1.

De acuerdo a ISO/IEC 27001, identifique el Riesgo, Activo de Información, Amenaza,

Vulnerabilidad comprometido en este incidente? Sustente razonablemente.

Debido a la base de datos expuesta en internet con miles de datos de sus usuarios debido al
mal manejo por parte de Cineplanet, en este caso el riesgo identificado es la Base de datos
privada expuesta en internet con la información de miles de usuarios.

Entre sus activos de información se tomaría en cuenta los fallos en los sistemas de
información como en este caso la “brecha de seguridad” dejando abierto un servidor de
Microsoft Azure, la información en sí es decir la base de datos, la funcionalidad de la
empresa u organización y las condiciones actuales de otros activos (PMG SSI, 2015).

Por último, las amenazas y vulnerabilidades, como se explica en la referencia sobre el caso;
se toma como amenaza la exposición de contraseñas y Login de los usuarios, Filtración de
datos sensibles de cada usuario tales como DNI, dirección, correo, teléfono, entre otros;
robo y pérdida de dicha información y consecuencias legales para la organización por no
cumplir con los requisitos. Además, dentro de las vulnerabilidades podemos encontrar, la
suplantación de información, cambio en los datos expuestos sin autorización alguna,
control de accesos inapropiado, por parte de los cibercriminales que vulneran la
información privada de sus clientes (Perú 21, 2020).

2. De acuerdo a ISO/IEC 27002 ¿Qué Objetivo de Control y Controles de Seguridad propone

implementar para el tratamiento del riesgo anterior? Sustente por lo menos haciendo
referencia a 01 Objetivo de Control y 01 Control.

Con referente al incidente planteado en el caso, se podría implementar el Objetivo de

control denominado:

1. Gestión de Incidentes en la Seguridad de la Información: El cual nos permitirá

garantizar un enfoque un poco más consistente y eficaz a la vez a la hora de gestionar
los incidentes de seguridad de la información, teniendo en cuenta la comunicación de
eventos de seguridad y las debilidades existentes.

- Control, Reporte de debilidades de Seguridad de la Información: Además de

reportar los incidentes, se debe reportar las debilidades del sistema que sean
detectados en cualquier momento, es decir exigir a los usuarios de reportar si
observan cualquier debilidad de seguridad de información vista o sospechada en los
sistemas o servicios que se brindan (ISO 27001,s.f.).

3. De acuerdo a ISO/IEC 27017 ¿Qué Objetivo de Control y Controles de Seguridad propone

implementar para el tratamiento del riesgo anterior? Sustente por lo menos haciendo
referencia a 01 Objetivo de Control y 01 Control

Con referente al incidente planteado en el caso, se podría implementar el Objetivo de

control denominado:
 1. Control de Acceso: Dicho control está orientado a controlar y monitorizar los
accesos a los medios de información de acuerdo a las políticas definidas por la
empresa u organización.

- Control, Política de control de acceso: Implementar y revisar la política de control

de acceso, requisito para poder definir las reglas de control de acceso a la
información, los derechos y restricciones de acceso. En este caso establecer,
documentar y revisar la política de control de acceso periódicamente (Ruiz, 2021).

REFERENCIA

PMG SSI. (2015). ISO 27001: Los activos de información. Recuperada de: https://onx.la/8ebb6

Perú 21. (2020). Base de datos no segura de Cineplanet expuso en Internet información
privada de miles de usuarios. Recuperada de: https://peru21.pe/lima/cineplanet-
base-de-datos-no-segura-expuso-en-internet-informacion-privada-de-miles-de-
usuarios-nndc-noticia/

Ruiz Imbat, G. X. (2021). Sistema de gestión de seguridad de la información de servicios en la

nube para la empresa “Masiva” de la ciudad de Quito, con base en la norma ISO/IEC
27017 [Tesis de maestría, Universidad Técnica del Norte]. Recuperado de
http://repositorio.utn.edu.ec/handle/123456789/11673