Asignatura Datos del alumno Fecha

Gestin de I+D+i; Gestin de la Apellidos: Pico Lache

Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
08 de junio de 2017
Gestin del Servicio Nombre: Natalia Alexandra

Caso prctico

Trabajo: KHC Abogados

En la actualidad, la informacin ha pasado a ser uno de los activos ms valiosos para las
Organizaciones. De una buena gestin de la informacin depender, en gran medida, el
buen funcionamiento de la empresa.

Tras un problema en sus servidores, que ha provocado la prdida de parte de la

informacin confidencial manejada, KHC Abogados, que hasta entonces no haba
tenido en cuenta la seguridad de la informacin, convierte la misma en uno de los
objetivos estratgicos para el prximo ao. Para ello decide implantar y certificar un
Sistema de Gestin de la Seguridad de la Informacin en base a la Norma ISO/IEC
27001 y te nombra responsable del SGSI.

Preguntas del profesor

Con los datos facilitados en el caso prctico, los que necesites extraer de las unidades,
as como de cualquier otra fuente de informacin, como pueden ser las propias Normas
de gestin, da respuesta a las siguientes cuestiones:

TEMA 4 Caso prctico

 Asignatura
Gestin de I+D+i; Gestin de la
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
Gestin del Servicio
Datos del alumno Fecha
Apellidos: Pico Lache
08 de junio de 2017
Nombre: Natalia Alexandra

Antes de comenzar con la implantacin y como responsable del Sistema, debes

plantearte estas cuestiones Qu debe hacer KHC Abogados? Qu NO debe hacer
KHC Abogados? Cumplimenta la siguiente tabla.

Qu debe hacer KHC Abogados? Qu NO debe hacer KHC Abogados?

Principales errores
1. Definir el alcance y lmites del SGSI en 1. No entender el problema y esperar que
trminos de las caractersticas del no suceda nada.
negocio, la organizacin, su ubicacin, sus 2. Creer que la seguridad se basa
activos, tecnologa, e incluir los detalles y nicamente en productos y tecnologa.
justificacin de cualquier exclusin del 3. Ser nicamente reactivos.
alcance 4. Implementar nicamente medidas
2. Analizar a profundidad el problema y preventivas.
tomar decisiones antes que suceda. 5. Confiarse nicamente en seguridad
3. Tener en cuenta que el personal es el perimetral, ya sea fsica con barreras o
medio de comunicacin donde se puede lgica con firewalls, y nada ms.
filtrar con facilidad la informacin, por lo 6. No evaluar los riesgos.
tanto, es importante hacer un proceso de 7. Disponer de poco personal, con poca o
concientizacin sobre la seguridad de la ninguna experiencia en seguridad.
informacin. 8. No controlar la destruccin de la
4. Es importante ser proactivo ante los informacin.
cambios que se puedan presentar en la
organizacin.
5. Realizar una evaluacin de los riesgos
activos y los posibles que se pueden
asociar.
6. Contar con personal capacitado, dentro
de la organizacin para seleccionar
correctamente los controles correctos.
7. Asegurar el compromiso de la alta
gerencia, preparar al equipo que inicia el
proyecto.

TEMA 4 Caso prctico

 Asignatura
Gestin de I+D+i; Gestin de la
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
Gestin del Servicio
Datos del alumno Fecha
Apellidos: Pico Lache
08 de junio de 2017
Nombre: Natalia Alexandra

Cules seran los pasos a seguir por KHC Abogados para llevar a cabo la evaluacin
de riesgos?
1. Elegir el mtodo para realizar la evaluacin de riesgos
2. Identificar los riesgos asociados a la perdida de confidencialidad, integridad y
disponibilidad de la informacin
3. Analizar los riesgos identificados en el punto anterior
4. Valorar los riesgos priorizndolos de acuerdo a los resultados del punto anterior

Qu informacin documentada derivara de la implantacin del SGSI en base a la

Norma ISO/IEC 27001?
De acuerdo a la Norma ISO/IEC 27001 la informacin documentada que debe incluir el
SGSI es la siguiente
Declaraciones documentadas de la poltica y objetivos del SGSI
Alcance del SGSI
Procedimientos y controles que apoyan el SGSI
Descripcin de la metodologa de valoracin de riesgos
Informe de valoracin de riesgos
Plan de tratamiento de riesgos
Procedimientos documentados que necesita la organizacin para asegurar la eficacia
de la planificacin, operacin y control de sus procesos de seguridad de la informacin,
y para describir cmo medir la eficacia de los controles
Registros exigidos por la norma
Declaracin de aplicabilidad.

Qu poltica seguiras para controlar los accesos externos a la red interna?

Tendra en cuenta las siguientes sugerencias
Informar al usuario del peligro en el que se incurre al introducir software no
autorizado por la organizacin en los equipos tanto internos como externos con acceso
a la red interna.
Revisar de forma espordica el estado de los equipos y sus amenazas para
detectarlas a tiempo y poder impedir su introduccin en el sistema.
Establecer protocolos seguros para el reconocimiento de usuarios remotos.
Desarrollar una poltica para escritorios, tanto virtuales como fsicos, vacos.

TEMA 4 Caso prctico

 Asignatura
Gestin de I+D+i; Gestin de la
Seguridad de la Informacin ISO
27000 y 27001; ISO 20000-1:2011
Gestin del Servicio
Datos del alumno Fecha
Apellidos: Pico Lache
08 de junio de 2017
Nombre: Natalia Alexandra

Debemos ser capaces de dejar el puesto de modo que alguien sea capaz de
sustituirnos en cualquier momento sin que acceda de forma indebida a dato alguno.
Encriptar toda aquella informacin sensible ya sea para la organizacin de forma
especfica o bien por requisitos legales.

Extensin mxima: 3 pginas, fuente Georgia 11 e interlineado 1,5.

Lista de referencias
Zubieta Guilln, J., (2016). Captulo 2. Sistemas de gestin I+D+i. En UNIR,
Gestin de I+D+i; Gestin de la seguridad de la Informacin ISO 27000 y 27001; ISO
20000-1:2011 Gestin del Servicio (pp. 31-46). Logroo: Universidad Internacional de
la Rioja
Norma ISO/IEC 27001. Tecnologa De La Informacin. Tcnicas De Seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. 2006.

TEMA 4 Caso prctico