Actividad aprendizaje

ISO 27001:2022

Aplicación de controles del anexo A

Grupo
Integrantes
N°

Actividad de aprendizaje

No Situación C/NC1 Control(es)2

EJEMPLO: El responsable de realizar los respaldos de información no

0. NC 5.1
conoce la política de respaldos definida.3
Está definido que la impresión de documentación etiquetada como
SECRETA se debe imprimir con el dueño del documento presente
1. NC 5.13
durante la impresión, pero se ha encontrado un documento SECRETO
en una de las bandejas de salida de la impresora.
La Gerencia ha decido realizar una reunión de gestión estratégica con
2. NC 6.6
un desayuno en un café donde hay más público presente.
El Área de Tecnología emite semestralmente un informe con los
3. derechos de acceso vigentes de todos los empleados, y se lo envía a C 5.18
los dueños de la información para su revisión y regularización.
La organización ha decidido cambiar de proveedor de IaaS
4. (Infraestructure as a Service) en la nube y no tiene claro cómo se NC 5.14
realizará la transferencia de la información al nuevo proveedor.
Varios de los ingenieros de sistemas del Área de Desarrollo de Software
se han visto involucrados de manera reiterada durante el último año en
5. NC 5.19
Incidentes de SI relacionados con accesos no autorizados a información
de los Clientes.
Todas las personas contratadas en modalidad de Teletrabajo tienen
6.1
6. claros los riesgos de SI en sus puestos de trabajo, ya que han recibido C
6.3
capacitación al respecto.
Se ha subcontratado a una Empresa de Televigilancia para el monitoreo 5.19
7. del Sistema de Alarmas, que incluye sensores de movimiento, de humo, C 5.20
calor y de apertura, y CCTV. 5.22
El Área TIC no recibió de manera oportuna una alerta sobre la aparición
de un troyano en uno de los sitios web de acceso habitual por personal
8. NC 6.8
de la organización que finalmente contaminó las redes de datos de la
organización.
El Área TIC ha implementado y probado oportuna y satisfactoriamente 5.21
9. C
el DRP (Disaster Recovery Plan).Plan recuperación ante desastres 5.30

1
Dos (2) ptos. cada respuesta correcta.
2
Tres (3) ptos cada respuesta correcta si el detalle es completó (ej. 5.1), solamente 1 punto si falta detalle (ej. 5).
3
NO BORRAR el ejemplo.

V2 – Enero 2023
Pág. 1
 Actividad aprendizaje
ISO 27001:2022

No Situación C/NC Control(es)

Como parte del hardening de la infraestructura TIC el Área TIC ha

10. actualizado las configuraciones de los servidores y las redes de la C 5.30
organización.
El Área de Desarrollo de software ha incorporado varios lenguajes de
5.2
11. programación nuevos para algunos de los cuales no se han definido los NC
5.19
estándares de programación a usar.
Se han adquirido, implementado y configurado una serie de
herramientas para realizar el seguimiento del estado de las redes y los
12. C 8.9
sistemas. Entre ellas: Solarwinds para las redes y Acronis para el
software
5.33
Un usuario ha informado una sospecha de acceso no autorizado a una
13. C 6.8
base de datos del personal de la organización.
7.4
Se está definiendo las características que debiera tener una nueva
14. C 8.11
herramienta de enmascaramiento de datos.
Mientras se moviliza en un bus de transporte público y va leyendo unos
mensajes de WhatsApp con instrucciones de trabajo de su jefe en su
15. 8.20
celular se percata de varios pasajeros que practican “ shoulder surfing”
con usted.

16.

17.

18.

19.

20.

V2 – Enero 2023
Pág. 2