S3I - Tema 1 /ejercicio 1.1

Ejercicio 1.1 - Sistema de Gestión de la seguridad (SGSI)

Objetivo

Desarrollar la seguridad de la información de una empresa

  1. Seguridad organizativa: controles
  2. Plan de seguridad: mejora de los controles
  3. Certificación de la seguridad: cumplimiento

Método:

Entrega


Referencias


0. Escenario

Se trata de una empresa que vende productos realizando los pagos por Internet, tanto cuando cobra de los clientes como cuando paga a los proveedores.

1. Controles de seguridad

Se determina el cumplimiento de los controles de la norma ISO/IEC 27002:2013

2. Plan de mejora de la seguridad

Presentar un informe de riesgos.

  1. Usaremos μPILAR para elegir algunos riesgos residuales relevantes que deseamos mejorar.
  2. En μPILAR mejoramos algunos controles para la fase objetivo.
  3. Se presentan las mejoras en un mapa de riesgos

3. Cumplimiento: Certificación de la seguridad

Un documento (corto) con las siguientes secciones:

  1. descripción de la misión del sistema de información (1 párrafo)
  1. describa los roles relacionados con seguridad de la información; por ejemplo, roles como los siguientes:
  1. una lista de documentos que describan las actividades a realizar muy abierto. Se sugieren algunas funciones típicas:
  1. Declaración de aplicabilidad (SoA)

Resumen de la entrega (checklist)