Asignatura Datos del alumno Fecha

Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro

Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

Caso práctico

Trabajo: KHC Abogados

En la actualidad, la información ha pasado a ser uno de los activos más valiosos para las
Organizaciones. De una buena gestión de la información dependerá, en gran medida, el buen
funcionamiento de la empresa.

Tras un problema en sus servidores, que ha provocado la pérdida de parte de la información

confidencial manejada, KHC Abogados, que hasta entonces no había tenido en cuenta la
seguridad de la información, convierte la misma en uno de los objetivos estratégicos para el
próximo año. Para ello decide implantar y certificar un Sistema de Gestión de la Seguridad de
la Información en base a la Norma ISO/IEC 27001 y te nombra responsable del SGSI.

Preguntas del profesor

Con los datos facilitados en el caso práctico, los que necesites extraer de las unidades, así
como de cualquier otra fuente de información, como pueden ser las propias Normas de
gestión, da respuesta a las siguientes cuestiones:

Antes de comenzar con la implantación y como responsable del Sistema, debes plantearte
estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Cumplimenta la siguiente tabla.

¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Principales errores

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro
Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de
riesgos?

¿Qué información documentada derivaría de la implantación del SGSI en base a la Norma

ISO/IEC 27001?

¿Qué política seguirías para controlar los accesos externos a la red interna?

Objetivos

Comprender las actividades que una organización ha de llevar a cabo para poder implantar y
certificar un sistema de gestión de la SGSI conforme a la norma Norma UNE-ISO/IEC
27001:2017.

Criterios de evaluación

» Criterios de contenido (80 %):

o Cumplimentar la tabla incluyendo lo que debe hacer y lo que NO debe hacer KHC
Abogados. (20 %)
o Explicar los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de
riesgos. (20 %)
o Especificar la información documentada que se derivaría de la implantación del SGSI
en base a la Norma ISO/IEC 27001. (20 %)
o Razonar qué política se seguiría para controlar los accesos externos a la red interna. (20
%)

» Criterios formales y de estilo (20 %):

o Bibliografía de consulta de acuerdo a criterios APA sexta edición. (10 %)
o Ajuste de la extensión máxima y respeto al tamaño de la letra, la fuente y los márgenes
del documento. (5 %)
o Estilo de redacción y ortografía correcta. (5 %)

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro
Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

» Nota importante: Se considerará directamente suspensa la actividad en caso de que se

incluya en su desarrollo de bibliografía legislación derogada o normas de referencia
anuladas.

Extensión máxima: 3 páginas, fuente Georgia 11 e interlineado 1,5 (incluida la

bibliografía). Márgenes superior, inferior, izquierdo y derecho a 2,5 cm.

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro
Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

Caso práctico
Antes de comenzar con la implantación y como responsable del Sistema, debes plantearte
estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Cumplimenta la siguiente tabla.

¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Principales errores
 Se debe establecer responsabilidades  No contar con una planificación.
para con la seguridad de la  Plantearse objetivos que puedan ser
información. cumplidos, no tener una actitud muy
 Establecer el alcance y procesos positiva al momento de diseñarlos.
críticos a proteger  No proporcionar formación al
 Definir la política de la seguridad de personal que desarrollará el sistema
la información de gestión.
 Designar los recursos tanto  Definir una política que no cumple
económicos, humanos y materiales con las expectativas de la
para lograr una implantación exitosa. organización.
 Dar a conocer la participación de cada  Depender de manera exclusiva de
miembro de la organización en el
personal externo para implementar el
desarrollo del sistema.
sistema.
 No obtener la certificación solo para
tenerla en papel, sino como una
herramienta que se evalúa y mejora de
manera continua.
 No proporcionar tiempo y dedicación
por parte del organismo establecido
para el sistema.
 No controlar la destrucción de la
información


¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de
riesgos?
Establecer el proceso de apreciación de riesgos de seguridad de la información, que
comprende:

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro
Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

1) Identificacion del riesgo

Los métodos de identificación del riesgo pueden incluir:
 Métodos basados en evidencias como pueden ser, las listas de verificación y las
revisiones de datos históricos.
 Enfoques sistemáticos de equipos, como los grupos de expertos que siguen un método
con una sistemática estructurada de preguntas para identificar los riesgos.
 Técnicas de razonamiento inductivo como el método HAZOP.
2) Análisis del riesgo
Esta fase implica una comprensión del riesgo, es decir, determinar sus consecuencias y
probabilidades, teniendo en cuenta la presencia y la eficacia de los controles existentes.
Los métodos que se utilizan para este análisis de riesgos pueden ser cualitativos,
semicuantitativos o cuantitativos.
3) Evaluación del riesgo
En la fase de evaluación se toman las decisiones sobre las acciones futuras basadas en el
conocimiento del riesgo que se ha obtenido durante la fase de análisis.
En la mayoría de las ocasiones, el criterio para tomar la decisión de, si se debe tratar el riesgo
y cómo hacerlo, depende de los costes/beneficios de aceptar el riesgo y/o de implantar los
controles pertinentes.
¿Qué información documentada derivaría de la implantación del SGSI en base a la Norma
ISO/IEC 27001?
La información documentada a generarse durante la implantación del SGSI será:
 Proceso de apreciación de riesgos de seguridad de la información
 Proceso de tratamiento de riesgos de seguridad de la información
 Objetivos de seguridad de la información
 Competencia de los integrantes de la organización
 Planificación, implementación y control de procesos
 Resultados de la apreciación de riesgos de seguridad de la información
 Resultado del tratamiento de riesgos de seguridad de la información
 Resultados del seguimiento, medición análisis y mejora
 Resultado de la auditoria interna
 Implementación del programa de auditoria
 Resultados de las revisiones por la dirección
 No conformidades

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Pauta Chamorro
Seguridad de la Información ISO 29/10/2019
27000 y 27001; ISO 20000-1/2018 Nombre: Lady Leonor

 Resultados de las acciones correctivas

¿Qué política seguirías para controlar los accesos externos a la red interna?
 Informar al usuario del peligro en el que se incurre al introducir software no
autorizado por la organización en los equipos tanto internos como externos con
acceso a la red interna.
 Revisar de forma esporádica el estado de los equipos y sus amenazas para detectarlas
a tiempo y poder impedir su introducción en el sistema.
 Establecer protocolos seguros para el reconocimiento de usuarios remotos, analizado
en el tema anterior.
 Desarrollar una política para escritorios, tanto virtuales como físicos, vacíos.
 Hay que ser capaces de dejar el puesto de modo que alguien sea capaz de sustituir a
otra persona en cualquier momento sin que acceda de forma indebida a dato alguno.
Bibliografía
ISOTools ISO 27001,2014; ISO 27001. Errores frecuentes en su implantación;
https://es.slideshare.net/ISOTools_Chile/errores-iso-27001-30896151
Mendoza Miguel Angel, 2017; 6 consideraciones previas a la implementación del SGSI;
https://www.welivesecurity.com/la-es/2017/11/06/consideraciones-implementacion-del-
sgsi/
Zubieta Josè Ma, 2018; Gestión de la I+D+i; Gestión de la Seguridad de la Información ISO
2700 y 27001; ISO 20000-1/2018. Unir; España

TEMA 4 – Caso práctico