Ejercicios Sistema de Gestión de la Seguridad de la Información

M1.809 · Sistemas de Gestión de la Seguridad · PEC1 · 2017-2018 · Programa · de Estudis deY nformàtica Multimèdia y T elecomunicació

[pic 1]

PRIMERA PRUEBA DE EVALUACIÓN CONTINUA

Presentación

Esta primera práctica tiene por objetivo evaluar el grado de asimilación de los conceptos genéricos de un SGSI (Sistema de Gestión de la Seguridad de la Información).

Todos los ejercicios pretenden evaluar los conocimientos adquiridos desde un punto de vista teórico, con alguna tarea puntual en forma de “caso de uso” donde se tendrá que demostrar los conceptos teóricos con algún caso práctico relacionado.

Para cualquier duda y/o aclaración sobre el enunciado, tenéis que dirigiros al consultor responsable de vuestra aula.

Formato y fecha de entrega

En relación al formato de entrega tenéis que tener en cuenta las siguientes consideraciones:

1. Tiene que utilizarse el formato .PDF
2. El nombre del archivo tiene que ser ApellidosNombre_SGSI_PEC1
3. En el pie de cada página tenéis que incluir vuestro nombre completo (Nombre y apellidos), así como el número de página y el total de páginas que contiene el documento.

Es importante que vayan argumentadas las respuestas de todos los ejercicios, indicando todos los pasos que habéis realizado para obtener la solución.

Las respuestas sin justificación, que sean una copia de una fuente de información y/o que no contengan las referencias utilizadas, no recibirán puntuación.

La fecha tope para las entregas será el día 13/10/2017, y recordad que todas las entregas tienen que realizarse a través del aula.

Competencias

Las competencias del Máster que se trabajarán en esta PEC son las siguientes:

• Capacidad de análisis y síntesis de un Sistema de Gestión de la Seguridad de la Información.
• Capacidad de auto aprendizaje consultando información.
• Conocimiento de herramientas y tendencias tecnológicas del mercado en relación a la Informática.

También se trabajará la capacidad para identificar y analizar los procesos críticos de una organización, así como el impacto que produciría la interrupción de estos procesos

Objetivos

El principal objetivo de esta prueba es una primera inmersión en los Sistemas de Gestión de la Seguridad de la Información.

Descripción de los ejercicios a realizar.

La prueba se compone de 6 tipos de ejercicios que debéis de contestar. A continuación, se detallan las instrucciones para la realización de todos los ejercicios, así como el enunciado de los mismos.

EJERCICIO A:

A.1.- Enumera y explica detalladamente, con algún ejemplo, cuáles son los pilares básicos de la seguridad de la información.

Los pilares fundamentales de la Seguridad de la Información son los siguientes:

1. Confidencialidad: Se refiere a la propiedad de los activos, mediante la cual, sólo aquellos sujetos que tengan permisos para acceder. Por ejemplo, la cartola bancaria, sólo debe ser accedida por el cliente a quien corresponde, es por ello que cuando se envía por medios digitales, requiere una clave secreta para su visualización. Dado lo anterior, la visualización por parte de personas no autorizadas, podría calificar como un incidente de seguridad de la información.

1. Disponibilidad: Se refiere a la propiedad de los activos que garantiza el acceso a estos, de acuerdo a una definición previa. Por ejemplo, los sistemas bancarios, los que por definición normativa y contractual deben estar disponibles 24X7 para que los clientes puedan acceder a estos y cualquier indisponibilidad debe ser informada, de lo contrario se podría calificar como un incidente de seguridad de la información.

1. Integridad: Se refiere a la propiedad de los activos, que garantiza la fidelidad del contenido de estos, respecto de su constitución original. Por ejemplo, el texto de una ley que se promulga en el Diario Oficial, este debe ser absolutamente íntegro en su totalidad, respecto del texto original porque cualquier cambio puede inte

A.2.- Imagina que te proponen elaborar un modelo de gestión de seguridad de la información para una pequeña compañía del sector de las TIC. Esta compañía tiene un total de 10 trabajadores, todos expertos en TI, y todos están trabajando a tiempo completo en diferentes proyectos de la compañía. De los 10 trabajadores actualmente en plantilla, 2 pertenecen a dirección, 4 son líderes de proyecto, y el resto son técnicos de sistemas. Indica qué modelo de gestión propondrías, qué jerarquía establecerías, y qué funciones asignarías a cada persona dentro de un proceso de gestión de la seguridad de la información.

EJERCICIO B:

Responde con Verdadero o Falso a los siguientes puntos, justificando tus respuestas. Las respuestas que no estén justificadas no serán evaluadas.

B.1.- Si el objetivo es proteger la información de nóminas de una compañía, la confidencialidad y la disponibilidad serán las dimensiones más relevantes

B.2.- En el modelo de gestión mixto, las tareas técnicas son propias de personal externo técnico especializado

B.3.- El desarrollo de una política de reglas para aplicar en el firewall corporativo se considera una medida de protección técnica

B.4.- Una herramienta de escaneo de vulnerabilidades es una medida de detección.

B.5.- Tanto ISO 27001 como ISO 27002 definen requisitos para la implementación y certificación de un SGSI

B.6.- CobIT es un estándar enfocado en la seguridad de la información, similar a ISO 27001, pero además de requisitos también incluye buenas prácticas.

B.7.- ITIL es compatible con ISO 27001, con ISO 20000 e ISO 22301.

B.8.- En una empresa donde se ha implementado el control de copias de seguridad, se considera que el control es “Definido” (niveles madurez CMM), si existe definida una política de backups, y la conoce todo el personal implicado, aunque no esté documentada.

...