Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Datos
La empresa española LucesCo tiene la intención de implantar un SGSI con alcance global.
En la actualidad, han sido contratados para todos los aeropuertos públicos y varios priva-
dos, como el de Villabonita y el de Torrijas.
La empresa tiene 2 grandes accionistas mayoritarios que controlan el 80% del capital
(inversiones AC y JGR Consulting, con el 40% respectivamente) y el 20 restante en
manos de pequeños accionistas.
A su vez, ofrece una amplia variedad de acciones formativas a disposición de los técnicos
y responsables de los distintos aeropuertos.
Las oficinas centrales están ubicadas en las afueras de Madrid, a unos 30km. Están
protegidas mediante perímetro de seguridad y puerta, que es atendida por personal de
seguridad. Las dependencias están formadas por una nave de unos 45.000 m2, dividida
en zona de almacén y un área de ingeniería, donde se diseñan y prueban las soluciones
que se entregan. Anexa se encuentra la zona de oficinas, separada por un pasillo.
Las copias de seguridad, realizadas diariamente, son introducidas en una caja fuerte
ignífuga semanalmente.
1. Identificar los asuntos internos y externos que podrían afectar a los objetivos del
SGSI.
Asuntos/Contexto Internos.
Asuntos/Contexto Externo.
1. Propietarios (Socios-Accionistas)
Accionistas Mayoritarios (80% Capital - Inversiones AC y JGR Consulting) y
Minoritarios (20%).
Necesidades/Requisitos:
• Seguridad en sus Inversiones y buen rendimiento.
• Rendición de Cuentas y estado del negocio (CEO, CIO, CISO, otros).
• Asegurarse del cumplimiento de regulaciones, por las partes
(Proveedores, Clientes); de modo de no verse expuestos.
2. Clientes:
Aeropuertos Públicos y Privados.
Necesidades/Requisitos:
• Entrega de un servicio de acuerdo con lo Contratado, Soporte y
Mantenimiento, SLA.
• Cumplir con los requisitos legales aplicable
• Cumplir con acuerdo de confidencialidad firmados.
• Tomar conocimiento de los requisitos de seguridad y/o normas de estos
clientes a ser cumplidas.
3. Proveedores:
Socio Tecnológico INCRA Sistemas, Proveedores de Equipamiento de Software y
Hardware, Terceros y otros.
Necesidades/Requisitos:
• Cumplir con los acuerdos contractuales
• Requisitos de Confidencialidad establecido.
• Cumplir con los requisitos y prácticas de seguridad que estos tienen.
4. Empleados:
Los 4000 funcionarios que actualmente cuenta la organización,
Necesidades/Requisitos:
• Proporcionar un ambiente de trabajo seguro y apropiado.
• Recibir capacitación y apoyo requerido.
• Conocer la legislación aplicable al negocio de LucesCo
• Continuidad del Empleo.
• Oportunidades de desarrollo profesional
• Mecanismo para asegurar el acceso y uso de la información de acuerdo
con los roles y funciones definidos.
5. Organización:
LucesCo - Administración
Necesidades/Requisitos:
• Definir una estructura adecuada. considerando la implementación del
SGSI; a saber, CSO, CISO.
• Revisar responsabilidad, roles, funciones y alcance de Área de: IT,
Desarrollo y Gestión de Infraestructura.
6. Estado:
Aeropuertos Públicos (DGA- España, CAENA):
Necesidades/Requisitos:
• Cumplir con las regulaciones existentes con relación a protección de datos
(confidencialidad, integridad y disponibilidad de la información).
• Visualizar constantemente cambios regulatorios en la gestión de la
seguridad consideradas por el Estado, que deban aplicar a los contratos
actuales y/o futuros. Por tanto, que lleve a implementar eventuales
modificaciones al SGSI.
Ejercicio 2
Datos
Una vez determinado el contexto y las partes interesadas de LucesCo, se deben planificar
las acciones para abordar los riesgos y las oportunidades, así como los objetivos de
seguridad de la información.
Se pide
• Así también se consideran los siguientes valores para el impacto, desde el punto de
Operativo: Muy Bajo, Bajo, Medio, Alto, Muy Alto.
Impacto
Probabilidad
Muy Bajo Bajo Medio Alto Muy Alto
Muy Bajo Muy Bajo Muy Bajo Bajo Bajo Medio
Bajo Muy Bajo Bajo Medio Medio Alto
Medio Bajo Medio Medio Alto Alto
Alto Bajo Medio Alto Crítico Crítico
Muy Alto Medio Alto Alto Crítico Crítico
Impacto
Probabilidad Muy Bajo Bajo Medio Alto Muy Alto
(1) (2) (3) (4) (5)
Muy Bajo (1) 1 2 3 4 5
Bajo (2) 2 4 6 8 10
Medio (3) 3 6 9 12 15
Alto (4) 4 8 12 16 20
Muy Alto (5) 5 10 15 20 25
# Estrategia de Descripción
Tratamiento Costo Beneficio
Está asociado a la suspensión de las actividades que causan el riesgo.
1 Evitar el riesgo El costo de implementación de los controles es elevado en comparación con
los beneficios obtenidos.
Se establecen los controles y acciones necesarios para reducir el riesgo sobre
Reducir el el activo de información.
2
Riesgo El costo de tratamiento e implementación de los controles es adecuado a los
beneficios obtenidos.
Se transfiere el riesgo a terceros (Subcontratación) y/o se evalúa la opción
de contar con seguros que cubran los gastos en caso de la materialización del
Transferir el riesgo.
3
Riesgo El costo de tratamiento del riesgo es más económico y beneficioso para la
organización que lo realice terceros, que si se realiza el tratamiento directo
la empresa propietaria del riesgo.
Se decide aceptar esta condición sin implementar controles adicionales para
la protección del activo. En esta estrategia se emplean labores de
Aceptar el
4 monitorización continua del riesgo.
Riesgo
El costo asociado de aceptar el riesgo está enfocado a labores de monitoreo
continuo del riesgo.
3. Establecer al menos 2 objetivos de seguridad de la información para LucesCo, según
todos los requisitos de la cláusula 6.2…
Objetivos:
El modelo de protección de activos nos debe sancionar que sólo aquellos usuarios
autorizados pueden acceder a los objetos de información de los Sistemas. Para ello
se debe definir las categorías de usuarios que tienen accesos. Tipos de accesos,
ambientes a los cuales pueden acceder, etc. Generar Procedimiento que permitan
sustentar las políticas establecidas. Ej Alta, Baja y Modificación de Usuario.
Se pide
1. De la lista de documentación facilitada, ¿cuál es obligatoria y cuál no?.
DOCUMENTO OBLIGATORIO
DOCUMENTO OBLIGATORIO
Utilizando los procesos de evaluación de riesgos y tratamiento de riesgos formalizados en temas anteriores.
Se pide
1. Evalúe los riesgos relativos al acceso no autorizado a los servidores corporativos, así como el acceso no autorizado a las
instalaciones y dependencias de LucesCo.
Se pide:
NC
Las contraseñas administrativas para el acceso a los servidores virtuales se
almacenaban en cuadernos de notas o apuntes en el área de ingeniería.
No se mantiene una copia de seguridad fuera de las instalaciones.
Se pide
Se pide