Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La empresa tiene 300 equipos en su área de producción. Durante la semana constantemente los equipos
presentan fallas de configuración y problemas con los aplicativos, muchos de los cuales son críticos para el
cumplimiento de los objetivos del negocio.
Éste problema recurrente ha hecho que el área de sistemas se convierta en “apagador de incendios”, lo que
no ha permitido que el personal tenga la productividad esperada por los directivos de la empresa. El Jefe de
Sistemas, preocupado ante la situación de su área, decide realizar una evaluación de los riesgos del área y del
problema específico.
Declare una única política de seguridad que resuelva específicamente el problema descrito:
Declaración de política:
Control de accesos
Alcance:
Se le debe aplicar a cada usuario que forme parte de la empresa, empezando por listarlos y darles
grupos asignados a cada perfil de estos. Luego pasar las maquinas por una limpieza general el cual
tenga perfiles de administrador y usuarios. Contratar el servicio de una empresa que nos brinde
sistemas de seguridad a nuestra red y así no tener problemas con malware, phishing, etc.
Listado del cuerpo normativo/procedimental necesario:
Restringir o permitir el acceso a determinadas personas a los diferentes departamentos que
conforman una instalación.
Restringir o permitir la entrada a los usuarios a las bases de datos, los sistemas informáticos y
demás servicios de información.
Proteger los bienes materiales y los equipos de las organizaciones.
Detectar los posibles accesos no autorizados.
Facilitar las funciones de la empresa y proporcionar una mejor organización y control de los
propios trabajadores.
Controles propuestos:
Se debería establecer, documentar y revisar una política de control de acceso basada en los
requisitos de negocio y de seguridad para el acceso.
La asignación y el uso de privilegios debería estar restringidos y controlados.
Únicamente se debería proporcionar a los usuarios el acceso a los servicios para los que
específicamente se les haya autorizado el uso.
Se debería controlar acceso físico y lógico al diagnóstico y configuración de los puertos.
Todos los usuarios deberían tener un identificador de usuario (ID) para su uso personal y
único. Se debería elegir una técnica adecuada de autenticación para la conformación de la
identidad de un usuario.
Excepciones:
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Caso N° 02: De acuerdo a la clasificación de los controles de la ISO 27002, identifique a que dominio
pertenece cada una de los siguientes controles:
a. Gabinetes cerrados para el equipo de comunicaciones: 9. Seguridad física y del entorno
b. Identificación, provee la capacidad de identificar usuarios y recursos que sirve de apoyo para implantar
controles de accesos: 6. Organización de la Seguridad de la Información
c. Establece la capacidad de respuesta en un incidente para identificar y reportar un incidente, así como
regresar el sistema a su estado normal: 10. Gestión de las comunicaciones y las operaciones
d. Autorización, otorga nivel de acceso a los usuarios para opciones preestablecidas: 11. Control de accesos
e. No-repudiación, permite al sistema probar el envío y recepción de información, utilizando tecnología de
certificados digitales: 12. Adquisición, desarrollo y mantenimiento de sistemas de información
f. Provee continuidad del plan de operaciones: 14. Gestión de la continuidad del negocio
g. Seguridad ambiental, detectores de humo, fuego, alarmas: 9. Seguridad física y del entorno
h. Auditoria: 6. Organización de la Seguridad de la Información
i. Detección de intrusos y contención de penetración: 10. Gestión de las comunicaciones y las operaciones
j. Prueba de integridad, control que analiza la integridad e identifica exposiciones del sistema: 13. Gestión de
incidentes de seguridad de la información
k. Asignan responsabilidades de cumplimiento de la seguridad: 6. Organización de la Seguridad de la
Información
l. Revisión periódica de la efectividad de los controles: 10. Gestión de las comunicaciones y las operaciones
m. Control para el manejo de data en medios magnéticos: 10. Gestión de las comunicaciones y las
operaciones