ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Caso práctico proyectos de seguridad


Enviado por   •  22 de Enero de 2019  •  Apuntes  •  1.391 Palabras (6 Páginas)  •  1.227 Visitas

Página 1 de 6

Actividades[pic 1]

Trabajo: Caso práctico proyectos de seguridad

El escenario en el que se enmarca esta actividad es el siguiente:

Has sido nombrado reciénteme como nuevo responsable de seguridad de la información de una importante empresa dedicada a la fabricación de maquinaria industrial. Esta posición es de nueva creación tras la adquisición de la entidad por un grupo empresarial con un fuerte compromiso con la seguridad de la información.

Como primer cometido a desarrollar en tu nuevo puesto, la Dirección te ha pedido que abordes las tareas más urgentes en la organización para gestionar adecuadamente los riesgos actuales y de esta forma proteger de la mejor forma posible la información.

Para ello, encargas a una consultora la elaboración de un Plan Director de Seguridad. Tras varias semanas, tienes encima de la mesa un plan de proyectos entre los que destacan por su prioridad e impacto los siguientes:

  • Correcta gestión de las vulnerabilidades técnicas. Ref: ISO 27002 (A12.6).
  • Mejora de las medidas de seguridad física. Ref: ISO 27002 (A11.1).
  • Incremento de la seguridad en las redes de la empresa. Ref: ISO 27002 (A13.1).

En el escenario descrito, se pide al alumno que escoja uno de los proyectos propuestos definiendo:

  1. Un contexto para la empresa pudiendo tomar como partida las directrices dadas en el capítulo 4 de la ISO/IEC 27001.

La empresa Compad situada en la calle Villaverde 45. Es una empresa del sector eléctrico y su principal función es hacer instalaciones tanto eléctricas como cableado de datos.

Internamente está organizada en 5 departamentos (RRHH, Marketing, Ventas, Administracion e investigación).

TABLA DE NECESIDADES – EXPECTATIVAS (punto 4.2 ISO 27001)

Necesidades

Expectativas

Seguridad en el envío de la información

Recepción correcta de la información la información

El software de negocio debe de estar licenciado

Tener licencia activas y apoyo de soporte cuando sea conveniente

Todos los datos confidenciales tanto como planos, nombres de obras y datos de las mimas, serán guardados redundantemente

Backups regulares, en un sitio controlado y fuera de peligro

  1. Identificar brevemente los principales riesgos asociados que podría tener una empresa como la indicada.
  • Contraseñas débiles.
  • Conexiones entre sedes sin cifrar.
  • Malas prácticas de seguridad por parte de los usuarios de la empresa.
  • Pérdida de suministro eléctrico.
  • Pérdida de datos
  • Interceptación de los mensajes.
  • Perdida de datos.
  1. Priorizar los proyectos justificando el que debe tener mayor prioridad justificando el porqué de la elección y de qué modo mitigaría los riesgos identificados.
  • Contraseñas débiles, Conexiones sin cifrar y Malas prácticas de seguridad por parte de los usuarios de la empresa.
  1. Para el proyecto escogido se debe especificar:
  • Descripción general del proyecto
  • Sus objetivos

Los controles serían los siguientes:

  • Controlar la seguridad de la red, gestionadas y controladas para proteger la información en los sistemas y aplicaciones (ISO 27002, Control 13.1.1).
  • Seguridad en los servicios de red: mecanismos de seguridad, niveles de servicio, requisitos de gestión de todos los servicios de red (ISO 27002, Control 13.1.2).
  • Segregación en redes: incluyendo usuarios y sistemas de información (ISO 27002, Control 13.1.3).
  • Políticas y procedimientos de intercambio de información: Cómo se va intercambiar los planos (ISO 27002, Control 13.2.1).
  • Mensajería electrónica: Como se establecerá contacto con el cliente (ISO 27002, Control 13.2.3).
  • Acuerdos de confidencialidad o no revelación: acuerdos para no revelar información de cualquier obra en curso (ISO 27002, Control 13.2.4).
  • Protección de las transacciones de servicios de aplicaciones: aplicaciones importantes para la implantación del negocio (ISO 27002, Control 14.1.3).
  • Política de desarrollo seguro: todo el software licenciado y con soporte para el seguro mantenimiento del negocio (ISO 27002, Control 14.2.1).
  • Restricciones a los cambios en los paquetes de software, hasta su control riguroso (ISO 27002, Control 14.2.4).
  • Principios de ingeniería de sistemas seguros, se deben establecer, documentar, mantener y aplicarse a todos los esfuerzos de sistemas de información de la empresa. (ISO 27002, Control 14.2.5).
  • Politica de seguridad de la información en las relaciones con los proveedores: se debe de acordar la penetración en los activos por parte del proveedor (ISO 27002, Control 15.1.1).
  • Requisitos de seguridad en contratos con terceros, se debe cumplimentar todo lo que pueda ser usado por un tercero (ISO 27002, Control 15.1.2).
  • Gestión de la provisión de servicios del proveedor, se debe revisar todas las iteraciones con el proveedor. (ISO 27002, Control 15.2.1).
  • Gestión de cambios en la provisión del servicio del proveedor, se debe cumplimentar como se va a llevar a cabo el cambio y el negocio como llega a estar afectado. (ISO 27002, Control 15.2.2).
  • Responsabilidades y procedimientos, se debe cumplimentar todos los pasos para salvaguardar en todo caso la integridad de los activos. (ISO 27002, Control 16.1.1).
  • Notificación de eventos de seguridad de la información, en caso de alarma se deberá notificar por la vía adecuada (ISO 27002, Control 16.1.2).
  • Notificación de puntos débiles de la seguridad (ISO 27002, Control 16.1.3).
  • Evaluación y decisión sobre los eventos de la seguridad de la información (ISO 27002, Control 16.1.4).
  • Respuesta a los incidentes de seguridad de la información, tener procedimientos documentados para cada uno de los casos. (ISO 27002, Control 16.1.5).
  • Aprendizaje de los incidentes de seguridad de la información, conocimiento mediante el análisis y resolución de incidentes (ISO 27002, Control 16.1.6).
  • Planificación de la continuidad de la seguridad de la información, asegurar una continuidad en el negocio pese a los incidentes provocados (ISO 27002, Control 17.1.1).
  • Implementar la continuidad de la seguridad de la información, asegurar una continuidad en el negocio pese a los incidentes provocados (ISO 27002, Control 17.1.1).
  • Verificación, revisión y evaluación de la continuidad de la seguridad de la información, comprobación de los controles establecidos (ISO 27002, Control 17.1.2).
  • Cumplimiento de los requisitos legales y contractuales, los requisitos pertinentes deberán de ser cumplimentados en el sistema de información (ISO 27002, Control 18.1.1).
  • Derechos de propiedad intelectual, garantizar estos requisitos legales de propiedad intelectual (ISO 27002, Control 18.1.2).
  • Revisión independiente de la seguridad de la información, cuando se produzcan cambios significativos en la implantación. (ISO 27002, Control 18.2.1).
  • Cumplimiento de las políticas y normas de seguridad, asegurarse de todos los procedimientos sean realizados correctamente. (ISO 27002, Control 18.2.2).
  • Comprobación del cumplimiento técnico, asegurarse de todos los procedimientos sean realizados correctamente. (ISO 27002, Control 18.2.3).

Para el cumplimiento de la tríada CID el objetivo es evitar que se haga un ataque man-in-the-middle y pueda interceptar la información.

...

Descargar como (para miembros actualizados) txt (10 Kb) pdf (162 Kb) docx (68 Kb)
Leer 5 páginas más »
Disponible sólo en Clubensayos.com