Trabajo: Estudio de la norma ISO 27001

Actividades[pic 1]

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y 27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de forma breve:

1. Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.

COMPAÑÍA: La Fabril S.A.

La Fabril S.A. es una empresa dedicada a la fabricación, comercialización y exportación de productos oleaginosos, derivados y productos de limpieza, en forma de artículos para el consumo masivos e ingredientes para el consumo final.

La Fabril S.A. esta domiciliada en el cantón Montecristi, Provincia de Manabí.

Misión

La Fabril es una empresa especializada en la producción y comercialización de aceites y grasas vegetales con calidad superior, al menor costo y de una manera eficaz, eficiente y flexible, con una constante vocación de servicio a su comunidad. Fortalecemos día a día nuestra estructura financiera, trabajamos como un sólido equipo humano y superamos a la competencia sobre la base del manejo sustentable del entorno y una gestión integral ética. Creamos marcas de indiscutible liderazgo en el mercado, sobre la base de una relación personal, justa y transparente con nuestros clientes, proveedores, la comunidad y el medio ambiente.

Visión

La Fabril será la empresa símbolo de la nueva industria ecuatoriana, ética, pujante, solvente y rentable, reconocida nacional e internacionalmente por sus altísimos niveles de calidad, sus ideas innovadoras, productividad, marcas líderes y su compromiso con la gestión sostenible que promueva el desarrollo de sus miembros, la comunidad, sus clientes y proveedores.

Valores

En grupo La Fabril vivimos el Compromiso de mantener el Liderazgo basados en la Responsabilidad, Respeto y Honestidad.

Objetivos institucionales (Política Integrada)

1. Satisfacer plenamente las necesidades del cliente interno y externo ofreciendo productos seguros e inocuos y/o servicios que cumplan estándares de calidad nacional e internacional.
2. Establecer medidas para minimizar continuamente los impactos ambientales mediante identificación, evaluación, medición, prevención de los mismos, y su desempeño ambiental.
3. Gestionar los factores de riesgos inherentes a los procesos mediante la identificación, evaluación y control de riesgos, para mejorar las condiciones de seguridad.
4. Prevenir y controlar posibles contaminaciones o actos ilícitos en todas las etapas de la cadena logística el comercio Nacional e Internacional.
5. Mejorar continuamente sus sistemas de gestión, proporcionando recursos económicos, tecnológicos y humanos para revisar, establecer y cumplir sus objetivos y metas planificadas.
6. Capacitar al equipo humano respetando su individualidad para potenciar sus habilidades, desarrollar sus destrezas y competencias.
7. Cumplir los requerimientos técnicos y/o legales aplicables y otros requisitos suscritos por La Fabril.

Agencias:

• Agencia Quito
• Agencia Guayaquil
• Agencia Tulcán
• Agencia Ambato
• Agencia Santo Domingo
• Agencia Cuenca
• Agencia Manta

Objetivo del negocio (objetivo del trabajo SGSI, La empresa no tiene un SGSI y se pretende implementar):

Mejorar la seguridad de los Sistemas de Información de la empresa asegurando en todo momento la confidencialidad, disponibilidad e integridad de la información. Estableciendo lineamientos, medidas de seguridad y procedimientos que garanticen una adecuada seguridad sobre los recursos de tecnología de Información de la compañía.  

1. Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.

Alcance:

Reforzar los servicios y procesos internos de las áreas de inventario, facturación, contabilidad y entrega de productos sobre los sistemas informáticos de la compañía.

Justificación del alcance:

La información de la compañía debe ser administrada activamente para asegurar la seguridad, confidencialidad, integridad y disponibilidad de la misma.

Es necesario reforzar los servicios y procesos internos de las áreas críticas de la compañía (inventario, facturación, contabilidad) como objetivo para implantar el SGSI y fortalecer estos servicios y procesos internos, en los que esta mejora en la seguridad de los Sistemas de Información se obtendrá una ventaja para la organización.

1. De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

Ej para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información: La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades generales.

6. Aspectos Organizativos

6.1 Organización interna

6.1.1 Asignación de roles y responsabilidades para la SI: [N], [O]

Se deberían definir y asignar claramente todas las responsabilidades y roles para la seguridad de la información.

[N]: Se requiere un documento normativo que lo establezca.

...