Caso N° 01:

La empresa tiene 300 equipos en su área de producción. Durante la semana constantemente los equipos
presentan fallas de configuración y problemas con los aplicativos, muchos de los cuales son críticos para el
cumplimiento de los objetivos del negocio.

Éste problema recurrente ha hecho que el área de sistemas se convierta en “apagador de incendios”, lo que
no ha permitido que el personal tenga la productividad esperada por los directivos de la empresa. El Jefe de
Sistemas, preocupado ante la situación de su área, decide realizar una evaluación de los riesgos del área y del
problema específico.

En resumen, se identificaron las siguientes causas de la desconfiguración frecuente de los equipos:

 Los usuarios entran al panel de control de Windows y realizan configuraciones personalizadas que alteran
los aplicativos de trabajo, tal como los colores, la resolución de pantalla, formato de fecha, etc.
 Se utiliza con frecuencia los puertos para conectar dispositivos de almacenamiento externo, sin revisar la
existencia de malware.
 Los usuarios no tiene el conocimiento adecuado del sistema operativo y el proceso para vacunar
dispositivos externos.
 Los usuarios pueden borrar archivos del sistema, porque no se ha deshabilitado la opción de visualización
de éste tipo de archivos.
 El soporte a usuario por parte de sistemas es muy lento, a consecuencia del gran volumen de fallas que
presentan los equipos de cómputo.
 No está restringido el uso de Internet y pueden acceder a todo tipo de páginas web.
 El aplicativo de vacunas no está correctamente instalado en todos los equipos, permitiendo la entrada
de malware cuando se conectan a la red y al web.
 Los usuarios realizan actualizaciones de los aplicativos por Internet, sin el debido conocimiento.
 No está definido un plan de trabajo que permita a todo el personal de sistemas realizar una configuración
de equipos con las mismas características.
 Se presentan diferentes versiones de los aplicativos y sistemas operativos.

En base a lo descrito, se pide:

Declare una única política de seguridad que resuelva específicamente el problema descrito:

Declaración de política:
Control de accesos
Alcance:
Se le debe aplicar a cada usuario que forme parte de la empresa, empezando por listarlos y darles
grupos asignados a cada perfil de estos. Luego pasar las maquinas por una limpieza general el cual
tenga perfiles de administrador y usuarios. Contratar el servicio de una empresa que nos brinde
sistemas de seguridad a nuestra red y así no tener problemas con malware, phishing, etc.
Listado del cuerpo normativo/procedimental necesario:
 Restringir o permitir el acceso a determinadas personas a los diferentes departamentos que
conforman una instalación.
 Restringir o permitir la entrada a los usuarios a las bases de datos, los sistemas informáticos y
demás servicios de información.
 Proteger los bienes materiales y los equipos de las organizaciones.
 Detectar los posibles accesos no autorizados.
 Facilitar las funciones de la empresa y proporcionar una mejor organización y control de los
propios trabajadores.
 Controles propuestos:
 Se debería establecer, documentar y revisar una política de control de acceso basada en los
requisitos de negocio y de seguridad para el acceso.
 La asignación y el uso de privilegios debería estar restringidos y controlados.
 Únicamente se debería proporcionar a los usuarios el acceso a los servicios para los que
específicamente se les haya autorizado el uso.
 Se debería controlar acceso físico y lógico al diagnóstico y configuración de los puertos.
 Todos los usuarios deberían tener un identificador de usuario (ID) para su uso personal y
único. Se debería elegir una técnica adecuada de autenticación para la conformación de la
identidad de un usuario.
Excepciones:
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________

Caso N° 02: De acuerdo a la clasificación de los controles de la ISO 27002, identifique a que dominio
pertenece cada una de los siguientes controles:
a. Gabinetes cerrados para el equipo de comunicaciones: 9. Seguridad física y del entorno
b. Identificación, provee la capacidad de identificar usuarios y recursos que sirve de apoyo para implantar
controles de accesos: 6. Organización de la Seguridad de la Información
c. Establece la capacidad de respuesta en un incidente para identificar y reportar un incidente, así como
regresar el sistema a su estado normal: 10. Gestión de las comunicaciones y las operaciones
d. Autorización, otorga nivel de acceso a los usuarios para opciones preestablecidas: 11. Control de accesos
e. No-repudiación, permite al sistema probar el envío y recepción de información, utilizando tecnología de
certificados digitales: 12. Adquisición, desarrollo y mantenimiento de sistemas de información
f. Provee continuidad del plan de operaciones: 14. Gestión de la continuidad del negocio
g. Seguridad ambiental, detectores de humo, fuego, alarmas: 9. Seguridad física y del entorno
h. Auditoria: 6. Organización de la Seguridad de la Información
i. Detección de intrusos y contención de penetración: 10. Gestión de las comunicaciones y las operaciones
j. Prueba de integridad, control que analiza la integridad e identifica exposiciones del sistema: 13. Gestión de
incidentes de seguridad de la información
k. Asignan responsabilidades de cumplimiento de la seguridad: 6. Organización de la Seguridad de la
Información
l. Revisión periódica de la efectividad de los controles: 10. Gestión de las comunicaciones y las operaciones
m. Control para el manejo de data en medios magnéticos: 10. Gestión de las comunicaciones y las
operaciones