Trabajo: Caso práctico proyectos de seguridad

El escenario en el que se enmarca esta actividad es el siguiente:

Has sido nombrado reciénteme como nuevo responsable de seguridad de la

información de una importante empresa dedicada a la fabricación de maquinaria
industrial. Esta posición es de nueva creación tras la adquisición de la entidad por un
grupo empresarial con un fuerte compromiso con la seguridad de la información.

Como primer cometido a desarrollar en tu nuevo puesto, la Dirección te ha pedido que

abordes las tareas más urgentes en la organización para gestionar adecuadamente los
riesgos actuales y de esta forma proteger de la mejor forma posible la información.

Para ello, encargas a una consultora la elaboración de un Plan Director de Seguridad.

Tras varias semanas, tienes encima de la mesa un plan de proyectos entre los que
destacan por su prioridad e impacto los siguientes:

 Correcta gestión de las vulnerabilidades técnicas. Ref: ISO 27002 (A12.6).

 Mejora de las medidas de seguridad física. Ref: ISO 27002 (A11.1).
 Incremento de la seguridad en las redes de la empresa. Ref: ISO 27002 (A13.1).

En el escenario descrito, se pide al alumno que escoja uno de los proyectos propuestos
definiendo:

1. Un contexto para la empresa pudiendo tomar como partida las

directrices dadas en el capítulo 4 de la ISO/IEC 27001.

CONTEXTO DE LA ORGANIZACIÓN:
La empresa XYZ-Petróleos se ubica en la ciudad de Piura. XYZ es una empresa
dedicada al transporte, refinación, distribución y comercialización de combustibles y
otros productos derivados del petróleo.
1. Contexto externo (ISO 31000 – 5.3.2)
- Partes interesadas externas: Clientes, proveedores, competidores, reguladores.
- Entorno político, legal, reglamentario y contractual: Ley de protección de datos.
- Entorno competitivo: Multinacionales.
- Entorno social, cultural y natural: Idioma/Huelgas/Cambios climatológicos.
- Entorno económico y financiero: Nuevas fuentes de energía/Inversión.
- Entorno tecnológico: Adaptación al cambio.
2. Contexto interno (ISO 31000 – 5.3.3)
- Partes interesadas internas: Dirección, Coordinador de Seguridad de Información.
- Misión y objetivos estratégicos:
- Procesos de la organización: Procesos estratégicos/Procesos operacionales
- Organización y funciones: Gerencias
- Recursos disponibles: Personal técnico e infraestructura.
- Tecnología vigente: Sistemas (Software), Hardware(Equipos).

2. Identificar brevemente los principales riesgos asociados que podría

tener una empresa como la indicada.

RIESGOS IDENTIFICADOS (Magerit v. 3.0 – Libro II)

- Desastres naturales
- Errores y fallos no intencionados
- Errores de los usuarios/administrador
- Errores de configuración.
- Deficiencias en la organización
- Interrupción del suministro eléctrico
- Uso no autorizado de materiales patentados
- Instalación no autorizada de software
- Difusión de software dañino
- Escapes de información
- Manipulación de la configuración
- Suplantación de la identidad del usuario
- Acceso no autorizado
- Extorsión
- Abuso de privilegios de acceso
3. Priorizar los proyectos justificando el que debe tener mayor prioridad
justificando el porqué de la elección y de qué modo mitigaría los riesgos
identificados.
Nivel de
Proyecto Riesgo Probabilidad
Riesgo
Correcta gestión de Errores de los usuarios/administrador Medio 3
las vulnerabilidades Instalación no autorizada de software Baja 2
técnicas. Ref: ISO Difusión de software dañino Medio 3
27002 (A12.6). Suplantación de la identidad del usuario Medio 3
Errores y fallos no intencionados Medio 3
Mejora de las Abuso de privilegios de acceso Alto 4
medidas de seguridad Acceso no autorizado Medio 3
física. Ref: ISO 27002 Uso no autorizado de materiales Bajo 2
(A11.1). Desastres naturales Bajo 1
Extorsión Bajo 2
Incremento de la Manipulación de la configuración Alta 5
seguridad en las redes Escapes de información Alta 4
de la empresa. Ref: Errores de los usuarios/administrador Medio 3
ISO 27002 (A13.1). Errores de configuración Medio 3
Errores y fallos no intencionados Medio 3

Se Prioriza el proyecto de: Incremento de la seguridad en las redes de la empresa.

Ref: ISO 27002 (A13.1). Porque Tiene los riesgos con nivel alto, mitigar utilizando
herramientas de gestión de seguridad (Norma ISO 27001 - 2013) .

4.
 Para el proyecto escogido se debe especificar:

DESCRIPCIÓN GENERAL DEL PROYECTO

En un entorno donde el cibercrimen está en auge y el intercambio de información es
imprescindible a través de medios tecnológicos, por ejemplo, las redes de internet. Se
hace necesaria la protección de la información, utilizando herramientas (ISO 27001,
control A13.1) y mecanismos de buenas prácticas de seguridad; por ello vemos
necesaria el incremento de la seguridad en redes para mantener el intercambio
de información libre de riesgo y un mejor trato de los recursos informáticos por parte
de los usuarios.

OBJETIVOS.
a. Mejorar la seguridad de acceso a la configuración implementando mecanismos
de controles de acceso, garantizando que ningún intruso pueda alterar la
configuración.
b. Mejorar la protección de la información que se transfiere a través del cifrado y
controles de conexión a red de la información para garantizar su integridad y
confidencialidad.
c. Implementar planes de capacitación y concienciación sobre la seguridad de las
redes a los usuarios y administradores.

EL ALCANCE DEL PROYECTO.

XYZ-Petróleos, define su alcance para el Sistema de Gestión de Seguridad de la
Información en las áreas siguientes.
A1. Área de informática y sistemas
A2. Área administrativa.
Las áreas dentro del alcance se desarrollan en la sede principal de la empresa, en la
ciudad de Piura.

Tiempo estimado. Bastará con precisar una estimación basada en el

alcance, la complejidad del proyecto y el contexto de la organización.
Como mínimo 2 meses para el planteamiento inicial, y 4 meses para implementar el
proyecto.

Plan detallado de acción indicando las tareas que se llevarán a cabo en el

corto plazo (CP), cuales se ejecutarán en el medio plazo (MP) y, por último,
cuales se planifican para ser ejecutadas en un largo plazo (LP).
Utilizamos la NORMA ISO 27002 – Guía de buenas practicas
Seguridad de las comunicaciones (ISO 27002, A13)
Gestión de la seguridad en redes (ISO 27002, Control 13.1)

13.1.1 CONTROLES DE RED.

CORTO PLAZO

N° Tareas Recursos Efectividad Inicio Cierre

1.Roles,
responsabilidades
Establecer responsables y
y actividades del Responsables y 02 de 07 de
1 procedimientos para gestión
SGSI. roles definidos. enero enero
de acceso a los equipos de red
2.Evaluaciones
para el personal
1.Operador TIC
Restringir la conexión de Mejora del 04 de 07 de
2 2.Reportes de
sistemas a la red tráfico de red. enero enero
conexión.
Implementación de controles
Configuración
especiales para salvaguardar 1.Operador TIC
adecuada de 04 de 15 de
3 la confidencialidad e 2.Servicios TIC
controles de enero enero
integridad de los datos que 3. Normas
acceso a la red
pasan a través de las redes
Designar un responsable de
1Coordinador de
TI para que reporte al
seguridad de Registro de
coordinador de seguridad de 03 de
4 información. incidentes de
la información sobre enero
2.Personal de seguridad
incidentes de seguridad en
organización.
redes
1.Coordinador de
Crear parámetros para seguridad de
conexiones seguras con los información. Parámetros de
06 de 22 de
5 servicios de red de acuerdo a 2.Operador de conexión
enero enero
las reglas de seguridad y TIC. segura
conexión a las redes. 3.Servicios de
TIC
6 Crear procedimientos para el 1.Operador de Procedimientos 06 de 22 de
uso de servicios de red para TIC de acceso enero enero
restringir el acceso a los 2. Servicios de generados
mismos o a las aplicaciones. TIC
 1.Operador de
TIC
Segmentación de redes por Redes de la
2.Coordinador de 10 de 23 de
7 niveles de confianza en las compañía
seguridad de la enero enero
áreas de trabajo. segmentados
información
3. Servicios TIC

MEDIANO PLAZO

N° Tareas Recursos Efectividad Inicio Cierre

1.Roles,
1.Políticas de
responsabilidades
seguridad
y actividades del
actualizados.
Separar la responsabilidad SGSI. 10 de 23 de
1 2.Responsables
operacional de las redes 2.Evaluaciones enero febrero
y roles
para el personal
definidos
3.Politicas de
actualizados.
Seguridad
1.Operador TIC
2.Reportes de
Implementar tecnologías para
conexión. Mejora del 15 de 23 de
2 la seguridad de los servicios
3. reportes de tráfico de red. enero febrero
de red.
fuga de
información
1.Operador TIC
2.Servicios TIC
3. Normas
4.Coordinado de
Diseñar pruebas para evaluar seguridad de la Resultados de
10 de 30 de
3 al personal designado para información. la evaluación
enero enero
cumplir roles en la seguridad. 5.Personal que del personal
participa del
SGSI.
6.Evaluaciones
para el personal
4 Ejecutar la charla de 1Coordinador de Personal 30 de 28 de
concienciación general por seguridad de concienciado enero febrero
grupos de usuarios. información.
2.Personal de
 organización.
3.Planes de
concienciación en
seguridad de la
información.
1.Coordinador de
Identificar personal que
seguridad de
requiere mejorar o adquirir Personal de
información. 15 de 15 de
5 ciertas competencias, en base asistencia
2.Personal que febrero marzo
a los resultados de las competente
participa del
evaluaciones previas
SGSI
1.Operador de
TIC
2. Servicios de
TIC
Ejecutar capacitaciones al 1.Coordinador de Personal 15 de 30 de
6
personal identificado seguridad de competente marzo marzo
información.
2.Personal que
participa del
SGSI

LARGO PLAZO

N° Tareas Recursos Efectividad Inicio Cierre

1.Operador TIC
1.Reportes de
Implementar un plan de 2.Reportes de
mejora en
monitoreo periódico de las conexión. 30 de 28 de
1 seguridad de
acciones tomadas en 3. reportes de marzo abril
redes
seguridad de las redes fuga de
información
1.Operador TIC Registros y
Obtener registros de
2.Coordinador de resultados de 30 de 28 de
2 operación de la red y los
seguridad de métrica marzo abril
servidores
información definidos.
3 Determinar el porcentaje de 1.Operador TIC Registros y 30 de 28 de
tiempo en que los servicios de 2.Servicios TIC resultados de marzo abril
red han estado operando 4.Coordinado de métrica
adecuadamente seguridad de la definidos.
información.