Caso Practico SGSI
Enviado por laz21 • 9 de Agosto de 2012 • 1.702 Palabras (7 Páginas) • 1.500 Visitas
Caso práctico: Enunciado
Paso 1
Para el caso práctico se ha tomado como ejemplo de organización una asesoría fiscal y laboral, "Asesoría Ejemplo". El inventario de activos para el desarrollo del SGSI de la "Asesoría Ejemplo" es el mostrado en la tabla que se encuentra más abajo con el título de "Valoración de Activos".
En primer lugar deberíamos valorar cada parámetro de seguridad, para calcular el valor de los activos, según los siguientes criterios:
Disponibilidad
Valor Criterio
0 No aplica / No es relevante
1 Debe estar disponible al menos el 10% del tiempo
2 Debe estar disponible al menos el 50% del tiempo
3 Debe estar disponible al menos el 99% del tiempo
Integridad
Valor Criterio
0 No aplica / No es relevante
1 No es relevante los errores que tenga o la información que falte
2 Tiene que estar correcto y completo al menos en un 50%
3 Tiene que estar correcto y completo al menos en un 95%
Confidencialidad
Valor Criterio
0 No aplica / No es relevante
1 Daños muy bajos, el incidente no trascendería del área afectada
2 Serían relevantes, el incidente implicaría a otras áreas
3 Los daños serían catastróficos, la reputación y la imagen de la organización se verían comprometidas
Los valores totales son la suma de los valores de los tres parámetros.
Valoración de activos
Tipo Activo Confidenc. Integrad. Disponib. Valor Total
Software Aplicaciones de gestión 2 2 3 7
Aplicaciones comerciales 0 1 3 4
Hardware Servidores 0 1 3 4
Puestos de usuario 1 1 2 4
Red de comunicaciones 2 2 3 7
Instalaciones Oficinas 0 3 3 6
Personal Empleados 2 2 2 6
Subcontratados 2 2 1 5
Datos Expedientes 3 3 3 9
Contabilidad 3 3 3 9
Paso 2
Para realizar el Análisis de Riesgos, se muestran en las tablas "Valores de Riesgos I y II" los activos con su valor y una lista de amenazas. En esta siguiente fase se ha de valorar la probabilidad de ocurrencia de las amenazas según el siguiente criterio:
Probabilidad
Valor Criterio
10% Ocurre una vez cada 10 años
20% Ocurre una vez cada 5 años
40% Ocurre una vez al año
60% Ocurre una vez al mes
80% Ocurre una vez a la semana
100% Ocurre varias veces a la semana
El valor del riesgo para cada amenaza se calcula según la siguiente fórmula:
Riesgo= Valor del activo * probabilidad de ocurrencia de la amenaza
Tomaremos el valor de riesgo para el activo será el mayor valor que arrojen los valores individuales de cada amenaza.
Valores de riesgo I
Valor del activo Fuego Inundación Fallo del suministro eléctrico Fallo de las comunicaciones Errores de los usuarios Errores del administrador Errores organizativos Difusión de software dañino Destrucción de información
Probabilidad 10% 10% 20% 40% 100% 60% 80% 60% 40%
Aplicaciones de gestión 7 0,7 0,7 1,4 2,8 7 4,2 5,6 4,2 2,8
Aplicaciones comerciales 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6
Servidores 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6
Puestos de usuario 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6
Red de comunicaciones 7 0,7 0,7 1,4 2,8 7 4,2 5,6 4,2 2,8
Oficinas 6 0,6 0,6 1,2 2,4 6 3,6 4,8 3,6 2,4
Empleados 6 0,6 0,6 1,2 2,4 6 3,6 4,8 3,6 2,4
Subcontratados 5 0,5 0,5 1 2 5 3 4 3 2
Expedientes 9 0,9 0,9 1,8 3,6 9 5,4 7,2 5,4 3,6
Contabilidad 9 0,9 0,9 1,8 3,6 9 5,4 7,2 5,4 3,6
Valores de riesgo II
Valor del activo Difusión de información Fallos de mantenimiento de hardware Fallos de mantenimiento de software Suplantación de la identidad del usuario Accesos no autorizado Robo Indisponibilidad del personal Ingeniería social Riesgo
Probabilidad 40% 40% 40% 20% 40% 20% 20% 20%
Aplicaciones de gestión 7 2,8 2,8 2,8 1,4 2,8 1,4 1,4 1,4 7
Aplicaciones comerciales 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4
Servidores 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4
Puestos de usuario 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4
Red de comunicaciones 7 2,8 2,8 2,8 1,4 2,8 1,4 1,4 1,4 7
Oficinas 6 2,4 2,4 2,4 1,2 2,4 1,2 1,2 1,2 6
Empleados 6 2,4 2,4 2,4 1,2 2,4 1,2 1,2 1,2 6
Subcontratados 5 2 2 2 1 2 1 1 1 5
Expedientes 9 3,6 3,6 3,6 1,8 3,6 1,8 1,8 1,8 9
Contabilidad 9 3,6 3,6 3,6 1,8 3,6 1,8 1,8 1,8 9
Paso 3
Haciendo un resumen, las medidas de seguridad con las que ya cuenta la empresa son las siguientes:
• (Referido a 6 controles) Seguridad física de las instalaciones (Correspondiente a la seguridad física aplicada en las dependencias/edificios de la organización).
• (Referido a 1 control) Controles sobre los datos de entrada en las aplicaciones.
• (Referido a 6 controles) Controles que aseguran a los privilegios de acceso a la información y los sistemas.
• (Referido a 5 controles) Controles que establecen los procedimientos de comunicación y resolución de problemas e incidencias.
• (Referido a 1 control) Procedimientos de copias de seguridad.
• (Referido a 3 controles) Procedimientos de identificación y autenticación de usuarios en los sistemas.
• (Referido a 2 controles) Protección contra virus y malware.
Teniendo en cuenta las medidas ya implantadas y los riesgos detectados en los pasos anteriores, se han decidido implantar las siguientes medidas de seguridad (cada una de ellas puede afectar a uno o varios controles de la norma ISO 27001):
• (Referido a 2 controles) Tener una política de seguridad de la información y controlar su ciclo de vida.
• (Referido a 1 control) Tener las responsabilidades claramente definidas.
• (Referido a 1 control) Insertar cláusulas detalladas de seguridad en los contratos con terceros.
• (Referido a 1 control) Contar con personal específico para la gestión de la seguridad.
• (Referido a 1 control) Entrenar y formar al personal en seguridad.
• (Referido a 3 controles) Establecer procedimientos para cambios y finalización del empleo así como para todas las acciones relacionadas con el cese de un empleado.
• (Referido a 1
...