Caso práctico proyectos de seguridad

Enviado por Alejandro Peinado • 22 de Enero de 2019 • Apuntes • 1.391 Palabras (6 Páginas) • 1.199 Visitas

Página 1 de 6

Actividades[pic 1]

Trabajo: Caso práctico proyectos de seguridad

El escenario en el que se enmarca esta actividad es el siguiente:

Has sido nombrado reciénteme como nuevo responsable de seguridad de la información de una importante empresa dedicada a la fabricación de maquinaria industrial. Esta posición es de nueva creación tras la adquisición de la entidad por un grupo empresarial con un fuerte compromiso con la seguridad de la información.

Como primer cometido a desarrollar en tu nuevo puesto, la Dirección te ha pedido que abordes las tareas más urgentes en la organización para gestionar adecuadamente los riesgos actuales y de esta forma proteger de la mejor forma posible la información.

Para ello, encargas a una consultora la elaboración de un Plan Director de Seguridad. Tras varias semanas, tienes encima de la mesa un plan de proyectos entre los que destacan por su prioridad e impacto los siguientes:

Correcta gestión de las vulnerabilidades técnicas. Ref: ISO 27002 (A12.6).
Mejora de las medidas de seguridad física. Ref: ISO 27002 (A11.1).
Incremento de la seguridad en las redes de la empresa. Ref: ISO 27002 (A13.1).

En el escenario descrito, se pide al alumno que escoja uno de los proyectos propuestos definiendo:

Un contexto para la empresa pudiendo tomar como partida las directrices dadas en el capítulo 4 de la ISO/IEC 27001.

La empresa Compad situada en la calle Villaverde 45. Es una empresa del sector eléctrico y su principal función es hacer instalaciones tanto eléctricas como cableado de datos.

Internamente está organizada en 5 departamentos (RRHH, Marketing, Ventas, Administracion e investigación).

TABLA DE NECESIDADES – EXPECTATIVAS (punto 4.2 ISO 27001)

Necesidades	Expectativas
Seguridad en el envío de la información	Recepción correcta de la información la información
El software de negocio debe de estar licenciado	Tener licencia activas y apoyo de soporte cuando sea conveniente
Todos los datos confidenciales tanto como planos, nombres de obras y datos de las mimas, serán guardados redundantemente	Backups regulares, en un sitio controlado y fuera de peligro

Identificar brevemente los principales riesgos asociados que podría tener una empresa como la indicada.

Contraseñas débiles.
Conexiones entre sedes sin cifrar.
Malas prácticas de seguridad por parte de los usuarios de la empresa.
Pérdida de suministro eléctrico.
Pérdida de datos
Interceptación de los mensajes.
Perdida de datos.

Priorizar los proyectos justificando el que debe tener mayor prioridad justificando el porqué de la elección y de qué modo mitigaría los riesgos identificados.

Contraseñas débiles, Conexiones sin cifrar y Malas prácticas de seguridad por parte de los usuarios de la empresa.

Para el proyecto escogido se debe especificar:

Descripción general del proyecto
Sus objetivos

Los controles serían los siguientes:

Controlar la seguridad de la red, gestionadas y controladas para proteger la información en los sistemas y aplicaciones (ISO 27002, Control 13.1.1).
Seguridad en los servicios de red: mecanismos de seguridad, niveles de servicio, requisitos de gestión de todos los servicios de red (ISO 27002, Control 13.1.2).
Segregación en redes: incluyendo usuarios y sistemas de información (ISO 27002, Control 13.1.3).
Políticas y procedimientos de intercambio de información: Cómo se va intercambiar los planos (ISO 27002, Control 13.2.1).
Mensajería electrónica: Como se establecerá contacto con el cliente (ISO 27002, Control 13.2.3).
Acuerdos de confidencialidad o no revelación: acuerdos para no revelar información de cualquier obra en curso (ISO 27002, Control 13.2.4).
Protección de las transacciones de servicios de aplicaciones: aplicaciones importantes para la implantación del negocio (ISO 27002, Control 14.1.3).
Política de desarrollo seguro: todo el software licenciado y con soporte para el seguro mantenimiento del negocio (ISO 27002, Control 14.2.1).
Restricciones a los cambios en los paquetes de software, hasta su control riguroso (ISO 27002, Control 14.2.4).
Principios de ingeniería de sistemas seguros, se deben establecer, documentar, mantener y aplicarse a todos los esfuerzos de sistemas de información de la empresa. (ISO 27002, Control 14.2.5).
Politica de seguridad de la información en las relaciones con los proveedores: se debe de acordar la penetración en los activos por parte del proveedor (ISO 27002, Control 15.1.1).
Requisitos de seguridad en contratos con terceros, se debe cumplimentar todo lo que pueda ser usado por un tercero (ISO 27002, Control 15.1.2).
Gestión de la provisión de servicios del proveedor, se debe revisar todas las iteraciones con el proveedor. (ISO 27002, Control 15.2.1).
Gestión de cambios en la provisión del servicio del proveedor, se debe cumplimentar como se va a llevar a cabo el cambio y el negocio como llega a estar afectado. (ISO 27002, Control 15.2.2).
Responsabilidades y procedimientos, se debe cumplimentar todos los pasos para salvaguardar en todo caso la integridad de los activos. (ISO 27002, Control 16.1.1).
Notificación de eventos de seguridad de la información, en caso de alarma se deberá notificar por la vía adecuada (ISO 27002, Control 16.1.2).
Notificación de puntos débiles de la seguridad (ISO 27002, Control 16.1.3).
Evaluación y decisión sobre los eventos de la seguridad de la información (ISO 27002, Control 16.1.4).
Respuesta a los incidentes de seguridad de la información, tener procedimientos documentados para cada uno de los casos. (ISO 27002, Control 16.1.5).
Aprendizaje de los incidentes de seguridad de la información, conocimiento mediante el análisis y resolución de incidentes (ISO 27002, Control 16.1.6).
Planificación de la continuidad de la seguridad de la información, asegurar una continuidad en el negocio pese a los incidentes provocados (ISO 27002, Control 17.1.1).
Implementar la continuidad de la seguridad de la información, asegurar una continuidad en el negocio pese a los incidentes provocados (ISO 27002, Control 17.1.1).
Verificación, revisión y evaluación de la continuidad de la seguridad de la información, comprobación de los controles establecidos (ISO 27002, Control 17.1.2).
Cumplimiento de los requisitos legales y contractuales, los requisitos pertinentes deberán de ser cumplimentados en el sistema de información (ISO 27002, Control 18.1.1).
Derechos de propiedad intelectual, garantizar estos requisitos legales de propiedad intelectual (ISO 27002, Control 18.1.2).
Revisión independiente de la seguridad de la información, cuando se produzcan cambios significativos en la implantación. (ISO 27002, Control 18.2.1).
Cumplimiento de las políticas y normas de seguridad, asegurarse de todos los procedimientos sean realizados correctamente. (ISO 27002, Control 18.2.2).
Comprobación del cumplimiento técnico, asegurarse de todos los procedimientos sean realizados correctamente. (ISO 27002, Control 18.2.3).

Para el cumplimiento de la tríada CID el objetivo es evitar que se haga un ataque man-in-the-middle y pueda interceptar la información.

...

Descargar como (para miembros actualizados) txt (9.8 Kb) pdf (162.4 Kb) docx (67.5 Kb)

Leer 5 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

1 clasificación(es)

Denunciar este ensayo

Ensayos relacionados

Proyecto Seguridad Vial
PROYECTO DE SEGURIDAD VIAL 1. INFORMACIÓN GENERAL NOMBRE: Proyecto de Seguridad Vial RESPONSABLE: Estudiantes 10° Institución Educativa Colegio Puerto Nuevo DIRIGE: Nombre del profesor 2.

12 Páginas • 1324 Visualizaciones
Proyecto Seguridad Escolar
Proyecto: Seguridad Escolar. Índice. Introducción. Capitulo 1: El problema. 1.1. Planteamiento del problema. 1.2. Formulación del problema. 1.3. Objetivos. 1.4. Justificación de la investigación. 1.5.

12 Páginas • 1094 Visualizaciones
CASO El profesor de seguridad en riesgo eléctrico
CASO El profesor de seguridad en riesgo eléctrico esta la clase, y explica el tema del peligro del contacto eléctrico; el profesor nota que dos

5 Páginas • 753 Visualizaciones
Caso Santa Cruz, Proyecto Auto Electico
1) A- Datos históricos La idea de moverse con coches de propulsión 100% eléctrica no es nueva. Poco antes de acabar el Siglo XIX y

13 Páginas • 776 Visualizaciones
PROYECTO SEGURIDAD EN EL HOGAR "CUIDÁNDOME Y CUIDANDO MI CASA"
REPÚBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD DR. RAFAEL BELLOSO CHACÍN VICERRECTORADO ACADÉMICO DECANATO DE EXTENSIÓN DIRECCIÓN DE RESPONSABILIDAD SOCIAL UNIVERSITARIA SERVICIO COMUNITARIO ESCUELA DE INGENIERÍA ESCUELA

7 Páginas • 1016 Visualizaciones
CASO ADMINISTRACIÓN DE LA SEGURIDAD
1. ¿Quién considera que es responsable de la seguridad de la empresa? ¿Los empleados? ¿El especialista en seguridad? ¿La gerencia? Hace mucho tiempo que los

5 Páginas • 788 Visualizaciones
CASO: AMBEV, EL PROYECTO SOÑADO
CASO: AMBEV, EL PROYECTO SOÑADO: UNA COMPAÑÍA MULTINACIONAL BRASILEÑA A ESCALA GLOBAL ANTECEDENTES • Brahma y Antarctica, decidieron fusionarse y crear AmBev, ya que con

2 Páginas • 636 Visualizaciones
Proyecto seguridad de la información
Definición La seguridad de la información, es un conjunto de reglas, planes y acciones que permiten asegurar la información manteniendo las propiedades de confidencialidad, integridad

1 Páginas • 303 Visualizaciones
Proyecto Seguridad
DATOS INFOMATIVOS:1.1. Nombre del colegio : Colegio “Víctor Proaño Carrión” 1.2. Dirección : Av. Simón Bolívar junto al estadio de la Parroquia Provincia : Chimborazo

3 Páginas • 385 Visualizaciones
PROYECTO SEGURIDAD Y EMERGENCIA ESCOLAR
INTRODUCCION La importancia de mantener y desarrollar un Plan de Seguridad Escolar al interior de la Escuela, permite prever situaciones límites en casos de emergencia.

2 Páginas • 593 Visualizaciones