Documente Academic
Documente Profesional
Documente Cultură
Liste 6 dominios de la ISO 27000:2005 nuevos usuarios hasta su baja cuando ya no sea necesario su acceso
1. Política de seguridad a los sistemas y servicios de información.
2. Aspectos organizativos de la seguridad de la información 3. Según la ISO 27001, cite 3 temas que debe abarcar el control de
3. Seguridad ligada a los recursos humanos acceso a sistemas y aplicaciones.
4. Gestión de activos
5. Control de acceso Restricción del acceso a la información.
6. Cifrado
Procedimientos seguros de inicio de sesión.
2. Liste los controles del dominio 10 (cifrado) de la ISO 27002:2013
Gestión de contraseñas de usuarios.
1. Política de uso de los controles criptográficos
2. Gestión de claves
4. Defina el término encriptación.
Algoritmo usado para cifrar datos de forma tal que, al ser enviados,
3. Liste los objetivos de control del dominio 9 (control de acceso) si éstos son interceptados, sean indescifrables para cualquier otra
de la ISO 27002:2013 persona que no sea el destinatario.
5. Cite 3 medidas de seguridad de nivel básico para empresas.
1. Requisitos de negocio para el control de accesos Identificación, Registro y Gestión de Incidencias.
2. Gestión de acceso de usuario Control de acceso.
3. Responsabilidades del usuario Identificación y autentificación de usuarios.
4. Control de acceso a sistemas y aplicaciones 6. Cite 3 medidas de seguridad de nivel medio para empresas.
1. Escriba 3 ejemplos, de cada uno, de activos con respecto a
recursos de información, de software, físicos y servicios. Asignar un responsable de Seguridad.
Conjunto de datos organizados en poder de una entidad que (las que son innecesarias y la razón del porqué no son requeridas en una
posean valor para la misma, independientemente de la forma en organización).
que se guarde o transmita, de su origen o de la fecha de
elaboración. 3. Que se necesita especificar para determinar el alcance y los
límites del SGSI?
3. ¿En forma resumida definir que es un SGSI?
Para determinar el alcance y límites del SGSI se deberá especificar en
Un SGSI es, en primera instancia, un sistema de gestión, es decir,
una herramienta de la que dispone la gerencia para dirigir y términos de las características del negocio, la organización, su
controlar un determinado ámbito, en este caso, la seguridad de la ubicación, sus activos, tecnología e incluir detalles de cualquier
información. exclusión dentro del alcance que pudieran considerarse. El SGSI no
tiene por qué abarcar toda la organización; de hecho, es recomendable
1. Cuáles son las tareas fundamentales del SGSI?
empezar por un alcance limitado.
Compromiso de la Gerencia
1. Defina que es inventario de activos
Asignación de recursos
Se debe identificar los activos asociados con la información eh instalación de
Formación y concienciación procesamiento de la información, además se debe elaborar y mantener un
inventario de activos.
Revisión del SGSI
2. Describa clasificación de la información
2. Liste 3 iniciativas que la alta dirección debe comprometerse para La información se debería clasificar en función de los requisitos legales, valor,
la implementación, establecimiento, operación, monitorización, criticidad y susceptibilidad a divulgación o a modificación no autorizada.
Desarrollar una política de seguridad de la información. Tiene como objetivo asegurar que la información recibe los niveles de
Constituir roles y responsabilidades de seguridad de la información. protección adecuados, ya que con base en su valor y de acuerdo a otras
Designar todos los recursos necesarios para llevar a cabo el SGSI. características particulares requiere un tipo de manejo especial, este sistema
de clasificación podría definirse en la entidad en base a las características
3. En qué consiste la tarea formación y concienciación del SGSI? particulares de la información, contemplando la cultura y funcionamiento
interno buscando dar cumplimiento a los requerimientos relacionados al
Para conseguir el éxito de un Sistema de Gestión de Seguridad de la ISO27002, ISO27005.
Información basado en la norma ISO-27001 es fundamental contar con
dos elementos muy básicos como son la formación y la concienciación 1. Explique las actividades que se realizan en la fase de
en Seguridad de la Información. implementación de la política
Por ello, la alta gerencia de la organización debe garantizar que todos Comunicación: Se comunican los puntos que cubre la política a todas las
los empleados tengan sus responsabilidades asignadas y definidas en el partes interesadas
SGSI
Cumplimiento: Se verifica que las partes involucradas apliquen la
política
1. Liste los cuatro aspectos fundamentales que se debe de finir en el
alcance del SGSI: Excepciones: Se identifican los casos en los que la política no tenga
validez
Actividades de la organización.
2. Explique 3 formas de comunicar las políticas a todas las partes
Ubicaciones físicas que serán involucradas. interesadas de la empresa
Es un documento utilizado para definir los controles que son adecuados 3. ¿Qué quiere conseguir al implementar la norma en cuanto a la
para implementar en la organización, cuáles son los objetivos de esos seguridad de la información de su organización?
controles y cómo se implementan. Como características se tiene que
debe incluir los objetivos de control y controles seleccionados del Brindar orientación y apoyo por parte de la Dirección, para la seguridad
estándar, las razones por las cuales han sido seleccionados y las de la información, en relación a los requisitos del negocio, a las leyes y
medidas de seguridad adicionales si es el caso. regulaciones pertinentes
3. Describa los pasos para realizar la Gestión de un Incidente de 2. Que se debe tomar en cuenta para preservar y proteger la
Seguridad. información antes de la contratación
a. Prevención: tener presente las amenazas y conocer medidas de Las responsabilidades de la seguridad se deberían definir antes de la
seguridad preventivas. contratación laboral mediante la descripción adecuada del trabajo y los
términos y condiciones del empleo.
b. Detección: mediante herramientas, indicadores, personal se
advierte que se ha producido un incidente. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras
partes se deberían seleccionar adecuadamente, especialmente para los
c. Notificación: reportar, notificar y registrar el incidente; e inicia trabajos sensibles.
el seguimiento del evento.
Los empleados, contratistas y usuarios de terceras partes de los servicios de
d. Análisis: analizar el motivo del incidente y las circunstancias. Se procesamiento de la información deberían firmar un acuerdo sobre sus
busca y analiza las evidencias y se registra. funciones y responsabilidades con relación a la seguridad.
e. Resolución: determinar medidas tras la obtención de la evidencia Conjuntamente con RRHH, de debería asegurar que se emplea un proceso de
que den solución al incidente. verificación de antecedentes proporcional a la clasificación de seguridad de
aquella información a la que va a acceder el empleado a contratar. Dicho
f. Cierre: fin de la gestión, dejando evidencias de las acciones y
simplemente, el proceso de contratación de un administrador de sistemas TI
procesos realizados, así como de las personas que han actuado en la
debería ser muy diferente del de un administrativo. Haga comprobaciones de
gestión.
procedencia, formación, conocimientos, etc.
Indique los pasos del BCM
3. Describa que son las actividades de control del riesgo antes de la
1. Identifica y ordena las amenazas contratación:
Responsabilidades de gestión: La Dirección debería requerir a
2. Realiza un análisis del impacto en la empresa empleados, contratistas y usuarios de terceras partes aplicar la
seguridad en concordancia con las políticas y los procedimientos.
3. Crea un plan de respuesta y recuperación Concienciación, educación y capacitación en SI: Todos los
empleados de la organización y donde sea relevante, contratistas y
4. Prueba el plan y refina el análisis
usuarios de terceros deberían recibir entrenamiento apropiado del
1. Cuáles son los componentes del BCP conocimiento y actualizaciones regulares en políticas y
procedimientos organizacionales como sean relevantes para la
Plan de reanudación de negocios función de su trabajo.