Caso Practico SGSI

Caso práctico: Enunciado

Paso 1

Para el caso práctico se ha tomado como ejemplo de organización una asesoría fiscal y laboral, "Asesoría Ejemplo". El inventario de activos para el desarrollo del SGSI de la "Asesoría Ejemplo" es el mostrado en la tabla que se encuentra más abajo con el título de "Valoración de Activos".

En primer lugar deberíamos valorar cada parámetro de seguridad, para calcular el valor de los activos, según los siguientes criterios:

Disponibilidad

Valor Criterio

0 No aplica / No es relevante

1 Debe estar disponible al menos el 10% del tiempo

2 Debe estar disponible al menos el 50% del tiempo

3 Debe estar disponible al menos el 99% del tiempo

Integridad

Valor Criterio

0 No aplica / No es relevante

1 No es relevante los errores que tenga o la información que falte

2 Tiene que estar correcto y completo al menos en un 50%

3 Tiene que estar correcto y completo al menos en un 95%

Confidencialidad

Valor Criterio

0 No aplica / No es relevante

1 Daños muy bajos, el incidente no trascendería del área afectada

2 Serían relevantes, el incidente implicaría a otras áreas

3 Los daños serían catastróficos, la reputación y la imagen de la organización se verían comprometidas

Los valores totales son la suma de los valores de los tres parámetros.

Valoración de activos

Tipo Activo Confidenc. Integrad. Disponib. Valor Total

Software Aplicaciones de gestión 2 2 3 7

Aplicaciones comerciales 0 1 3 4

Hardware Servidores 0 1 3 4

Puestos de usuario 1 1 2 4

Red de comunicaciones 2 2 3 7

Instalaciones Oficinas 0 3 3 6

Personal Empleados 2 2 2 6

Subcontratados 2 2 1 5

Datos Expedientes 3 3 3 9

Contabilidad 3 3 3 9

Paso 2

Para realizar el Análisis de Riesgos, se muestran en las tablas "Valores de Riesgos I y II" los activos con su valor y una lista de amenazas. En esta siguiente fase se ha de valorar la probabilidad de ocurrencia de las amenazas según el siguiente criterio:

Probabilidad

Valor Criterio

10% Ocurre una vez cada 10 años

20% Ocurre una vez cada 5 años

40% Ocurre una vez al año

60% Ocurre una vez al mes

80% Ocurre una vez a la semana

100% Ocurre varias veces a la semana

El valor del riesgo para cada amenaza se calcula según la siguiente fórmula:

Riesgo= Valor del activo * probabilidad de ocurrencia de la amenaza

Tomaremos el valor de riesgo para el activo será el mayor valor que arrojen los valores individuales de cada amenaza.

Valores de riesgo I

Valor del activo Fuego Inundación Fallo del suministro eléctrico Fallo de las comunicaciones Errores de los usuarios Errores del administrador Errores organizativos Difusión de software dañino Destrucción de información

Probabilidad 10% 10% 20% 40% 100% 60% 80% 60% 40%

Aplicaciones de gestión 7 0,7 0,7 1,4 2,8 7 4,2 5,6 4,2 2,8

Aplicaciones comerciales 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6

Servidores 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6

Puestos de usuario 4 0,4 0,4 0,8 1,6 4 2,4 3,2 2,4 1,6

Red de comunicaciones 7 0,7 0,7 1,4 2,8 7 4,2 5,6 4,2 2,8

Oficinas 6 0,6 0,6 1,2 2,4 6 3,6 4,8 3,6 2,4

Empleados 6 0,6 0,6 1,2 2,4 6 3,6 4,8 3,6 2,4

Subcontratados 5 0,5 0,5 1 2 5 3 4 3 2

Expedientes 9 0,9 0,9 1,8 3,6 9 5,4 7,2 5,4 3,6

Contabilidad 9 0,9 0,9 1,8 3,6 9 5,4 7,2 5,4 3,6

Valores de riesgo II

Valor del activo Difusión de información Fallos de mantenimiento de hardware Fallos de mantenimiento de software Suplantación de la identidad del usuario Accesos no autorizado Robo Indisponibilidad del personal Ingeniería social Riesgo

Probabilidad 40% 40% 40% 20% 40% 20% 20% 20%

Aplicaciones de gestión 7 2,8 2,8 2,8 1,4 2,8 1,4 1,4 1,4 7

Aplicaciones comerciales 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4

Servidores 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4

Puestos de usuario 4 1,6 1,6 1,6 0,8 1,6 0,8 0,8 0,8 4

Red de comunicaciones 7 2,8 2,8 2,8 1,4 2,8 1,4 1,4 1,4 7

Oficinas 6 2,4 2,4 2,4 1,2 2,4 1,2 1,2 1,2 6

Empleados 6 2,4 2,4 2,4 1,2 2,4 1,2 1,2 1,2 6

Subcontratados 5 2 2 2 1 2 1 1 1 5

Expedientes 9 3,6 3,6 3,6 1,8 3,6 1,8 1,8 1,8 9

Contabilidad 9 3,6 3,6 3,6 1,8 3,6 1,8 1,8 1,8 9

Paso 3

Haciendo un resumen, las medidas de seguridad con las que ya cuenta la empresa son las siguientes:

• (Referido a 6 controles) Seguridad física de las instalaciones (Correspondiente a la seguridad física aplicada en las dependencias/edificios de la organización).

• (Referido a 1 control) Controles sobre los datos de entrada en las aplicaciones.

• (Referido a 6 controles) Controles que aseguran a los privilegios de acceso a la información y los sistemas.

• (Referido a 5 controles) Controles que establecen los procedimientos de comunicación y resolución de problemas e incidencias.

• (Referido a 1 control) Procedimientos de copias de seguridad.

• (Referido a 3 controles) Procedimientos de identificación y autenticación de usuarios en los sistemas.

• (Referido a 2 controles) Protección contra virus y malware.

Teniendo en cuenta las medidas ya implantadas y los riesgos detectados en los pasos anteriores, se han decidido implantar las siguientes medidas de seguridad (cada una de ellas puede afectar a uno o varios controles de la norma ISO 27001):

• (Referido a 2 controles) Tener una política de seguridad de la información y controlar su ciclo de vida.

• (Referido a 1 control) Tener las responsabilidades claramente definidas.

• (Referido a 1 control) Insertar cláusulas detalladas de seguridad en los contratos con terceros.

• (Referido a 1 control) Contar con personal específico para la gestión de la seguridad.

• (Referido a 1 control) Entrenar y formar al personal en seguridad.

• (Referido a 3 controles) Establecer procedimientos para cambios y finalización del empleo así como para todas las acciones relacionadas con el cese de un empleado.

• (Referido a 1

...