Máster en Ciberseguridad

Área de Normativas de Ciberseguridad 2021

Caso Práctico ISO/IEC 27001
Prof. José Antonio Rubio

Guillermo Olivares Calderón

Ejercicio 1

Datos
La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global.

LucesCo es una empresa que ofrece soluciones llave en mano en telecomunicación,

balizamiento y seguridad, que incluyen el diseño, la ingeniería, la instalación, el
mantenimiento y la gestión operacional de todos los sistemas.

Los servicios prestados en la actualidad, con 4.000 empleados, incluyen:

• Integración completa de comunicaciones tierra-aire:
• Radios V/VHF, UHF y V/UHF.
• Equipamiento portátil y móvil.
• Estaciones remotas de amplio alcance.
• Sistemas de monitorización HW y SW.
• Equipamiento de ayuda a la navegación:
• Sistemas de Balizamiento e iluminación y sistemas de control asociados.
• Señalización vertical para guiado de aeronaves con tecnología Led.

En la actualidad, han sido contratados para todos los aeropuertos públicos y varios priva-
dos, como el de Villabonita y el de Torrijas.

La empresa tiene 2 grandes accionistas mayoritarios que controlan el 80% del capital
(inversiones AC y JGR Consulting, con el 40% respectivamente) y el 20 restante en
manos de pequeños accionistas.

A su vez, ofrece una amplia variedad de acciones formativas a disposición de los técnicos
y responsables de los distintos aeropuertos.

LucesCo dispone de su propio departamento de desarrollo y gestión de infraestructuras,

y trabaja de la mano con su socio tecnológico INCRA sistemas.

Las oficinas centrales están ubicadas en las afueras de Madrid, a unos 30km. Están
protegidas mediante perímetro de seguridad y puerta, que es atendida por personal de
seguridad. Las dependencias están formadas por una nave de unos 45.000 m2, dividida
en zona de almacén y un área de ingeniería, donde se diseñan y prueban las soluciones
que se entregan. Anexa se encuentra la zona de oficinas, separada por un pasillo.

En cuanto a los sistemas de información, LucesCo mantiene un servidor de ficheros para

el almacenamiento de los documentos departamentales mediante carpetas compartidas,
aunque la finalidad es que todos puedan ver cualquier carpeta, a excepción de Financiero
y RRHH, por cuestiones de confidencialidad.

Las copias de seguridad, realizadas diariamente, son introducidas en una caja fuerte
ignífuga semanalmente.

Además del servidor, existen entornos de prueba implementados en varios servidores

virtuales, administrados directamente por esta área sin que el área de IT tenga
responsabilidad ni disponga de documentación para su mantenimiento ni explotación.
Se pide

1. Identificar los asuntos internos y externos que podrían afectar a los objetivos del
SGSI.

Asuntos/Contexto Internos.

• Conocer la estrategia actual de Seguridad.

• Prácticas de Seguridad de los socios mayoritarios (Inversiones AC y JGR
Consulting).
• Contratos de Empleados (Anexo), que consideren la Confidencialidad.
• Considerar eventual obsolescencia de la plataforma tecnológica.
• Relación con Proveedores externos en relación con la seguridad de la
información, Ej. Transmisión de Información, integración de Sistemas.
• Control de Acceso a los Sistemas y disponibilidad de la Información (File Server).
• Administración y gestión de Respaldo (Servidores Físicos, Virtuales/Ambientes
Productivos, Desarrollo y Prueba)
• Control y gestión sobre Sistemas no centralizados, fuera del alcance de IT
(Administración, accesos, documentación, explotación).
• Administración de y Resguardo Físico de la infraestructura Tecnológica.
• Programa de Capacitación considerando las nuevas prácticas; aplicables a
contratos actuales y futuros.

Asuntos/Contexto Externo.

• Cumplimiento de Legislación en régimen y futura en entrar en rigor

(Aeropuertos Públicos)
• Relación con Proveedores Tecnológicos y otros (Ej. INCRA Sistemas), que deban
cumplir con regulaciones de otros mercados fuera de la región.
• Licitaciones para nuevos servicios y soluciones.

2. Desarrolla un listado de partes interesadas, así como de las necesidades o requisitos

de los mismos.

1. Propietarios (Socios-Accionistas)
Accionistas Mayoritarios (80% Capital - Inversiones AC y JGR Consulting) y
Minoritarios (20%).
Necesidades/Requisitos:
• Seguridad en sus Inversiones y buen rendimiento.
• Rendición de Cuentas y estado del negocio (CEO, CIO, CISO, otros).
• Asegurarse del cumplimiento de regulaciones, por las partes
(Proveedores, Clientes); de modo de no verse expuestos.

2. Clientes:
Aeropuertos Públicos y Privados.
Necesidades/Requisitos:
• Entrega de un servicio de acuerdo con lo Contratado, Soporte y
Mantenimiento, SLA.
• Cumplir con los requisitos legales aplicable
• Cumplir con acuerdo de confidencialidad firmados.
• Tomar conocimiento de los requisitos de seguridad y/o normas de estos
clientes a ser cumplidas.
3. Proveedores:
Socio Tecnológico INCRA Sistemas, Proveedores de Equipamiento de Software y
Hardware, Terceros y otros.
Necesidades/Requisitos:
• Cumplir con los acuerdos contractuales
• Requisitos de Confidencialidad establecido.
• Cumplir con los requisitos y prácticas de seguridad que estos tienen.

4. Empleados:
Los 4000 funcionarios que actualmente cuenta la organización,
Necesidades/Requisitos:
• Proporcionar un ambiente de trabajo seguro y apropiado.
• Recibir capacitación y apoyo requerido.
• Conocer la legislación aplicable al negocio de LucesCo
• Continuidad del Empleo.
• Oportunidades de desarrollo profesional
• Mecanismo para asegurar el acceso y uso de la información de acuerdo
con los roles y funciones definidos.

5. Organización:
LucesCo - Administración
Necesidades/Requisitos:
• Definir una estructura adecuada. considerando la implementación del
SGSI; a saber, CSO, CISO.
• Revisar responsabilidad, roles, funciones y alcance de Área de: IT,
Desarrollo y Gestión de Infraestructura.

6. Estado:
Aeropuertos Públicos (DGA- España, CAENA):
Necesidades/Requisitos:
• Cumplir con las regulaciones existentes con relación a protección de datos
(confidencialidad, integridad y disponibilidad de la información).
• Visualizar constantemente cambios regulatorios en la gestión de la
seguridad consideradas por el Estado, que deban aplicar a los contratos
actuales y/o futuros. Por tanto, que lleve a implementar eventuales
modificaciones al SGSI.
Ejercicio 2
Datos
Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar
las acciones para abordar los riesgos y las oportunidades, así como los objetivos de
seguridad de la información.

Se pide

1. Elaborar un proceso de evaluación de riesgos para la seguridad de la información

según la cláusula 6.1.2. Justifique cada uno de los requisitos de dicha cláusula.

Definición del Proceso de Evaluación de Riesgo

• Enumerar y Describir el Riesgo.
• Establecer valores a emplear para los Riesgos, considerando los siguientes
parámetros para la Probabilidad de Ocurrencia (Anual): Muy Bajo, Bajo, Medio, Alto,
Muy Alto.

PROBABILIDAD FRECUENCIA DE OCURRENCIA VALOR

Muy Bajo Por lo menos 1 vez cada año 1
Bajo Por lo menos 1 vez cada semestre 2
Medio Por lo menos una vez cada Trimestre 3
Alto Por lo menos una vez cada Mes 4
Muy Alto Por lo menso una vez cada quince días 5

• Así también se consideran los siguientes valores para el impacto, desde el punto de
Operativo: Muy Bajo, Bajo, Medio, Alto, Muy Alto.

IMPACTO IMPACTO CUALITATIVO (OPERACIONAL) VALOR

* No afecta la seguridad de la información de LucesCo.
* No se afecta la imagen de la LucesCo ante los clientes y terceros.
Muy Bajo 1
* Se puede recuperar la información con la misma calidad.
* Se presentan reprocesos que no tienen mayor importancia.
* No afecta la seguridad de la información de LucesCo.
* Se afecta levemente a la imagen de la LucesCo ante los clientes y terceros.
Bajo 2
* Se puede recuperar la información con la misma calidad en un tiempo moderado.
* Se presentan reprocesos menores en las actividades de la LucesCo.
* Se afecta en menor grado de la seguridad de la información de la LucesCo.
* Afecta medianamente la imagen corporativa de la LucesCo ante sus clientes y terceros.
Medio 3
* Se presentan retrocesos moderados en las actividades.
* La información se puede recuperar, pero no con la misma calidad.
* LucesCo se ve afectada en forma importante en la seguridad de la información.
* Afecta altamente la imagen corporativa de la LucesCo.
Alto 4
* Se generan mayores retrocesos en las actividades.
* Es difícil de recuperar la información.
* LucesCo se ve afectada en forma crítica en la seguridad de la información.
* Se afecta negativamente y en gran proporción la imagen corporativa de la LucesCo
ante terceros.
Muy Alto 5
* Es difícil realizar la recuperación de la información.
* Puede afectar las decisiones estratégicas de la organización y la continuidad del
negocio.
 • Ordenar de acuerdo con Severidad o Criticidad obtenido, considerando los riesgos
en términos de probabilidad e impacto de ocurrencia.

Impacto
Probabilidad
Muy Bajo Bajo Medio Alto Muy Alto
Muy Bajo Muy Bajo Muy Bajo Bajo Bajo Medio
Bajo Muy Bajo Bajo Medio Medio Alto
Medio Bajo Medio Medio Alto Alto
Alto Bajo Medio Alto Crítico Crítico
Muy Alto Medio Alto Alto Crítico Crítico

Impacto
Probabilidad Muy Bajo Bajo Medio Alto Muy Alto
(1) (2) (3) (4) (5)
Muy Bajo (1) 1 2 3 4 5
Bajo (2) 2 4 6 8 10
Medio (3) 3 6 9 12 15
Alto (4) 4 8 12 16 20
Muy Alto (5) 5 10 15 20 25

• Se obtiene los siguientes:

Valoración del Riesgo Calificación

Muy Bajo 1 -2
Bajo 3 -5
Medio 5 -9
Alto 10 -15
Muy Alto 16 -25

2. Elaborar un proceso de tratamiento de riesgos de acuerdo con la cláusula 6.1.2

El Tratamiento de Riesgo considera:

• De acuerdo con la valorización de seguridad dada a cada uno de los riesgos

identificados para LucesCo, se procede a determinar las acciones a realizar para
cada uno de estos.
• Los parámetros por considerar son los siguientes: Evitar el Riesgo, Reducir el Riesgo,
Transferir el Riesgo, Aceptar el Riesgo.
• Aplicabilidad y Cumplimiento.

# Estrategia de Descripción
Tratamiento Costo Beneficio
Está asociado a la suspensión de las actividades que causan el riesgo.
1 Evitar el riesgo El costo de implementación de los controles es elevado en comparación con
los beneficios obtenidos.
Se establecen los controles y acciones necesarios para reducir el riesgo sobre
Reducir el el activo de información.
2
Riesgo El costo de tratamiento e implementación de los controles es adecuado a los
beneficios obtenidos.
Se transfiere el riesgo a terceros (Subcontratación) y/o se evalúa la opción
de contar con seguros que cubran los gastos en caso de la materialización del
Transferir el riesgo.
3
Riesgo El costo de tratamiento del riesgo es más económico y beneficioso para la
organización que lo realice terceros, que si se realiza el tratamiento directo
la empresa propietaria del riesgo.
Se decide aceptar esta condición sin implementar controles adicionales para
la protección del activo. En esta estrategia se emplean labores de
Aceptar el
4 monitorización continua del riesgo.
Riesgo
El costo asociado de aceptar el riesgo está enfocado a labores de monitoreo
continuo del riesgo.
3. Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según
todos los requisitos de la cláusula 6.2…

Objetivos:

1. Protección de Activos de información.

El modelo de protección de activos nos debe sancionar que sólo aquellos usuarios
autorizados pueden acceder a los objetos de información de los Sistemas. Para ello
se debe definir las categorías de usuarios que tienen accesos. Tipos de accesos,
ambientes a los cuales pueden acceder, etc. Generar Procedimiento que permitan
sustentar las políticas establecidas. Ej Alta, Baja y Modificación de Usuario.

2. Auditoria de Actividades de Seguridad.

Este es un punto objetivo importante de abordar, considerando la interacción con el

socio tecnológico INCRA Sistemas. Se debe establecer el constante monitoreo,
registro de los eventuales incidentes y de actividades sospechosas que puedan
prevenir eventos no deseados.
Ejercicio 3
Datos

La empresa LucesCo tiene la intención de implantar un SGSI con alcance global y

necesita saber qué información documentada es obligatoria.

Se pide
1. De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no?.

DOCUMENTO OBLIGATORIO

Alcance del SGSI ( cláusula 4.3 ) SI

Política y objetivos de seguridad de la información (puntos SI

5.2 y 6.2)

La evaluación de riesgos y la metodología de tratamiento de SI

riesgos (apartado 6.1.2 )

Declaración de Aplicabilidad (cláusula 6.1.3 d) SI

Plan de tratamiento de riesgos (cláusulas 6.1.3 y 6.2 e) SI

Informe de evaluación de riesgos (apartado 8.2) SI

Procedimiento de auditoría interna (cláusula 9.2) NO

DOCUMENTO OBLIGATORIO

Procedimiento para acciones correctivas (cláusula 10.1) NO

Inventario de activos (cláusula A.8.1.1) SI

Uso aceptable de los activos (cláusula A.8.1.3) SI

Los requisitos legales, reglamentarios y contractuales SI

(A.18.1.1)

Los resultados de las auditorías internas (apartado 9.2) SI

Los resultados de la revisión por la dirección (cláusula 9.3) SI

Los resultados de las acciones correctivas (cláusula 10.1) SI

Procedimiento de control de documentos (cláusula 7.5) NO

Los controles para la gestión de documentos (cláusula 7.5) NO

Ejercicio 4
Datos

Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados en temas anteriores.

Se pide
1. Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así como el acceso no autorizado a las
instalaciones y dependencias de LucesCo.

• Acceso no autorizado a los Servidores Corporativos.

• Acceso no autorizado a las Instalaciones y dependencias.

Riesgos Objetivos Riesgos de Seguridad Evaluación de Riesgo

Relativos A de Control # Descripción del Riesgo Probabilidad Impacto Calificación Nivel del Riesgo
Política de Compromiso de la Información (Fuga,
Control de R1 intercepción, espionaje, manipulación de Medio Alto 12 Alto
Accesos HW y Software)
Acceso no (A.9.1.1) Acciones no Autorizados (Copia de
Autorizado a R2 Software, Uso no autorizado de equipos, Medio Alto 12 Alto
Servidores Accesos a corrupción de datos, procesamiento ilegal)
Corporativos las Redes y
LucesCo a los Compromiso de las funciones (Error en
servicios R3 uso, abuso de privilegios, suplantación de Medio Alto 12 Alto
de la red Identidad, denegación de acciones)
(A.9.1.2)
Daños Físicos a las Instalaciones
R4 Muy Bajo Alto 5 Medio
Acceso no (Destrucción de Equipos, Fuego, otros)
Autorizado a Perímetro Eventos Naturales (Climáticos,
R5 Muy Bajo Alto 5 Medio
las de meteorológicos, sísmicos)
Instalaciones seguridad Perdida de Servicios esenciales (Energía
R6 Medio Bajo 4 Bajo
y física Eléctrica, Telecomunicaciones, Agua)
Dependencias (A.11.1) Compromiso de Información (Robo de
Muy
de LucesCo R7 Equipo o Documentos, recuperación desde Muy Bajo 1 Muy Bajo
Bajo
desechos, manipulación de HW)
2. Aplique el proceso de tratamiento de riesgos elaborado durante este ejercicio práctico con anterioridad para los riesgos
evaluados, para obtener todas las evidencias necesarias según ISO/IEC 27001:2013.

Plan de Tratamiento de Riesgo

Riesgos de Seguridad Descripción del Plan de Acción Responsable
Estrategia del Riesgo Aplicabilidad
(Controles) s
Compromiso de la Se debe establecer, documentar y revisar
Información (Fuga, la Política de Control de Acceso, la cual
intercepción, espionaje, Reducir el Riesgo debe estar en base a las necesidades de
manipulación de HW y Seguridad y del Negocio de LucesCo.
Software) CISO 3. Política de Control de
Acciones no Autorizados Control de acceso a las Redes y servicios (Oficial de Acceso
(Copia de Software, Uso no asociados: Se debería proveer a los Seguridad)
autorizado de equipos, Reducir el Riesgo usuarios de los accesos a redes y los 4. Procedimiento de Gestión
corrupción de datos, servicios de red para los que han sido y de Usuarios
procesamiento ilegal) expresamente autorizados a utilizar. Para
ello se debe generar el Procedimiento CHRO 5. Procedimiento y Reporte
de Gestión de Usuarios. (Jefe de de Control de Acceso
Compromiso de las
Recursos Diario
funciones (Error en uso,
Generar un Script y Procedimiento Humanos)
abuso de privilegios, Reducir el Riesgo
asociado a Control sobre accesos
suplantación de Identidad,
diarios a Servidores de LucesCo.
denegación de acciones)
(Usuario/Acceso/Intento Fallido/ Tiempo
de Conexón)
Daños Físicos a las
Contrato Vigente de
Instalaciones (Destrucción Transferir el Riesgo Contratar Seguro
Seguro
de Equipos, Fuego, otros)
Eventos Naturales COO (Chief
Contrato Vigente de
(Climáticos, meteorológicos, Transferir el Riesgo Contratar Seguro Operating
Seguro
sísmicos) Officer)
Perdida de Servicios
Implementación, y
esenciales (Energía Incorporación de Generadores, Enlaces y
Reducir el Riesgo Pruebas Semestrales, de
Eléctrica, Redundantes y Procedimientos Asociados
acuerdo con Procedimiento
Telecomunicaciones, Agua) CFO (Chief
Compromiso de Información Financial
(Robo de Equipo o Registrar y Monitorear perdidas en Officer)
Registro de Perdida con
Documentos, recuperación Aceptar el Riesgo periodo -> Puede determinar cambio en el
acceso controlado.
desde desechos, tratamiento del Riesgo
manipulación de HW)
Ejercicio 5
Datos
Ya se ha visto la necesidad de medir la eficiencia y la eficacia de los controles a fin de
poder garantizar que nuestro SGSI es fiable y acorde a las necesidades del negocio, y el
resultado de nuestro análisis de riesgos.
A continuación, se plantean una serie de controles del Anexo A de la ISO/IEC 27001
para los cuales se debe formular una métrica que nos ayude a medir cumplimiento.
Se pide:
Control Información de ayuda
Combine controles tecnológi-
Protección contra cos (p. ej., software antivirus)
código malicioso y con medidas no técnicas
móvil. (educación, concienciación y
formación).
Implante procedimientos de
backup y recuperación que
satisfagan no sólo requisitos
contractuales, sino también
requisitos de negocio
"internos" de la organización.
Básese en la evaluación de
Copias de seguridad riesgos realizada para
determinar cuáles son los
activos de información más
importantes y use esta
información para crear su
estrategia de backup y
recuperación.
Métrica
• # de incidentes presentados
(detectados), por código malicioso.
• Costo en horas extras del personal para
solucionar incidente de código
malicioso.
• % de equipos con antivirus instalado en
los equipos.
• % de Sistemas que han presentado
código malicioso.
• Tiempo medio para eliminar código
malicioso y móvil
• # de revisiones semanales
automatizadas (escáner) de Antivirus
y/o Antimalware de Servidores de
Archivos.
• # total de activos escaneados.
• % de la Plataforma tiene sus Sistema
Operativo con las ultimas
actualizaciones.
• Costo en HHEE del personal para
solucionar el incidente.
• # de Campañas anuales de
Concientización sobre el Software
Malicioso (Norma).
• # de Empleados capacitados en la
norma
• # Capacitaciones del Equipo de TI.
• % de operaciones de backup exitosos.
• % de recuperaciones de datos existosa.
• % de backups y archivos con datos
sensibles o valiosos que están
encriptados.
• % de restauraciones de Prueba
existosas.
• Tiempo medio transcurrido de
recuperaciones exitosas solicitadas.
• % de uso de espacio en Disco (periodo),
utilizado por Respaldo.
• % de backup que terminan dentro de la
ventana definida (en tiempo).
 • Cantidad de Campañas de Educación y
Concientización de la Clasificación de
Información.
Distinga los requisitos de • % de activos que se encuentran que se
seguridad básicos (globales) encuentran clasificados en algunas de las
de los avanzados, de acuerdo categorias definidas y aquellos que no
con el riesgo. estan en esta condición.
Clasificación de la
Información • % de activos han sido dado de baja por
Comience, quizás, con la la organización y por tanto debe ser
confidencialidad, pero no
olvide los requisitos de modificada y/o actualizada su condición
integridad y disponibilidad. de clasificación; y dejen de estar bajo
control.
• % de Activos de Información que han
llevado a cabo planes de contingencia
Ejercicio 6
Datos

La organización debe acometer acciones correctivas para solucionar aquellos

incumplimientos de los requisitos que hayan sido detectados y evitar su recurrencia a
través de acciones preventivas.

Durante la última auditoría interna de LucesCo se han detectado las siguientes No

Conformidades en el SGSI:

NC
Las contraseñas administrativas para el acceso a los servidores virtuales se
almacenaban en cuadernos de notas o apuntes en el área de ingeniería.
No se mantiene una copia de seguridad fuera de las instalaciones.

Se pide

1. En este ejercicio el alumno deberá saber asignar a cada problema su

correspondiente acción correctiva, junto a la acción que elimine la causa de la NC,
si la aplicara.

Las contraseñas administrativas para el acceso a los servidores virtuales se

almacenaban en cuadernos de notas o apuntes en el área de ingeniería.
ACCIONES CORRECTIVAS ACCIONES QUE ELIMINAN LA CAUSA
1. Se debe proceder a generar un • Se debe realizar la adquisición e implementación de
archivo del tipo planilla de una aplicación que gestione las contraseñas.
calculo o texto (Ej .xls, .doc).
En en cual cual se almacenen y • Este administrador o gestor de contraseñas (bóveda
se centralizen todas las digital) debe ser instala On Premise, por el control
contraseñas utilizadas. que se debe tener.

2. Este archivo, debe estar

• La utilización de esta aplicación permitirá obtener
localizado en una carperta
otras funcionalidades, tales como: restablecer o
compartida del área de
desbloquear contraseñas, sincronizar contraseñas
Ingenería y a la cual solo
entre dispositivos y sistemas, analizar las fortalezas
tengan accesos aquellos que
de la contraseña y generar contraseñas aleatorias.
administran las contraseñas.
3. Este archivo debe estar
protegido con contraseña.
No se mantiene una copia de seguridad fuera de las instalaciones.
ACCIONES CORRECTIVAS ACCIONES QUE ELIMINAN LA CAUSA
1. La segunda copia de seguridad • Se debe contratar un Servicio de Almacenaje de
debe ser llevada fuera de las Copias de Seguridad (Cintas Respaldo), el cual retire
oficinas centrales instalaciones periódicamente el medio, a través de valija.
de la Empresa. • La acción definitiva que eliminara la causa raíz estará
implementada cuando se levante el Sitio de
2. Se establece que la copia,
Contingencias de LucesCo; en el cual se
provisoriamente, será llevado
permanecerán la 2° Copia de Seguridad, que será
por el Responsable de
realizada a Disco.
Respaldo, a las ofcinas del socio
estrategico INCRA Sistemas
Ejercicio 7
Datos

En base al análisis de riesgos elaborado en temas anteriores.

Se pide

1. Elaborar la Declaración de Aplicabilidad para los objetivos de control A.9.2 y A.11.1.

Dominio A.9 Control de Accesos
Subdominio A.9.2 Gestión de Accesos a usuarios
Control Objetivo de Control Implementado Aplica Requisitos/Justificación de Control Declaración de Aplicabilidad
Generar: Procedimiento de Gestión de
Se debe implementar un proceso de registro
Registro y eliminación usuarios, Formularios de Solicitud de
A.9.2.1 No Si y eliminación de registro de usuario para
de registro de usuario. Alta (Creación) y Formulario Baja,
habilitar los derechos de acceso.
Eliminación) /Modificación de Usuarios.
Se debe elaborar un procedimiento formal
de asignación de acceso de usuario para
Gestión de acceso a los
A.9.2.2 No Si asignar o eliminar los derechos (privilegios) Procedimiento de Gestión de Usuarios
usuarios.
de acceso para todo tipo de usuarios,
sistemas y servicios
Generar Instructivo de Revisión de
Se debe restringir y controlar la asignación y Derechos y/o Privilegios de los usuarios.
Gestión de derechos de
A.9.2.3 No Si uso de los derechos (privilegios) de acceso Revisión que debe ser realizado por los
acceso privilegiados.
privilegiados. lideres funcionales de
procesos/aplicaciones.
Gestión de la
Se debe controlar la asignación de
información de
A.9.2.4 No Si información de autenticación secreta a Procedimiento de Gestión de Usuarios
autenticación secreta de
través de un proceso de gestión formal.
los usuarios.
Instructivo de Revisión de Derechos y/o
Como control los propietarios de activos
Revisión de derechos de Privilegios de los usuarios. Revisión que
A.9.2.5 No Si deben revisar los derechos de acceso de los
acceso de usuario debe ser realizado por los lideres
usuarios de manera regular.
funcionales de procesos/aplicaciones.
Una vez terminado el vínculo laborar, se
deben retirar los derechos de acceso de
todos los empleados, y usuarios externos a
Eliminación/Remoción o Procedimiento de Gestión de Usuarios.
la información y a las instalaciones de
A.9.2.6 ajuste (modificación) de No Si Formularios de Solicitud de Baja
procesamiento de información. Ante la
los derechos de acceso (Eliminación)/Modificación de Usuarios.
modificación del vínculo que implique,
nuevas labores-funciones, también debe
aplicar la revisión.
Dominio A.11 Seguridad Física del Entorno
Subdominio A.11.1 Áreas Seguras
Control Objetivo de Control Implementado Aplica Requisitos/Justificación de Control Declaración de Aplicabilidad
Se debe definir un Protocolo que considere
entre otros:
* Definición de Perímetros de Seguridad
Física.
* Control de acceso a sectores u oficinas
del edificio corporativo, ej. Data Center.
Aun cuando las oficinas centrales de LucesCo Área de Ingeniería. (Restringido sólo al
están protegidas por perímetro de seguridad, personal autorizado)
se debe adoptar este Control; dado que nada
Perímetro de seguridad
A.11.1.1 SI Si se declara con relación a las áreas que Se debe considerar:
física
contienen información sensible o crítica y las * Que existan sistemas de detección de
instalaciones de procesamiento de intrusos, de acuerdo con normativa.
información. * Todas las puertas contra incendio en un
perímetro de seguridad deben contar con
alarma y monitoreo respectivo.
* El Data Center (DC) o el Área de
Procesamiento de Información, deben
estar separados físicamente de las áreas
gestionadas por entidades externas.
Se debe considerar:
* Llevar Registro de entrada y salida
Se deben revisar los controles realizados por
de visitas. autenticándolas a través de un
personal de seguridad en LucesCo en el
medio adecuado (Auditable).
Ingreso. Por otra parte, nada se declara en
* El área donde se procesa la información
relación con las áreas internas seguras. Que
Controles de ingreso (DC) y donde se almacena la información
A.11.1.2 SI Si también deben estar protegidas por controles
físico confidencial, debe tener un mecanismo
de entrada apropiados, asegurando que sólo
de autenticación: Tarjeta de acceso, Pin
se permite el acceso a personal autorizado.
Secreto.
Sería optimo extender este tipo de controles
* Todos los empleados, contratistas y
a otras áreas sensibles
partes externas deberían portar algún tipo
de identificación visible.
Se debe aplicar este Control, pues se debe La dirección de LucesCo (Ej. Prevención de
Asegurar Seguridad de
diseñar y aplicar la seguridad física no sólo Riesgo - HSE), debe impartir estas
A.11.1.3 oficinas, salas e NO SI
en las instalaciones, sino que también, en las instrucciones a través de Protocolo.
instalaciones.
oficinas y salas. Señalizaciones adecuadas.
Se adopta este control, pues se debe diseñar La dirección de LucesCo (Ej. Prevención de
Protección contra
y aplicar la protección física contra daño por Riesgo-HSE), debe impartir estas
A.11.1.4 amenazas externas y NO Si
desastre natural, ataque malicioso o instrucciones a través de Protocolo.
del ambiente.
accidentes. Señalizaciones adecuadas.
Control Objetivo de Control Implementado Aplica Requisitos/Justificación de Control Declaración de Aplicabilidad
Se deben diseñar y aplicar procedimientos La dirección de LucesCo (Ej. Prevención de
Trabajo en áreas para trabajar en áreas seguras. Riesgo), debe impartir estas instrucciones
A.11.1.5 NO Si
seguras. a través de Protocolo. Señalizaciones
adecuadas.
Se deben controlar los puntos de acceso tales
como áreas de entrega y de carga y otros
La dirección de LucesCo (Ej. Prevención de
puntos donde las personas no autorizadas
Áreas de entrega y Riesgo), debe impartir estas instrucciones
A.11.1.6 NO Si puedan acceder a las instalaciones y, si es
carga. a través de Protocolo. Señalizaciones
posible, aislarlas de las instalaciones de
adecuadas.
procesamiento de información para evitar el
acceso no autorizado.