Está en la página 1de 10

Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

Actividad 1: Estudio de la Norma ISO 27001

Descripción de la actividad

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la información
según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y 27002:2015,
disponibles en el aula virtual.

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de


seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Responde a las siguientes preguntas de forma breve:

» Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro
de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su
objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de
realizar un SGSI.
» Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de
forma justificada.
» De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la
información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos
(N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que
pueden ser a la vez de más de un tipo.

1
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

Desarrollo de la actividad

1. Objetivo de Negocio

» Establece un objetivo de negocio para el que se sustente la necesidad de realizar


un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de
la compañía para entender su objetivo. El objetivo debe estar suficientemente
explicado para justificar la necesidad de realizar un SGSI.

Para el ejercicio se ha tomado una empresa imaginaria llamada BioMetrix.

1.1. Misión

Desarrollar, dar soporte y mantenimiento, a los productos de software construidos para


nuestros clientes, con el objetivo de capturar, utilizar, validar y manejar datos biométricos, tales
como: (a) facial, (b) iris, (c) dactilares y palmares, y (d) firma. Todo esto de forma segura, confiable
y legal. Nos basamos en las tecnologías mas innovadoras de software biométrico a nivel mundial
e implementamos soluciones prácticas adaptadas a las necesidades de nuestros clientes, con
soluciones creativas e intuitivas para los usuarios finales. La seguridad y exactitud del
procesamiento de datos biométricos son nuestro fuerte.

1.2. Visión

Queremos brindar nuevas soluciones de software a empresas que tengan servicios que, de
una u otra forma, necesiten hacer uso de los datos biométricos de un conjunto de personas.
Estamos comprometidos con la solución de problemas de suplantación o usurpación de identidad
y falsedad documental que nuestros clientes tienen en la prestación de sus servicios. Aspiramos
ser socios de gran confianza para entidades: (a) gubernamentales civiles y policiales, (b)

2
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

bancarias, y (c) mundiales que necesiten de nuestros servicios en el desarrollo de software


biométrico.

1.3. Objetivo

Proteger de las diversas amenazas tecnológicas que pueden afectar a la información que
manejan nuestros clientes por medio de nuestros productos de software y/o de los componentes
tecnológicos que intervienen en el procesamiento de dicha información. Por lo cual, mantener
lineamientos y políticas de seguridad, con el personal que realice desarrollo, soporte y
mantenimiento de nuestros productos, que conserven la confidencialidad, integridad y
disponibilidad de la información.

2. Alcance

» Respondiendo a ese objetivo de negocio, establece un posible alcance para


vuestro SGSI de forma justificada.

Los datos biométricos son esas propiedades físicas y/o fisiológicas aplicables a una sola
persona, y que es medible. Para el caso de nuestra compañía solo se establecen propiedades físicas
tales como: (a) facial, (b) iris, (c) dactilares y palmares, y (d) firma.

Son datos muy importantes y sensibles, y cualquier manipulación que se la haga a estos
datos puede ser irreversible, debido a que los datos biométricos de una persona no pueden
cambiarse legalmente, y una vez comprometidos no se podría volver a tener seguridad en su uso.

Una contraseña en la web que sea vulnerada puede ser cambiada por otra de mayor
seguridad, pero si se vulnera algún dato biométrico, como la huella para un préstamo en un banco,
3
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

este dato dejaría de ser confiable. Este ejemplo es de magnitud menor con respecto a todo lo que
se puede hacer con los datos biométricos de una persona.

Cada producto de software entregado a nuestros clientes, contractualmente debe tener un


tiempo de mantenimiento y otro tiempo de soporte. Por tanto se debe establecer un SGSI para las
áreas de desarrollo, mantenimiento y soporte.

Aunque en las áreas de desarrollo y mantenimiento del software no se maneje información


biométrica real, se deben establecer políticas de administración de la información. El software
que se desarrolla o al que se le da mantenimiento, va a ir al nivel de producción del cliente, por
tanto, es el inicio donde se puede dar apertura las diversas amenazas tecnológicas que pueden
llevar a la manipulación de datos, o peor aún, de información. En consecuencia, se debe establecer
una arquitectura que vaya de la mano con el SGSI.

Ahora, en el área de soporte, la cual es más critica desde la perspectiva de datos. El área de
soporte está siempre tratando con datos reales, datos que están en el ambiente de producción del
cliente. Establecer un SGSI en esta área por lo menos dará la seguridad de que no se podrá realizar
cambios en los datos de manera directa sin una autorización establecida.

3. Controles

» De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la


seguridad de la información, 8. Gestión de activos. y 9. Control de acceso,
clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T)
justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más
de un tipo.

4
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 Organización interna

6.1.1 Asignación de responsabilidades para la seguridad de la información.


[O] Asignación de roles y responsabilidades de acuerdo a las políticas de seguridad.

6.1.2 Segregación de tareas.


[O] Asignación de roles y responsabilidades de acuerdo a las políticas de seguridad.
[T] Se deben establecer controles de acceso a los activos de la organización.

6.1.3 Contacto con las autoridades.


[N] Documento normativo que establezca las autoridades a comunicar en caso de algún
incidente.
[T] Establecer medios de comunicación para contactar a las autoridades pertinentes.

6.1.4 Contacto con grupos de interés especial.


[O] Capacitar y coordinar por medio de grupos especiales y asociaciones de seguridad.

6.1.5 Seguridad de la información en la gestión de proyectos.


[N] Documentación de procedimientos y reglas de seguridad en la gestión de proyectos.
[O] Asignación de roles específicos definidos en los métodos de gestión de los proyectos.

6.2 Dispositivos móviles y teletrabajo

6.2.1 Política de uso de dispositivos para movilidad.


[N] Políticas de seguridad para el uso de dispositivos móviles.
[T] Establecer controles tecnológicos para los dispositivos móviles.

5
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

6.2.2 Teletrabajo.
[N] Normativa que establezca las reglas que se deben cumplir al realizar teletrabajo.
[T] Instalación y control de VPN para los empleados en teletrabajo.

8. GESTION DE ACTIVOS

8.1 Responsabilidad por activos

8.1.1 Inventario de activos.


[N] Se debe documentar la importancia de los activos relevantes en el ciclo de vida de la
información.
[T] Herramienta para administración de los activos de la organización.

8.1.2 Propiedad de los activos.


[N] Actas y reglamentos para el manejo que deben llevar los propietarios de los activos.

8.1.3 Uso aceptable de los activos.


[N] Reglamento para el uso de los activos y la información.

8.1.4 Devolución de activos.


[N] Actas y tareas a realizar una vez terminado el uso de activos.

8.2 Clasificación de la información

8.2.1 Directrices de clasificación.


[N] Documento que explique la clasificación de la información.

6
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

8.2.2 Etiquetado y manipulado de la información.


[O] Los procedimientos para dar orientación sobre el uso de las etiquetas en consideración
de cómo se accede a la información o cómo se manejan los activos.
[T] Herramienta para la clasificación de la información.

8.2.3 Manipulación de activos.


[N] Políticas de manipulación de activos.
[T] Mantenimiento técnico y restricción de accesos para cada nivel de clasificación.

8.3 Manejo de activos

8.3.1 Gestión de soportes extraíbles.


[N] Normativa para el uso de medios extraíbles.
[O] Implementar procedimientos para la gestión de medios extraíbles.
[T] Monitorización del ingreso de medios extraíbles, además de la autorización y bloqueo
de los mismos.

8.3.2 Eliminación de medios.


[O] Realizar procedimientos formales para la eliminación segura de los medios de
comunicación cuando ya no sean necesarios, para minimizar el riesgo de fuga de
información confidencial.

8.3.3 Transferencia de medios físicos.


[N] Normativa para protección de los daños físicos que puedan surgir en el tránsito y de
acuerdo con las especificaciones de los fabricantes.
[T] Herramienta(s) para monitoreo, administración y protección para el contenido de los
medios.

7
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

9. CONTROL DE ACESO

9.1 Requisitos comerciales de control de acceso

9.1.1 Política de control de accesos.


[N] Se debe establecer, documentar y revisar una política de control de acceso basada en
los requisitos comerciales y de seguridad de la información.`
[O] Capacitación para usuarios y proveedores de servicios para cumplir los controles de
acceso.
[T] Administración de control de accesos, tanto físicos como lógicos, a los activos.

9.1.2 Acceso a redes y servicios de red.


[N] Se debe formular una política sobre el uso de redes y servicios de red.
[T] Herramienta para administrar el control de acceso a la red y a los servicios.

9.2 Gestión de acceso de usuarios

9.2.1 Registro de usuarios y cancelación de registro.


[N] Documento que establezca como se debe manejar el registro y acceso de los usuarios,
como también su inscripción y cancelación de derechos a accesos.
[T] Establecer software para el manejo de registro y acceso de los usuarios, como también
su inscripción y cancelación de derechos a accesos.

9.2.2 Aprovisionamiento de acceso de usuario.


[O] Proceso de aprovisionamiento para asignar o revocar derechos de acceso otorgados a
ID de usuario.
[T] Establecer software para el manejo de registro y acceso de los usuarios, como también
su inscripción y cancelación de derechos a accesos.

8
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

9.2.3 Gestión de derechos de acceso privilegiado.


[N] Política de control de acceso relevante

9.2.4 Gestión de la información secreta de autenticación de los usuarios.


[N] Actas y contratos de confidencialidad.
[T] Establecer software para el manejo de intercambios de información los autenticación
segura secreta temporal.

9.2.5 Revisión de los derechos de acceso del usuario.


[N] Normativa para la revisión de derechos de acceso.
[T] Revisión y reasignación de derechos de acceso a usuarios.

9.2.6 Eliminación o ajuste de los derechos de acceso.


[N] Políticas para la eliminación o ajuste de derechos de acceso para el personal retirado.
[O] Personal capacitado para el acompañamiento de las políticas a realizar al personal que
se va a retirar.
[T] Eliminación de derechos de acceso de los usuarios retirados.

9.3 Responsabilidades del usuario

9.3.1 Uso de información secreta de autenticación.


[O] Procesos para dar a conocer las prácticas de la organización en el uso de información
secreta de autenticación y sus consecuencias.
[T] Provisión de herramientas de gestión de información de autenticación secretas.

9
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha

Gestión de la Apellidos: Imbett Corredor


2020-02-02
Seguridad Nombre: Augusto Miguel

9.4 Sistema y control de acceso a aplicaciones

9.4.1 Restricción del acceso a la información.


[N] Políticas de restricción de acceso basadas en individuales negocio de aplicación de los
requisitos y de acuerdo.
[T] Establecer software para la restricción de derechos de acceso a la información que tiene
cada persona.

9.4.2 Procedimientos de inicio de sesión seguros.


[N] Política de control de accesos.
[T] Establecer software para el manejo de registro y acceso de los usuarios, como también
su inscripción y cancelación de derechos a accesos.

9.4.3 Sistema de gestión de contraseñas.


[N] Directrices que establecen los requisitos mínimos que debe llevar una contraseña.
[T] Implementación de un validador de contraseñas que cumpla con los requisitos
mínimos que establece la directriz.

9.4.4 Uso de programas de utilidad privilegiada.


[T] Establecer un control de identificación, autenticación y autorización para los
programas de utilidad privilegiada.

9.4.5 Control de acceso al código fuente de los programas.


[N] Actas y contratos de confidencialidad de código fuente.
[O] Capacitación al personal que hace uso del código fuente.
[T] Administración de acceso y manipulación al código fuente.

10
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

También podría gustarte