Asignatura Datos del alumno Fecha

Gestión de I+D+i; Gestión de la Apellidos: Poveda Flores

Seguridad de la Información ISO 11/11/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Brian Javier

Caso práctico

Trabajo: KHC Abogados

Antes de comenzar con la implantación y como responsable del Sistema,
debes plantearte estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO
debe hacer KHC Abogados? Cumplimenta la siguiente tabla.

¿Qué debe hacer KHC Abogados?
Capacitación formal en el SGSI.
Documentar requisitos normativos.
Publicar documentación del SGSI.
Obtener el apoyo de la dirección.
Tomarlo como un proyecto.
¿Qué NO debe hacer KHC Abogados?
Principales errores
Dependencia absoluta del sistema a una
consultora externa.
No tendrá éxito la implantación de este
sistema con el único fin de conseguir una
acreditación o certificación oficial.
- diseñar un SGSI por encima de las
necesidades y posibilidades de la
organización.

¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la
evaluación de riesgos?
 Identificar los propietarios de los activos.
 Identificar los diligentes de la organización.
 Localizar las amenazas bajo las que utilizan estos activos.
 Realizar valoraciones conforme a la confidencialidad.
 Detallar un procedimiento de cálculo para el riesgo.
 Valorar los impactos para la organización de la materialización de las amenazas

¿Qué información documentada derivaría de la implantación del SGSI en

base a la Norma ISO/IEC 27001?
 Apreciación de riesgos de seguridad de la información.
 Proceso de tratamiento de riesgos de seguridad de la información.

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Poveda Flores
Seguridad de la Información ISO 11/11/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Brian Javier

 Competencia de los integrantes de la Organización.

 Organización, ejecución y control de los procesos.
 Resultados de las apreciaciones de riesgos de seguridad de la información.
 Resultados del tratamiento de los riesgos de seguridad de la información.
 Resultados de la auditoría interna. Implementación del programa de auditoría.
 Resultados de las revisiones por la dirección. No conformidades.
 Resultados acciones correctivas.

¿Qué política seguirías para controlar los accesos externos a la red interna?

Los responsables de la administración de la infraestructura tecnológica deberán asignar los

accesos a las plataformas, usuarios y segmentos de red de acuerdo a métodos formales de
autorización los cuales deben ser revisados de manera periódica. El salvoconducto para el
acceso a los sistemas de información debe ser especificada y certificada por la dependencia
dueño de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de
clasificación de la información identificada, según la cual se deben determinar los controles y
privilegios de acceso que se pueden otorgar a los funcionarios y terceros e implementada por
la Dirección de Tecnología. Cualquier beneficiario interno o externo que requiera acceso
remoto a la red y a servicios básicos de procesamiento de información, siempre debe estar
autenticado y sus conexiones deberán utilizar cifrado de datos .

Bibliografía

CRA. (2009). virtualpro. Obtenido de virtualpro:

https://www.virtualpro.co/biblioteca/norma-ntc-iso-iec-27001-sistema-de-gestion-de-
seguridad-de-informacion

Capítulo 4, Manual de la asignatura

TEMA 4 – Caso práctico