Está en la página 1de 8

SISTEMA DE GESTION DE SEGURIDAD

(233003A_614)

Escenario problema 2 - fase 3: Aplicación de controles necesarios para la protección y


mejoramiento del SGSI.

CRISTIAN GÓMEZ RAVELO

Director
EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


ESCUELA DE CIENCIAS BASICAS, TECNOLOGÌA E INGENIERÌA
ESPECIALIZACION
OCTUBRE
2019
2

CONTENIDO

ACTIVIDAD ................................................................................................................. 3

Proyecto para la correcta gestión y análisis de las vulnerabilidades técnicas. ........... 4

DESCRIPCIÓN GENERAL DEL PROYECTO ............................................................ 4

OBJETIVOS ................................................................................................................ 5

GENERAL................................................................................................................ 5

ESPECIFICOS .......................................................................................................... 5

EL ALCANCE DEL PROYECTO ............................................................................... 6

El alcance de proyecto incluye: ................................................................................... 6

TIEMPO ESTIMADO ................................................. ¡Error! Marcador no definido.

IDENTIFICACION DE RIESGOS ............................................................................ 7

BIBLIOGRAFÍA ........................................................................................................... 8
3

ACTIVIDAD

En este escenario planteado, se pide al estudiante que escoja uno de los proyectos propuestos
teniendo en cuenta y definiendo los siguientes criterios:

1. Realizar un contexto para la empresa pudiendo tomar como partida las directrices dadas en el
capítulo 4 de la ISO/IEC 27001.

2. Identificar brevemente los principales riesgos asociados que podría tener una empresa como la
indicada.

3. Priorizar los proyectos justificando el que debe tener mayor prioridad justificando el porqué de la
elección y de qué modo mitigaría los riesgos identificados.
4

PROYECTO PARA LA CORRECTA GESTIÓN Y ANÁLISIS DE LAS


VULNERABILIDADES TÉCNICAS.

DESCRIPCIÓN GENERAL DEL PROYECTO

En una reconocida e importante empresa dedicada a la fabricación de equipos de refinería de


hidrocarburos. La empresa dentro de sus objetivos y políticas organizacionales tiene un alto
compromiso con la seguridad de la información. La Dirección General ha solicitado abordar las
tareas más urgentes de su área para gestionar adecuadamente los riesgos actuales y de esta forma
proteger y garantizar de la mejor forma posible la información.

A.12.6. Gestión de la vulnerabilidad técnica

 A.12.6.1. Gestión de las vulnerabilidades técnicas

Control: Se debería obtener oportunamente información acerca de las vulnerabilidades


técnicas de los sistemas de información que se usen; evaluar la exposición de la organización
a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.

 A.12.6.2. Restricciones sobre la instalación de Software

Control: Se deberían establecer e implementar las reglas para la instalación de software por
parte de los usuarios.
5

OBJETIVOS

GENERAL

Gestionar adecuadamente los riesgos actuales de la empresa y de esta forma proteger y


garantizar de la mejor forma posible la información.

ESPECIFICOS

 Identificar brevemente los principales riesgos asociados


 Realizar un análisis de las vulnerabilidades existentes de la empresa
6

EL ALCANCE DEL PROYECTO

Después de haber sido nombrado recientemente como nuevo responsable de seguridad de la


información. La empresa dentro de sus objetivos y políticas organizacionales tiene un alto
compromiso con la seguridad de la información.

En ese contexto y prioridad, usted ha encargado a una entidad consultora la elaboración de un


Plan Director de Seguridad. Semanas posteriores, tienes en la mesa un plan de proyectos entre
los que destacan por su prioridad e impacto el siguiente proyecto.

 Proyecto para la correcta gestión y análisis de las vulnerabilidades técnicas.


Ref.: ISO/IEC 27002 (A12.6).

El alcance de proyecto incluye:

Aplicación de controles necesarios para la protección y mejoramiento del SGSI en la empresa.


7

IDENTIFICACION DE RIESGOS

El propósito de la identificación del riesgo es determinar que podría suceder que


cause una perdida potencial, y llegar a comprender el cómo, donde, y por qué podría
ocurrir está perdida, las siguientes etapas deberían recolectar datos de entrada para
esta actividad. Para la entidad es muy importante documentar y especificar cada una de
las etapas surtidas para el proceso de Gestión de Riesgos.

Tabla 1. Ejemplo de Análisis de Riesgo

ANÁLISIS DEL RIESGO


PROCESO: ATENCIÓN AL USUARIO
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes
partes interesadas, permitiendo atender las necesidades y expectativas de los
usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones
legales vigentes. 1
RIESGO CALIFICACIÓN Tipo Evaluación Medidas de
Impacto Respuesta
Probabilidad Impacto Zona de Riesgo
Cambio en 3 4 CONFIDEN extrema Reducir el
los datos CIALIDAD Riesgo
de contacto DE LA Evitar
de los INFORMA Compartir o
usuarios CIÓN Transferir

1
Guía de Riesgos DAFP,
8

BIBLIOGRAFÍA

iso27000.es. (2005). ISO 27002 - Controles de seguridad. Recuperado el 26 de 08 de


2019, de http://www.iso27000.es/iso27002.html

Machado, A. A. (s.f.). Recuperado el 14 de 09 de 2019, de

Rico, J. C. (s.f.). Gestión de la Seguridad. Recuperado el 13 de 09 de 2019, de


https://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSe
guridad.pdf