ISO 27001 empresa Energy S.L
Enviado por Desman23 • 4 de Abril de 2019 • Trabajo • 2.190 Palabras (9 Páginas) • 88 Visitas
Índice:
1. Contextualización de la compañía
2. Justificación
3. Alcance de la auditoria
4. Roles y responsabilidad en seguridad de la información
5. Concienciación y educación
6. Clasificación de la información
7. Política de control de acceso
1. CONTEXTUALIZACIÓN DE LA COMPAÑÍA
La empresa que se quiere certificar de la ISO 27001 es Energy S.L empresa especializada en soluciones de control de acceso para terceros y que recientemente quiere certificarse de la norma ISO 27001 porque hace poco sufrió una fuga de información por culpa de una brecha de seguridad y se actualizaron las directrices y pautas a seguir.
La empresa con más de 15 años de experiencia como profesionales en soluciones globales de seguridad electrónica avalan su compromiso con la innovación y la orientación hacia el cliente, ofrece pautas de cómo actuar en caso de incidencias y una completa y continua formación y atención para evitar posibles desviaciones con los sistemas de seguridad y su adaptación y reciclaje legal.
Energy S.L confía en las relaciones a largo plazo, su responsabilidad con el cliente supera las fronteras de la simple instalación de seguridad, forjando vínculos con un asesoramiento completo, tanto a nivel técnico como a nivel legal y sin fecha de caducidad.
La empresa quiere saber si con estos cambios su potencial riesgo a sufrir otra fuga a disminuido y si se ha contribuido a mejorar la seguridad global de la misma.
Cabe destacar que la propia empresa tiene información muy sensible de las empresas a las que presta servicio, y grandes bases de datos con contraseñas y usuarios además de la suya propia, por lo que no pueden permitirse un incidente grave de seguridad, esto los ha llevado a actualizar el sistema y querer auditarse para ver si han mejorado en cuestión de seguridad.
Los principales riesgos a los que se enfrenta la empresa son principalmente la fuga de información crítica de otras empresas a las que da servicio y de información de la propia empresa. Aun así, una fuga de información de una tercera empresa sería fatal para la compañía ya que se enfrentarían a problemas legales relacionados con la perdida de información de la tercera empresa, lo que sería un doble problema con consecuencias nefastas para la marca Energy S.L y gran cantidad de pérdidas a corto y a largo plazo ya que la imagen de marca quedaría gravemente afectada.
Los objetivos que busca la compañía con esto es, además de mejorar su propia seguridad, ofrecer la máxima confianza para que futuros clientes confíen en la compañía, esta certificación supondría una mejora de cara a publicitarse con empresas interesadas en implementar estos métodos de control de accesos, ya que en este mundo la confianza es muy importante y una empresa para poder vender seguridad tiene que ser de primeras lo más segura posible y dar confianza al resto para que compre sus productos, por eso se cree que esta medida es tremendamente interesante y que podría suponer beneficio para todas las parte implicadas.
La implantación y posterior certificación de estos sistemas supone la implicación de toda la empresa, empezando por la dirección sin cuyo compromiso es imposible su puesta en marcha. La dirección de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Además, es la única que puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el sistema.
Organigrama de la empresa:
Base legal: ISO 27001. 4.1 Comprender la organización y su contexto
2. JUSTIFICACIÓN
La implantación de este sistema supondría:
1.- Se obtendría una reducción en los riesgos debido al seguimiento y establecimiento de controles sobre los mismos, lo que reducirá las amenazas potenciales hasta asumir un nivel decente de la empresa en cuestión de seguridad. En caso de que se produjese una incidencia los riesgos se minimizarían y estaría todo lo más controlado posible.
2.- La seguridad se convertiría en una actividad de gestión, dejaría de ser un conjunto de actividades para convertirse en un ciclo de vida metódico y controlado en el que participaría toda la organización.
3.- Se reducirían costes derivados de una racionalización de los recursos ya que se eliminarían inversiones necesarias fruto de desestimar o sobreestimar riesgos.
4.- La organización se aseguraría cumplir la legislación vigente protegiendo a la empresa en aspectos que posiblemente no se hubieran tenido en cuenta anteriormente.
5.- La empresa se mantendría actualizada y preparada ante una posible falla de seguridad y se mantendría a los trabajadores informados y reciclados al respecto, ya que se implementarían cursos de concienciación.
6.- Finalmente la certificación del SGSI mejoraría la competitividad en el mercado y lo diferenciaría de empresas que no lo tuviesen haciéndola más fiable e incrementando su prestigio.
Base legal: ISO 27001. 4.2 Comprender las necesidades y expectativas de partes interesadas
3. ALCANCE
El alcance sería para todos los sistemas que soportan el almacenaje de información sensible de terceros, así como la información crítica de la propia empresa. Repasar los backups y rediseñarlos para almacenar solo lo realmente crítico.
3.1 Activos de información -> Servidores, intranet, permisos de los usuarios, datos relevantes de los clientes.
3.2 Ubicación física -> Sede de Energy S.L, Polígono industrial Cabezo Beaza, Cartagena (Murcia).
3.3 Actividades de mayor importancia -> Accesos a la empresa, acceso a los datos sensibles, protocolos de seguridad, concienciación de los empleados, control de accesos.
Durante la realización de SGSI se prevé que los servicios de la empresa queden momentáneamente inoperativos, tanto la intranet como el servidor con la información de los clientes, en este caso se avisará a los mismo que cierto día el sistema estará en mantenimiento para que tomen las medidas alternativas oportunas, este mantenimiento para los clientes deberá durar lo mínimo posible ya que de lo contrario sería contraproducente para la empresa.
Base legal: ISO 27001. 4.3 Determinar Alcance
Tras la pre-auditoría se observan ciertos puntos que no están bien definidos, los cuales se intentaran solventar a continuación.
4.- ROLES Y RESPONSABILIDAD EN SEGUIRIDAD DE LA INFORMACIÓN.
Se traslada al Director de Seguridad, como responsable de seguridad, y al departamento de tecnología de la información, las siguientes directivas que deben de implantarse. El director será quien deba supervisar
...