S3I - Tema 1 /ejercicio 1.1
Ejercicio 1.1 - Sistema de Gestión de la seguridad (SGSI)
Objetivo
Desarrollar la seguridad de la información de una empresa
- Seguridad organizativa: controles
- Plan de seguridad: mejora de los controles
- Certificación de la seguridad: cumplimiento
Método:
- desarrollar un proyecto
por grupos de hasta 4 personas,
que cubra los aspectos que se describen a continuación.
- se presentará un documento escrito,
o varios documentos con un índice que los ordene
Entrega
- lo mejor es ir presentando el avance
para corregir desviaciones lo antes posible
- entrega final: jueves, 1.3.2018
Referencias
0. Escenario
Se trata de una empresa que vende productos realizando los pagos por Internet,
tanto cuando cobra de los clientes
como cuando paga a los proveedores.
1. Controles de seguridad
Se determina el cumplimiento de los controles de la norma ISO/IEC 27002:2013
- Usaremos el programa μPILAR
- μPILAR /edu
- con 1 solo activo esencial: departamento financiero
- sin datos de carácter personal
- tenemos una base de datos de clientes y proveedores con sus claves
- añada activos variados de soporte: SW, HW, COM, instalaciones y personal
- rellenar los controles 27002 en el momento presente
2. Plan de mejora de la seguridad
Presentar un informe de riesgos.
- Usaremos μPILAR para elegir algunos riesgos residuales relevantes
que deseamos mejorar.
- En μPILAR mejoramos algunos controles para la fase objetivo.
- Se presentan las mejoras en un mapa de riesgos
3. Cumplimiento: Certificación de la seguridad
Un documento (corto) con las siguientes secciones:
- descripción de la misión del sistema de información (1 párrafo)
- describa los roles relacionados con seguridad de la información;
por ejemplo, roles como los siguientes:
- responsable de la seguridad
- responsable del sistema
- responsable de la información / de los servicios
- comité de seguridad de la información
- ...
- describa (en 1 párrafo)
las funciones de cada uno de los roles
- una lista de documentos que describan las actividades a realizar
muy abierto. Se sugieren algunas funciones típicas:
- Uso del correo electrónico
- Navegación web
- Uso de equipos portátiles
- Uso de equipos propios (BYOD)
- ...
- Gestión de cuentas de usuario: altas, bajas
- Gestión de privilegios de usuarios
- Gestión de la configuración de seguridad: inicial y mantenimiento
- Gestión de parches y actualizaciones
- Gestión de software en explotación
- Gestión de hardware en explotación
- Gestión de ...
- Declaración de aplicabilidad (SoA)
- Controles de aplican y que no
(se puede usar el listado de μPILAR)
Resumen de la entrega (checklist)