Aplicación práctica de la norma ISO 27001

Actividades[pic 1]

Trabajo: Aplicación práctica de la norma ISO 27001

Descripción

Tras leer la última versión disponible de la norma ISO 27001 y con el apoyo de la ISO 27002, ambas disponibles en la Biblioteca Virtual de UNIR, responde a las siguientes preguntas en un máximo de 8 páginas:

• La empresa en la que trabajas quiere certificarse según la norma ISO 27001. Para afrontar con garantías el proceso de certificación se ha decidido llevar a cabo una pre-auditoría. Dentro de la documentación solicitada para poder llevar a cabo la pre-auditoría se nos ha solicitado:

• Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía. Así, se debe contextualizar la actividad de la compañía (mediante una introducción, explicando su misión y visión) y se debe justificar cómo el SGSI sustentaría dicho objetivo. Por ejemplo, se podría hablar de qué beneficios concretos se obtienen (más allá de incrementar el nivel de seguridad) o cómo se alinean los objetivos corporativos con esta nueva iniciativa. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.
• Respondiendo a ese objetivo de negocio se debe establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada.

• En el informe recibido tras pasar la pre-auditoría se identifican deficiencias en los siguientes controles:

• Roles y responsabilidades en seguridad de la información: no se definen las capacidades necesarias para desempeñar los roles de la organización, concretamente el de responsable de seguridad. Por otro lado, tampoco se identifican los activos, ni por tanto se ha designado un responsable que se ocupe de su protección.
• Concienciación, educación y capacitación en seguridad de la información: no existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que deben seguir, ni se realizan cursos de concienciación globales.
• Clasificación de la información: no se ha establecido un sistema de clasificación de la información.
• Política de control de acceso: actualmente hay acceso global por parte de todos los usuarios a las principales aplicaciones de negocio de la entidad.

Para cada uno de estos controles se debe proponer acciones de mejora que permitan cumplir con la norma. Si en alguno de ellos considera necesario hacer asunciones sobre otros controles, éstas deben estar debidamente justificadas.

Criterios de evaluación

Se valorará positivamente las referencias tanto a la ISO 27001 como a la ISO 27002 que se realicen en el trabajo. Para ello, se debe indicar claramente qué epígrafe concreto sustenta lo escrito por el alumno.

PARTE 01

DEMSOFT S.A.C

1. PRESENTACION DE LA EMPRESA

DemSoft S.A.C nació en la ciudad de Ayacucho en el año de 2014, con el propósito de satisfacer las necesidades de automatizar tareas a través de la implementación y desarrollo de software, con la utilización de herramientas informáticas en la realización de software de calidad acordes con la normatividad, permitiendo la usabilidad.

Con firmeza se ha trabajado día a día para cumplir a cabalidad con la promesa de valor a nuestros clientes; hemos evolucionado posicionándonos a nivel local como una compañía especializada en el desarrollo de software, mantenimiento de software y control de calidad sobre el software.

Hoy con más de 04 años en el mercado, “Somos la solución eficiente en el desarrollo, mantenimiento, implementación y calidad de software”.

Misión: “Somos una compañía dedicada al desarrollo de software, nuestros servicios están diseñados de acuerdo a las necesidades del cliente garantizando la calidad del software”.

Visión: “Ser líder en la implementación y desarrollo de software a nivel local y nacional”.

1. OBJETIVOS

1. Capacitar el personal que brinda los servicios de consultoría de software.
2. Incrementar la satisfacción de los clientes respecto a los servicios ofertados.
3. Mejorar la productividad de los proyectos de consultoría de software.

1. OBJETIVO DEL SGSI

1. Crear una mejor imagen de mercado y reducir el daño ocasionado por potenciales incidentes; las metas están acorde con los objetivos comerciales, con la estrategia y los planes de negocio de la organización.

1. ALCANCE DEL SGSI

El alcance del SGSI se define de acuerdo a los siguientes aspectos:

1. Procesos y servicios

• Gestión de proyectos de software
• Desarrollo e implementación de software
• Mantenimiento de software

1. Unidades organizativas

• Gerencia de operaciones
• Gerencia de servicios TIC

1. Ubicaciones

Los procesos dentro del alcance se desarrollan en la sede principal de la empresa ubicado en el distrito de San juan Bautista, en la ciudad de Ayacucho.

1. Redes e infraestructura de TI

• Equipos portátiles y de escritorio.
• Dispositivos de almacenamiento de información (USB, discos duro externos)
• Software de desarrollo
• Servicio de internet

PARTE 02

1. Roles y responsabilidades en seguridad de la información

Control: Todas las responsabilidades en seguridad de la información deberían definirse y asignarse.

Implantación. – La asignación de responsabilidades relativas a seguridad de la información debería realizarse de acuerdo con las políticas de seguridad de la información. Deberían identificarse las responsabilidades para la protección de activos individuales, así como para llevar a cobo procesos de seguridad específicos. Deberían definirse las responsabilidades para las actividades de gestión de riesgos de seguridad de la información y, en particular, para la aceptación de riesgos residuales. Estas responsabilidades deberían completarse, donde sea necesario, con una guía mas detallada para ubicaciones e instalaciones de tratamiento de información específicas. Se deberían definir las responsabilidades locales para la protección de los activos y para llevar a cabo procesos de seguridad específicos.

...