Asignatura Datos del alumno Fecha

Gestin de I+D+i; Gestin de la Apellidos: Bolaos Insuasty

Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
09/06/2017
Gestin del Servicio Nombre: Daniel Esteban

Caso prctico

Trabajo: KHC Abogados

En la actualidad, la informacin ha pasado a ser uno de los activos ms valiosos para las
Organizaciones. De una buena gestin de la informacin depender, en gran medida, el
buen funcionamiento de la empresa.

Tras un problema en sus servidores, que ha provocado la prdida de parte de la

informacin confidencial manejada, KHC Abogados, que hasta entonces no haba
tenido en cuenta la seguridad de la informacin, convierte la misma en uno de los
objetivos estratgicos para el prximo ao. Para ello decide implantar y certificar un
Sistema de Gestin de la Seguridad de la Informacin en base a la Norma ISO/IEC
27001 y te nombra responsable del SGSI.

Preguntas del profesor

Con los datos facilitados en el caso prctico, los que necesites extraer de las unidades,
as como de cualquier otra fuente de informacin, como pueden ser las propias Normas
de gestin, da respuesta a las siguientes cuestiones:

Antes de comenzar con la implantacin y como responsable del Sistema,

debes plantearte estas cuestiones Qu debe hacer KHC Abogados? Qu
NO debe hacer KHC Abogados? Cumplimenta la siguiente tabla.

Qu debe hacer KHC Abogados? Qu NO debe hacer KHC Abogados?

Principales errores

TEMA 4 Caso prctico

 Asignatura Datos del alumno Fecha
Gestin de I+D+i; Gestin de la Apellidos: Bolaos Insuasty
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
09/06/2017
Gestin del Servicio Nombre: Daniel Esteban

- Obtener el apoyo de la direccin. - disear un SGSI por encima de las

- Tomarlo como un proyecto. necesidades y posibilidades de la

- Definir el alcance. organizacin.

- Dependencia absoluta del sistema a
- Redactar una poltica en SG-SST.
una consultora externa.
- Capacitacin formal en el SGSI
- O al contrario la organizacin es la
- Documentar requisitos
encargada de todo el proceso. Esto
normativos
hace que las evaluaciones y controles
- Publicar documentacin del SGSI
internos que se llevan a cabo sean, en
muchos caos, insuficientes.
- No se da a entender a todos los
empleados tiene que ser consciente de
que papel poseen dentro del sistema,
ya que es probable que deban
modificar, perfeccionar o redisear
algunas de sus funciones.
- En ningn caso tendr xito la
implantacin de este sistema con el
nico fin de conseguir una
acreditacin o certificacin oficial

Cules seran los pasos a seguir por KHC Abogados para llevar a cabo la
evaluacin de riesgos?
Identificar los activos de la organizacin.
Identificar los propietarios de los activos.
Identificar las amenazas bajo las que operan estos activos.
Identificar la probabilidad de que se materialice una amenaza.
Realizar valoraciones conforme a la confidencialidad, integridad y disponibilidad de
la informacin.
Definir un mtodo de clculo para el riesgo.
Valorar los impactos para la organizacin de la materializacin de las amenazas

Qu informacin documentada derivara de la implantacin del SGSI en

base a la Norma ISO/IEC 27001?

TEMA 4 Caso prctico

 Asignatura
Gestin de I+D+i; Gestin de la
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
Gestin del Servicio
Datos del alumno Fecha
Apellidos: Bolaos Insuasty
09/06/2017
Nombre: Daniel Esteban

- Proceso de apreciacin de riesgos de seguridad de la informacin.

- Proceso de tratamiento de riesgos de seguridad de la informacin.
- Objetivos de seguridad de la informacin.
- Competencia de los integrantes de la Organizacin.
- Planificacin, implementacin y control de los procesos.
- Resultados de las apreciaciones de riesgos de seguridad de la informacin.
- Resultados del tratamiento de los riesgos de seguridad de la informacin.
- Resultados del seguimiento, medicin anlisis y mejora.
- Resultados de la auditora interna. Implementacin del programa de auditora.
- Resultados de las revisiones por la direccin. No conformidades.
- Resultados acciones correctivas.

Qu poltica seguiras para controlar los accesos externos a la red

interna?
El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de
informacin de ABC debe ser asignado de acuerdo a la identificacin previa de
requerimientos de seguridad y del negocio que se definan por las diferentes
dependencias de la Institucin, as como normas legales o leyes aplicables a la
proteccin de acceso a la informacin presente en los sistemas de informacin.

Los responsables de la administracin de la infraestructura tecnolgica de ABC asignan

los accesos a plataformas, usuarios y segmentos de red de acuerdo a procesos formales
de autorizacin los cuales deben ser revisados de manera peridica por la Oficina de
Control Interno de ABC.

La autorizacin para el acceso a los sistemas de informacin debe ser definida y

aprobada por la dependencia propietaria de la informacin, o quien sta defina, y se
debe otorgar de acuerdo con el nivel de clasificacin de la informacin identificada,
segn la cual se deben determinar los controles y privilegios de acceso que se pueden
otorgar a los funcionarios y terceros e implementada por la Direccin de Tecnologa.

Cualquier usuario interno o externo que requiera acceso remoto a la red y a la

infraestructura de procesamiento de informacin de ABC, sea por Internet, acceso

TEMA 4 Caso prctico

 Asignatura
Gestin de I+D+i; Gestin de la
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
Gestin del Servicio
Datos del alumno Fecha
Apellidos: Bolaos Insuasty
09/06/2017
Nombre: Daniel Esteban

telefnico o por otro medio, siempre debe estar autenticado y sus conexiones debern
utilizar cifrado de datos.

Bibliografa.

- Captulo 4, Manual de la asignatura.

- Norma NTC ISO IEC 27001.

Extensin mxima: 3 pginas, fuente Georgia 11 e interlineado 1,5.

TEMA 4 Caso prctico