las reglas a tener en cuenta para el acceso a familia o visitantes al equipo de cómputo.
- [N]= Directrices en cuanto a propiedad intelectual y se debe tener en cuenta la legislación en cuanto privacidad.
- Categoría 8 Gestión de activos
- 8.1 Responsabilidad sobre los activos
- 8.1.1 Inventario de activos. [O]
- [O]= La guía de implementación menciona el levantamiento, actualización y asignación de propietario, a los activos de información.
- 8.1.2 Propiedad de activos. [O]
- [O]=establece directrices para la asignación del propietario de cada uno de los activos, así como las tareas que deben ser ejecutadas por el mismo.
- 8.1.3 Uso aceptable de los activos. [O]
- [O]= Menciona que se deben implementar reglas para el uso de los activos.
- 8.1.4 Devolución de activos. [O]
- [O]= Menciona los puntos a tener en cuenta para garantizar la devolución de los activos.
- 8.2 Clasificación de la información
- 8.2.1 Clasificación de la información [N] [O]
- [N]= La información debe ser clasificada siguiendo requisitos legales.
- [O]=En si la clasificación es una tarea organizativa y en la guía de implementación menciona los puntos a tener en cuenta para que el propietario de activo de información la clasifique.
- 8.2.2 Etiquetado de la información. [O]
- [O]= EL control dice que se deben desarrollar e implementar un conjunto de procedimientos para etiquetar la información.
- 8.2.3 Manipulado de la información. [O]
- [O]= EL control dice que se deben desarrollar e implementar un conjunto de procedimientos para manipular la información.
- 8.3 Manipulación de los soportes.
- 8.3.1 Gestión de soportes extraíbles. [O]
- [O]= El control menciona que se deben implementar procedimientos para la gestión de soportes extraíbles y en la guía de control dan algunas directrices a tener en cuenta.
- 8.3.2 Eliminación de soportes. [O]
- [O]= Menciona algunas directrices a tener en cuenta para la eliminación segura de soportes.
- 8.3.3 Soportes físicos en tránsito. [O]
- [O]= Menciona algunos puntos a tener en cuenta al trasportar fuera de la organización soportes que contengan información.
- Categoría 9. Control de acceso
- 9.1 Requisitos del negocio para el control de acceso
- 9.1.1 Política de control de acceso. [O] [N] [T]
- [O]= Dado que contempla acceso físico
- [N]= Para establecer la política se debe tener en cuenta la legislación aplicable relativa a la limitación de acceso a datos y servicios.
- [T]= Dado que contempla también acceso lógico.
- 9.1.2 Acceso a las redes y a los servicios de red. [T] [O]
- [T]=Dado que los procedimientos para otorgar o denegar permisos en la red son técnicos.
- [O]= Menciona que se debe formular la política.
- 9.2 Gestión de acceso de usuario
- 9.2.1 Registro y baja de usuario. [O] [T]
- [O]=El control menciona que debe implantarse un procedimiento.
- [T]= El registro y baja de usuario requieren de procedimientos técnicos.
- 9.2.2 Provisión de acceso de usuario. [O] [T]
- [O]=El control menciona que debe implantarse un procedimiento.
- [T]= La provisión de acceso de usuario requieren de procedimientos técnicos.
- 9.2.3 Gestión de privilegios de acceso. [O] [T]
- [O]= La identificación de derechos de acceso y de necesidades de uso son de orden organizativo.
- [T]=La provisión de privilegios de acceso requiere de procedimientos técnicos.
- 9.2.4 Gestión de la información secreta de la autenticación de usuario. [O] y [T]
- [O]= Se bebe establecer un proceso formal de gestión
- 9.2.5 Revisión de los derechos de acceso de usuario. [T]
- [T]= La revisión de derechos de acceso y cuentas privilegiadas se realiza a través de procedimientos técnicos.
- 9.2.6 Retirada o reasignación de los derechos de acceso. [T] [O]
- [T]= Los procedimientos para la retirada o reasignación de derechos de acceso son técnicos.
- [O]= en la información adicional menciona que se debe informar a los demás empleados que se ha presentado la novedad para que no comparta más información con el empleado saliente.
- 9.3 Responsabilidades del usuario.
- 9.3.1 Uso de la información secreta de autenticación [O]
- [O]= Dado que se basa en la concientización del usuario.
- 9.4 Control de acceso a sistemas y aplicaciones
- 9.4.1 Restricción de acceso a la información. [T]
- [T]= Los requisitos mencionados en la guía de implantación son de orden técnico.
- 9.4.2 Procedimientos seguros de inicio de sesión. [T]
- [T]= la guía de implantación menciona diferentes directrices para llevar a cabo una autenticación adecuada para confirmar la identidad. Tales como el uso de diferentes dispositivos, contraseñas encriptadas entre otros.
- 9.4.3 Sistema de gestión de contraseñas. [T]
- [T]= Los procedimientos para gestión y políticas de contraseñas mencionados en al guía de implantación son de orden técnico.
- 9.4.4 Uso de utilidades con privilegios del sistema. [T]
- [T]= El control y su guía de implantación se refiere únicamente a software que pueda eliminar controles del sistema.
- 9.4.5 Control de acceso al código fuente de los programas. [T]
- [T]=Las directrices mencionadas en la guía de implantación para controlar el acceso a código fuente son procedimientos técnicos.
...