1.
Liste 6 dominios de la ISO 27000:2005 nuevos usuarios hasta su baja cuando ya no sea necesario su acceso
1. Política de seguridad
2. Aspectos organizativos de la seguridad de la información
3. Seguridad ligada a los recursos humanos
4. Gestión de activos
5. Control de acceso
6. Cifrado
2. Liste los controles del dominio 10 (cifrado) de la ISO 27002:2013
1. Política de uso de los controles criptográficos
2. Gestión de claves
3. Liste los objetivos de control del dominio 9 (control de acceso)
de la ISO 27002:2013
1. Requisitos de negocio para el control de accesos
2. Gestión de acceso de usuario
3. Responsabilidades del usuario
4. Control de acceso a sistemas y aplicaciones
1. Escriba 3 ejemplos, de cada uno, de activos con respecto a
recursos de información, de software, físicos y servicios.
Recursos de información: bases de datos, documentación de sistemas,
manuales de usuario.
Recursos de software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo.
Activos físicos: equipamiento informático (procesadores, computadoras
portátiles, etc.), equipos de comunicaciones (routers, máquinas de fax, etc.),
medios magnéticos (cintas, discos, pendrives, discos externos, etc.), otros
equipos técnicos (controles automatizados de acceso, etc.)
Servicios: servicios informáticos y de comunicaciones, utilitarios generales
(calefacción, iluminación, energía eléctrica, etc.)
Indique las directrices de clasificación de la información.
La información debería clasificarse en relación a su valor, requisitos legales,
sensibilidad y criticidad para la organización.
Liste los controles respecto al manejo de los soportes de almacenamiento
según la ISO 27001.
Gestión de soportes extraíbles.
Eliminación de soportes
Soportes físicos en tránsito.
1. Enumere los controles del objetivo de control “Seguridad de los
equipos” según la ISO 27002:2013.
a. Emplazamiento y protección de equipos.
b. Instalaciones de suministro.
c. Seguridad del cableado.
d. Mantenimiento de los equipos.
e. Seguridad de los equipos fuera de las instalaciones.
f. Reutilización o retirada segura de equipos.
g. Retirada de materiales propiedad de la empresa.
2. ¿Cuál es el objetivo principal de la Seguridad de los Equipos
según la norma ISO/IEC 27002:2013?
El objetivo es evitar la pérdida, los daños, el robo o el compromiso
de activos y la interrupción a las operaciones de la organización.
1. ¿Cuál es el objetivo de la gestión de acceso de usuarios?
El objetivo es el de garantizar el acceso a los usuarios autorizados e
impedir los accesos no autorizados a los sistemas de información y
servicios.
2. ¿Qué deben cubrir los procesos de gestión de usuarios?
Los procedimientos deberían cubrir todas las etapas del ciclo de
vida del acceso de los usuarios, desde del registro inicial de los
a los sistemas y servicios de información.
3. Según la ISO 27001, cite 3 temas que debe abarcar el control de
acceso a sistemas y aplicaciones.
Restricción del acceso a la información.
Procedimientos seguros de inicio de sesión.
Gestión de contraseñas de usuarios.
4. Defina el término encriptación.
Algoritmo usado para cifrar datos de forma tal que, al ser enviados,
si éstos son interceptados, sean indescifrables para cualquier otra
persona que no sea el destinatario.
5. Cite 3 medidas de seguridad de nivel básico para empresas.
Identificación, Registro y Gestión de Incidencias.
Control de acceso.
Identificación y autentificación de usuarios.
6. Cite 3 medidas de seguridad de nivel medio para empresas.
Asignar un responsable de Seguridad.
Control de acceso físico.
Auditorías (externas o internas).
1. Liste el contenido principal del EGSI [1, Pág 4]
a. Política de seguridad de la información.
b. Organización de la seguridad de la información.
c. Gestión de los activos.
d. Seguridad de los recursos humanos.
e. Seguridad física y del entorno.
f. Gestión de comunicaciones y operaciones.
g. Control de acceso.
h. Adquisición, desarrollo y mantenimiento de sistemas
de información.
i. Gestión de los incidentes de la seguridad de la
información.
j. Gestión de la continuidad del negocio.
2. Mencione los aspectos que regula la Ley de Comercio Electrónico
[4, pág. 1]
Regula los mensajes de datos, la firma electrónica, los servicios de
certificación, la contratación electrónica y telemática, la
prestación de servicios electrónicos, a través de redes de
información, incluido el comercio electrónico y la protección a los
usuarios de estos sistemas.
3. ¿Qué indica el Código Ingenios, acerca de la titularidad de los
derechos del software? [5, Art. 133 Pág. 38]
“Es titular de los derechos sobre un software el productor, esto es,
la persona natural o jurídica que toma la iniciativa y responsabilidad
de la realización de la obra.”
4. ¿Qué indica el Código Ingenios, acerca del uso de software libre
en instituciones públicas? [5, Art. 145 Pág. 41]
Las Instituciones del sector público deberán realizar una evaluación
de factibilidad de migrar sus tecnologías digitales a tecnologías
digitales libres con los criterios establecidos en el reglamento
correspondiente. Se evaluará la criticidad del software, debiendo
considerar los siguientes criterios:
 Sostenibilidad de la solución;
 Costo de oportunidad;
 Estándares de seguridad;
1. ¿Qué es un SGSI?
Para garantizar que la seguridad de la información es gestionada
correctamente, se debe hacer uso de un proceso sistemático,
documentado y conocido por toda la organización, desde un
enfoque de riesgo empresarial. Este proceso es el que constituye
un SGSI.
 2. ¿Qué es Información?
Conjunto de datos organizados en poder de una entidad que
posean valor para la misma, independientemente de la forma en
que se guarde o transmita, de su origen o de la fecha de
elaboración.
3. ¿En forma resumida definir que es un SGSI?
Un SGSI es, en primera instancia, un sistema de gestión, es decir,
una herramienta de la que dispone la gerencia para dirigir y
controlar un determinado ámbito, en este caso, la seguridad de la
información.
1. Cuáles son las tareas fundamentales del SGSI?
Compromiso de la Gerencia
Asignación de recursos
Formación y concienciación
Revisión del SGSI
2. Liste 3 iniciativas que la alta dirección debe comprometerse para
la implementación, establecimiento, operación, monitorización,
mantenimiento, revisión y mejora del SGSI.
Desarrollar una política de seguridad de la información.
Constituir roles y responsabilidades de seguridad de la información.
Designar todos los recursos necesarios para llevar a cabo el SGSI.
3. En qué consiste la tarea formación y concienciación del SGSI?
Para conseguir el éxito de un Sistema de Gestión de Seguridad de la
Información basado en la norma ISO-27001 es fundamental contar con
dos elementos muy básicos como son la formación y la concienciación
en Seguridad de la Información.
Por ello, la alta gerencia de la organización debe garantizar que todos
los empleados tengan sus responsabilidades asignadas y definidas en el
SGSI
1. Liste los cuatro aspectos fundamentales que se debe de finir en el
alcance del SGSI:
Actividades de la organización.
Ubicaciones físicas que serán involucradas.
Tecnologías de la organización.
Áreas que quedarán excluidas.
2. Defina lo que es una declaración de aplicabilidad e indique 2
características de la misma.
Es un documento utilizado para definir los controles que son adecuados
para implementar en la organización, cuáles son los objetivos de esos
controles y cómo se implementan. Como características se tiene que
debe incluir los objetivos de control y controles seleccionados del
estándar, las razones por las cuales han sido seleccionados y las
medidas de seguridad adicionales si es el caso.
También, debe indicar si los objetivos de control y controles se
encuentran implementados y operando, los que hayan sido descartados,
así como una justificación del porqué algunas medidas han sido excluidas
(las que son innecesarias y la razón del porqué no son requeridas en una
organización).
3. Que se necesita especificar para determinar el alcance y los
límites del SGSI?
Para determinar el alcance y límites del SGSI se deberá especificar en
términos de las características del negocio, la organización, su
ubicación, sus activos, tecnología e incluir detalles de cualquier
exclusión dentro del alcance que pudieran considerarse. El SGSI no
tiene por qué abarcar toda la organización; de hecho, es recomendable
empezar por un alcance limitado.
1. Defina que es inventario de activos
Se debe identificar los activos asociados con la información eh instalación de
procesamiento de la información, además se debe elaborar y mantener un
inventario de activos.
2. Describa clasificación de la información
La información se debería clasificar en función de los requisitos legales, valor,
criticidad y susceptibilidad a divulgación o a modificación no autorizada.
3. Que es la clasificación de activos
Tiene como objetivo asegurar que la información recibe los niveles de
protección adecuados, ya que con base en su valor y de acuerdo a otras
características particulares requiere un tipo de manejo especial, este sistema
de clasificación podría definirse en la entidad en base a las características
particulares de la información, contemplando la cultura y funcionamiento
interno buscando dar cumplimiento a los requerimientos relacionados al
ISO27002, ISO27005.
1. Explique las actividades que se realizan en la fase de
implementación de la política
Comunicación: Se comunican los puntos que cubre la política a todas las
partes interesadas
Cumplimiento: Se verifica que las partes involucradas apliquen la
política
Excepciones: Se identifican los casos en los que la política no tenga
validez
2. Explique 3 formas de comunicar las políticas a todas las partes
interesadas de la empresa
Documentando todo lo que se necesite saber en un Manual del
Empleado
Enviando correos electrónicos a los empleados con información sobre
las políticas
Colocar carteles informativos en varias áreas comunes de la empresa
3. ¿Qué quiere conseguir al implementar la norma en cuanto a la
seguridad de la información de su organización?
Brindar orientación y apoyo por parte de la Dirección, para la seguridad
de la información, en relación a los requisitos del negocio, a las leyes y
regulaciones pertinentes
1. Describa las condiciones que deben cumplir la evidencia para
documentos en papel y para información sobre soportes
informáticos.
 Para documentos en papel. El archivo original se guarda con seguridad
con un registro de la persona que encontró el documento, dónde,
cuándo y quién fue testigo del descubrimiento. Cualquier investigación
debe asegurar que los originales no sean manipulados.
Para información sobre soportes informáticos. Para las copias de
cualquier medio extraíble se registran todas las acciones durante el
proceso de copiado, por tanto, los medios originales y el registro deben
mantenerse seguros e intactos.
2. Describa los objetivos de control y los controles que se utilizan
para la Gestión de incidentes de seguridad de la información y
mejoras en la norma ISO 27001.
a. Responsabilidades y procedimientos: Se establecen las
responsabilidades y procedimientos de gestión para garantizar una
respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la
información.
b. Aprendiendo de los incidentes de seguridad de la información:
Se debe implementar mecanismos que permitan cuantificar y
monitorear los tipos, volúmenes y costos de los incidentes de seguridad
de la información.
c. Recopilación de evidencias: Cuando una acción de seguimiento
contra una persona u organización después de un incidente de seguridad
de la información, implica una acción legal (civil o penal), se deben
recopilar, conservar y presentar evidencias para cumplir con las normas
para evidencia establecidas en la jurisdicción(es) pertinente.
3. Describa los pasos para realizar la Gestión de un Incidente de
Seguridad.
a. Prevención: tener presente las amenazas y conocer medidas de
seguridad preventivas.
b. Detección: mediante herramientas, indicadores, personal se
advierte que se ha producido un incidente.
c. Notificación: reportar, notificar y registrar el incidente; e inicia
el seguimiento del evento.
d. Análisis: analizar el motivo del incidente y las circunstancias. Se
busca y analiza las evidencias y se registra.
e. Resolución: determinar medidas tras la obtención de la evidencia
que den solución al incidente.
f. Cierre: fin de la gestión, dejando evidencias de las acciones y
procesos realizados, así como de las personas que han actuado en la
gestión.
Indique los pasos del BCM
1. Identifica y ordena las amenazas
2. Realiza un análisis del impacto en la empresa
3. Crea un plan de respuesta y recuperación
4. Prueba el plan y refina el análisis
1. Cuáles son los componentes del BCP
Plan de reanudación de negocios
Plan de Emergencia
Plan de Gestión de Incidentes
Plan de Continuidad de Operaciones
Plan de recuperación ante desastres
2. Qué es el BCM
La Gestión de la Continuidad del Negocio (también llamada BCM)
es el proceso que permite continuar con la prestación de productos
o servicios en los niveles predefinidos aceptables tras incidentes de
interrupción de la actividades, asociadas a la parte vital de la
gestión de seguridad de sistemas de información.
1. Cuál es el objetivo del dominio seguridad ligada a los Recursos
Humanos
El objetivo del presente dominio es la necesidad de educar e informar al
personal desde su ingreso y en forma continua, cualquiera sea su
situación de actividad, acerca de las medidas de seguridad que afectan
al desarrollo de sus funciones y de las expectativas depositadas en ellos
en materia de seguridad y asuntos de confidencialidad.
Es necesario reducir los riesgos de error humano, comisión de actos
ilícitos, uso inadecuado de instalaciones y recursos y manejo no
autorizado de la información, junto a la definición de posibles sanciones
que se aplicarán en caso de incumplimiento.
Se requiere explicitar las responsabilidades en materia de seguridad en
la etapa de reclutamiento de personal e incluirlas en los acuerdos a
firmarse y verificar su cumplimiento durante el desempeño del individuo
como empleado, así como, garantizar que los usuarios estén al corriente
de las amenazas e incumbencias en materia de seguridad de la
información, y se encuentren capacitados para respaldar la Política de
Seguridad de la organización en el transcurso de sus tareas normales.
2. Que se debe tomar en cuenta para preservar y proteger la
información antes de la contratación
Las responsabilidades de la seguridad se deberían definir antes de la
contratación laboral mediante la descripción adecuada del trabajo y los
términos y condiciones del empleo.
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras
partes se deberían seleccionar adecuadamente, especialmente para los
trabajos sensibles.
Los empleados, contratistas y usuarios de terceras partes de los servicios de
procesamiento de la información deberían firmar un acuerdo sobre sus
funciones y responsabilidades con relación a la seguridad.
Conjuntamente con RRHH, de debería asegurar que se emplea un proceso de
verificación de antecedentes proporcional a la clasificación de seguridad de
aquella información a la que va a acceder el empleado a contratar. Dicho
simplemente, el proceso de contratación de un administrador de sistemas TI
debería ser muy diferente del de un administrativo. Haga comprobaciones de
procedencia, formación, conocimientos, etc.
3. Describa que son las actividades de control del riesgo antes de la
contratación:
 Responsabilidades de gestión: La Dirección debería requerir a
empleados, contratistas y usuarios de terceras partes aplicar la
seguridad en concordancia con las políticas y los procedimientos.
 Concienciación, educación y capacitación en SI: Todos los
empleados de la organización y donde sea relevante, contratistas y
usuarios de terceros deberían recibir entrenamiento apropiado del
conocimiento y actualizaciones regulares en políticas y
procedimientos organizacionales como sean relevantes para la
función de su trabajo.
Proceso disciplinario: Debería existir un proceso formal disciplinario
comunicado a empleados que produzcan brechas en la seguridad.