Asignatura Datos del alumno Fecha

Gestión de I+D+i; Gestión de la Apellidos: Sotelo Puerto

Seguridad de la Información ISO
27000 y 27001; ISO 20000-1:2011
03/06/2019
Gestión del Servicio Nombre: Marlesby

Caso práctico

Trabajo: KHC Abogados

Antes de comenzar con la implantación y como responsable del Sistema, debes plantearte
estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Cumplimenta la siguiente tabla.

¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Principales errores

1. Conseguir el apoyo de la Dirección de 1. Fijar un SGSI que este fuera del

KHC Abogados alcance y posibilidades de KHC
2. Establecer la trascendencia y límites Abogados.
del SGSI de la empresa de abogados, 2. Delegar por completo a una
su ubicación, la tecnología con que consultoría externa el control del
cuenta. sistema, o centrarlo totalmente en la
3. Redactar una política de SGSI, organización ya que el seguimiento se
teniendo en cuenta que el sistema puede volver insuficiente.
debe formar parte y estar integrado en 3. No realizar seguimiento al proceso de
los procesos de gestión de la la eliminación de la información
organización. 4. No capacitar al personal en SGSI
4. Capacitar al personal en SGSI 5. Ser reactivos únicamente.
5. Publicar todos los documentos 6. No comprender el problema y esperar
referentes a SGSI. que no suceda nada
6. Ser proactivos ante cualquier riesgo o 7. Falta de Personal
cambio que se pueda presentar en la 8. Confiarse en barreras o con firewall y
Compañía nada más.
9. Pensar que la seguridad únicamente
se centra en productos y tecnología.

¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de
riesgos?

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Sotelo Puerto
Seguridad de la Información ISO
27000 y 27001; ISO 20000-1:2011
03/06/2019
Gestión del Servicio Nombre: Marlesby

- Tendrá que definir y desarrollar un proceso de apreciación de riesgos de seguridad de

la información donde se recojan los ítems para identificar los riesgos de la
información.
- Es necesario identificar los riesgos vinculados a la perdida de confidencialidad,
integridad y disponibilidad de la información.
- Es necesario asociar un dueño con el riesgo
- Los riesgos deben ser evaluados teniendo en cuenta las consecuencias y la
probabilidad de ocurrencia.
- Una vez detectados y evaluados los riesgos, es vital priorizar el tratamiento de cada
uno de ellos.
Como Obligación de acuerdo a la noma es necesario establecer una mecánica para
para identificar, analizar y valorar los riesgos:
-Establecer los activos empleados, identificando los propietarios de estos activos.
-Identificar las amenazas a las que se ven expuestos.
-Identificar cual serían los impactos sobre esos activos, la perdida de confidencialidad,
integridad y disponibilidad.
-Así mismo establecer los efectos en la Empresa KHC Abogados ocasionados por la
pérdida de confidencialidad, integridad y disponibilidad de sus activos.
-Determinar la probabilidad de la materialización de dichos riesgos, sus impactos y
controles.

¿Qué información documentada derivaría de la implantación del SGSI en base a la Norma

ISO/IEC 27001?
La norma establece los siguientes documentos como fruto de la implantación de un SGSI :
- Proceso de apreciación y tratamiento de riesgos de seguridad de la información
- Metas de seguridad de la información
- Competencia de los integrantes de la organización
- Planificación, implementación y control de los procesos
- Resultados de la categorización y control de los riesgos de seguridad de la información
- Resultados del seguimiento, medición, análisis y mejora.
- Resultado de la auditoria interna.
- Implementación del Programa de auditoria
- Resultado de las revisiones por la dirección
- No conformidades.

TEMA 4 – Caso práctico

 Asignatura Datos del alumno Fecha
Gestión de I+D+i; Gestión de la Apellidos: Sotelo Puerto
Seguridad de la Información ISO
27000 y 27001; ISO 20000-1:2011
03/06/2019
Gestión del Servicio Nombre: Marlesby

- Resultados de acciones correctivas.

La empresa KHC Abogados realizara toda la documentación requerida para garantizar el
funcionamiento efectivo del sistema, de igual forma controlara cualquier documento externo
que sea necesario para llevar a cabo el SGSI.

¿Qué política seguirías para controlar los accesos externos a la red interna?

Actualmente las empresas cuentan con una infraestructura que las protegen de las amenazas
externas, la visión se enfoca en controlar los accesos internos como externos, en primera
instancia habría que concientizar tanto a los actores internos como externos de la
organización de la importancia de estos controles en pro de la protección de la información,
ya que cada vez se hace más necesario. Algunos podrían ser

- Autenticación fuerte en los accesos

- Protección de los Elementos Wireless
- Control de acceso a redes
- Protección de los canales de comunicación utilizando cifrado de datos.
- Revisar periódicamente los equipos y las posibles amenazas para poder identificarlas e
impedir ingresos al sistema
- Fijar protocolos seguros para usuarios remotos
- Instalar un sistema que limite las veces en las que se puede introducir una contraseña
errónea.

BIBLIOGRAFIA

- Zubieta Guillén, J., (2016). Capítulo 4. Sistemas de gestión I+D+i. En UNIR, Gestión
de I+D+i; Gestión de la seguridad de la Información ISO 27000 y 27001; ISO 20000-
1:2011 Gestión del Servicio (pp. 70-87). Universidad Internacional de la Rioja
- Norma ISO/IEC 27001. Tecnología De La Información. Técnicas De Seguridad.
Sistemas de Gestión de la Seguridad de la Información (SGSI).

TEMA 4 – Caso práctico