Caso práctico ISO 27001
Enviado por Clau V. Mendoza • 8 de Febrero de 2023 • Práctica o problema • 1.624 Palabras (7 Páginas) • 196 Visitas
CP SURUY- AZUURS
INCIDENTE 1
La política de seguridad de la información de la empresa SURUY establece que los Encargados del Tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento de datos que realizan, incluyendo las siguientes afirmaciones:
■ La organización debe aplicar la seudonimización (ASAP) y el encriptado (END to END): supone el diseño desde el anonimato o la codificación, por ejemplo se indica el nº de historial en vez del nombre y apellidos, y encriptado va desde el origen a destino en las comunicaciones.
■ La organización debe favorecer la confidencialidad, integridad y disponibilidad de los servicios de tratamiento: garantizando el acceso sólo al personal autorizado, con información exacta y que esté disponible en los momentos adecuados.
■ La organización debe facilitar la capacidad de restaurar la disponibilidad y acceso a los datos de forma rápida en caso de incidente físico o técnico, agilizando los procesos ante posibles contingencias.
Analizado el procedimiento por el equipo auditor, se observan las siguientes evidencias:
- Se analiza en que vez del número de historial, las referencias se realizan por el nombre y apellidos, y el encriptado de la información se realiza desde origen hasta destino.
- Se indica y anota que se ha producido el acceso por el personal autorizado, pero no se incluye ninguna otra información.
INCIDENTE Nº 1 SURUY: Incidente Número 1 INFORME DE NO CONFORMIDAD | |
Compañía Auditada: SURUY | Nota Número: 1 |
Área bajo revisión: TI | ISO 27001 Cláusula Número: 8.2 Apreciación de los riesgos de seguridad de la información: Al no identificarse el riesgo |
Categoría: No conformidad Desviación Observación[pic 1] | |
Deficiencia
| |
Auditor: Claudia F. Vargas Mendoza |
INCIDENTE Nº 1 SURUY: Incidente Número 1 INFORME DE NO CONFORMIDAD | |
Compañía Auditada: SURUY | Nota Número: 2 |
Área bajo revisión: TI | ISO 27001 Cláusula Número: 8.3 Tratamiento de los riesgos de seguridad de la información: No se está tratando |
Categoría: No conformidad Desviación Observación[pic 2] | |
Deficiencia
| |
Auditor: Claudia F. Vargas Mendoza |
INCIDENTE Nº 1 SURUY: Incidente Número 1 INFORME DE NO CONFORMIDAD | |
Compañía Auditada: SURUY | Nota Número: 3 |
Área bajo revisión: TI | ISO 27001 Cláusula Número: 8.2 Apreciación de los riesgos de seguridad de la información |
Categoría: No conformidad Desviación Observación[pic 3] | |
Deficiencia
8.2 Apreciación de los riesgos de seguridad de la información para el caso donde se indica y anota que se ha producido el acceso por el personal autorizado, pero no se incluye ninguna otra información, solo si el derecho de acceso permite modificar/eliminar, como mínimo debe contar con un log de actividades que deje constancia de la actividad realizada y sobre qué datos. | |
Auditor: Claudia F. Vargas Mendoza |
...