Carrera de Ingeniería en Tecnologías de la Información

Carrera de Ingeniería en Tecnologías de Información Período 2022(2)

Asignatura: Seguridad de la Información Séptimo Nivel
Profesor: José Arteaga Vera Calificación de Componente
Componente Estrategia evaluativa – Segundo Parcial Ponderación / Semana
Prácticas de Taller: Calificación: 10 puntos (20% al promedio).
Experimentación Realizar la simulación de los controles de la norma ISO 27001/2. Ponderación: 2.0 ptos.
de Aprendizajes - Aplicabilidad de los controles Semana: 12-13
- Estado de los controles ISO 27002

Unidades

Instrucciones:
1. Revisar la bibliografía disponible en el aula virtual
2. Identificar los controles del marco de referencia base ISO – 2700k
3. Determinar por cada objetivo de control su nivel de aplicabilidad
4. Determinar el estado cada control en relación con la métrica establecida
5. Revisar los trabajos previos
6. Subir el trabajo aula virtual en la plantilla adjunta.

Mecanismo de valoración:
- Se valoran las iniciativas, la formalidad y el respeto a la estructura
- La actividad es calificada sobre 10 puntos con una ponderación del 20% al promedio que equivale a 2.0 puntos.
- Se adjunta criterios de evaluación.
Bibliografía
- Descargar las fuentes bibliográficas del aula virtual.
 Carrera de Ingeniería en Tecnologías de la Información

ESTADO y APLICABILIDAD DE LOS CONTROLES (UTILICE LA PLANTILLA EXCEL)

Estado de Implementación ISO 27001

Sección Requerimientos ISO 27001 Estado Recurso Preguntas Comentarios

4 Contexto de la organización

Comprensión de la organización y de su
4,1
contexto
Determinar los objetivos del SGSI de la
4,1 organización y cualquier problema que pueda Definido
afectar su eficacia
Comprensión de las necesidades y
4,2
expectativas de las partes interesadas
Identificar las partes interesadas incluyendo
4.2 (a) Definido
leyes aplicables, regulaciones, contratos, etc.
Determinar los requerimientos y obligaciones
4.2 (b) Definido
relevantes de seguridad de la información
4,3 Determinación del alcance del SGSI
Documentación obligatoria
4,3 Determinar y documentar el alcance del SGSI Definido
¿Existe el documento?
4,4 SGSI
Establecer, implementar, mantener y mejorar
4,4 Definido
de forma continua el SGSI acorde al estándar
 Carrera de Ingeniería en Tecnologías de la Información

5 Liderazgo

5,1 Liderazgo y compromiso

La administración debe demostrar liderazgo y
5,1 Repetible
compromiso por el SGSI
5,2 Política
Documentar la Política de Seguridad de la Documentación obligatoria
5,2 Definido
Información ¿Existe el documento?
Roles, responsabilidades y autoridades en
5,3
la organización
Asignar y comunicar los roles y
5,3 responsabilidades de seguridad de la Definido
información

6 Planificación

Acciones para tratar los riesgos y

6,1
oportunidades
Diseñar el SGSI para satisfacer los
6.1.1 requerimientos, tratando riesgos e Repetible
identificando oportunidades
Definir e implementar un proceso de análisis Documentación obligatoria
6.1.2 Repetible
de riesgos de seguridad de la información ¿Existe el documento?
Documentar e implementar un proceso de Documentación obligatoria
6.1.3 tratamiento de riesgos de seguridad de la Repetible - Controles Anexo A
información ¿Existe el documento?
 Carrera de Ingeniería en Tecnologías de la Información

Objetivos de seguridad de la información y

6,2
planificación para su consecución
Establecer y documentar los planes y Documentación obligatoria
6,2 Administrado
objetivos de la seguridad de la información ¿Existe el documento?

7 Soporte

7,1 Recursos
Determinar y asignar los recursos necesarios
7,1 Administrado
para el SGSI
7,2 Competencia
Determinar, documentar hacer disponibles las Documentación obligatoria
7,2 Definido
competencias necesarias ¿Existe el documento?
7,3 Concienciación
Implementar un programa de concienciación
7,3 Repetible
de seguridad
7,4 Comunicación
Determinar las necesidades de comunicación
7,4 Definido
internas y externas relacionadas al SGSI
7,5 Información documentada
Proveer documentación requerida por el
7.5.1 Administrado
estándar más la requerida por la organización
Proveer un título, autor, formato consistente,
7.5.2 Repetible
revisión y aprobación a los documentos
 Carrera de Ingeniería en Tecnologías de la Información

Mantener un control adecuado de la

7.5.3 Definido
documentación

8 Operación

8,1 Planificación y control operacional

Planificar, implementar, controlar y
Documentación obligatoria
8,1 documentar el proceso de gestión de riesgos Repetible
¿Existe el documento?
del SGSI (Tratamiento de riesgos)
Apreciación de los riesgos de seguridad de
8,2
la información
Evaluar y documentar los riesgos de
Documentación obligatoria
8,2 seguridad regularmente y cuando hay Repetible
¿Existe el documento?
cambios
Tratamiento de los riesgos de seguridad de
8,3
la información
Implementar un plan de tratamiento de Documentación obligatoria
8,3 Repetible
riesgos y documentar los resultados ¿Existe el documento?

9 Evaluación del desempeño

Seguimiento, medición, análisis y

9,1
evaluación
Realizar un seguimiento, medición, análisis y Documentación obligatoria
9,1 Repetible
evaluación del SGSI y los controles ¿Existe el documento?
9,2 Auditoría interna
 Carrera de Ingeniería en Tecnologías de la Información

Planificar y realizar una auditoría interna del Documentación obligatoria

9,2 Repetible
SGSI ¿Existe el documento?
9,3 Revisión por la dirección
La administración realiza una revisión Documentación obligatoria
9,3 Definido
periódica del SGSI ¿Existe el documento?

10 Mejora

10,1 No conformidad y acciones correctivas

Identificar, arreglar y reaccionar ante no
Documentación obligatoria
10,1 conformidades para evitar su recurrencia Repetible
¿Existe el documento?
documentando todas las acciones
10,2 Mejora continua

10,2 Mejora continua del SGSI Definido

 Carrera de Ingeniería en Tecnologías de la Información

Estado y Aplicabilidad de controles de Seguridad de la Información

Controles de Seguridad de la
Sección Información Estado Recurso Preguntas Comentarios

A12 Seguridad de las operaciones

Protección contra el software
A12.2 malicioso (malware)
¿Existen políticas y procedimientos
asociados a controles antimalware?
¿Se utilizan listas blancas o negras
para controlar el uso de software
autorizado y no autorizado?
¿Cómo se compila, gestiona y
mantiene la lista y por quién?
¿Hay controles de antivirus de
“escaneado en acceso” y “escaneo
programático” en todos los
Controles contra el código
A12.2.1 Definido dispositivos relevantes, incluidos
malicioso
servidores, portátiles, ordenadores de
sobremesa y dispositivos integrados /
IoT?
¿Se actualiza el software antivirus de
forma automática?
¿Se general alertas accionables tras
una detección?
¿Se toma acción de forma rápida y
apropiada para minimizar sus
efectos?
Carrera de Ingeniería en Tecnologías de la Información

¿Cómo se gestionan las

vulnerabilidades técnicas?
¿Existe una capacitación y una
concienciación apropiada que cubra
la detección, el informe y la
resolución de malware para usuarios,
gerentes y especialistas de soporte?
¿Existe un mecanismo de escalación
para incidentes graves?
 Carrera de Ingeniería en Tecnologías de la Información

Controles seleccionados y Comentarios (visión

Controles Comentarios (justificación razones de selección
27001:2013 Controles de Seguridad general de la
ISO actuales de exclusión)
LR CO BR/BP RRA implementación)
Objetivo de
Cláusula Sección
control / control

Procedimientos
Operacionales y
12,1
Responsabilidade
s
No se hizo uso de este
control debido a que no entra
en lo definido por nuestro
Documentación alcance respecto a la
de documentación y
12 12.1.1
procedimientos mantenimiento de los
seguridad
operacionales procedimientos de
en las
operación y ponerse a
Operacione
disposición de todos los
s
usuarios que los necesiten.
No se hizo uso de dicho
control porque no entrar en el
alcance que se tiene definido
Gestión de en el SGSI respecto a los
12.1.2
cambios cambios en la organización,
los procesos de negocio,
instalaciones de
tratamiento de la
 Carrera de Ingeniería en Tecnologías de la Información

información y los sistemas

que afectan a la seguridad
de información y como
deberían ser controlados.
El control no será aplicado ya
que no se define en el alcance
que se tiene planeado en el
SGSI y su función es
supervisar y ajustar la
Gestión de la utilización de los recursos,
12.1.3
capacidad así como realizar
proyecciones de los
requisitos futuros de
capacidad, para garantizar el
rendimiento requerido del
sistema
La función de este control es
separar los recursos de
desarrollo, pruebas y
Separación de los operación, para reducir los
ambientes de riesgos de acceso no
12.1.4 desarrollo, autorizado o los cambios
pruebas y del sistema en producción.
operación Sin embargo, este objetivo no
se encuentra dentro del
alcance establecido en el
SGSI.
 Carrera de Ingeniería en Tecnologías de la Información

Protección de
12,2 Software
Malicioso
Se uso este control ya
que está dentro del
alcance definido en el
SGSI y nos permite
Controles contra asegurar que los
12.2.1 software X X recursos de
malicioso tratamiento de
información y la
información están
protegidos contra el
malware.
12,3 Respaldo
El control propone realizar
copias de seguridad de la
información, del software y
del sistema y se deberían
verificar periódicamente de
Respaldo de
12.3.1 acuerdo con la política de
información
copias de seguridad
acordada. No obstante, no se
encuentra dentro del alcance
que se desea lograr en la
documentación del SGSI.
Bitácoras y
12,4
monitoreo
 Carrera de Ingeniería en Tecnologías de la Información

Dentro del alcance de la

documentación del SGSI no
se encuentra el siguiente
control que establece
Bitácoras de registrar, proteger y revisar
12.4.1
eventos periódicamente las
actividades de los usuarios,
excepciones, fallos y eventos
de seguridad de la
información
No se empleó este control
debido a que no entra en lo
definido por nuestro alcance
Protección de debido a que los dispositivos
12.4.2 información en de registro y la información
bitácoras del registro deberían estar
protegidos contra
manipulaciones indebidas y
accesos no autorizados.
Se deberían registrar,
Bitácoras de proteger y revisar
12.4.3 administrador y regularmente las actividades
operador del administrador del sistema
y del operador del sistema.
No se empleó este control
debido a que no entra en lo
Sincronización
12.4.4 definido por nuestro alcance
de relojes
debido a que los relojes de
todos los sistemas de
 Carrera de Ingeniería en Tecnologías de la Información

tratamiento de información
dentro de una organización o
de un dominio de seguridad,
deberían estar
sincronizados con una
única fuente de tiempo
precisa y acordada.
Control de
12,5 software
operacional
No se utilizó este control
debido a que no entra en lo
Instalación de definido por nuestro alcance
software en debido a que se deberían
12.5.1
sistemas implementar
operacionales procedimientos para
controlar la instalación del
software en explotación.
Gestión de
12,6 vulnerabilidades
técnicas
No se utilizó este control
debido a que no entra en lo
definido por nuestro alcance
Gestión de
debido a que debería
12.6.1 vulnerabilidades
obtener información
técnicas
oportuna acerca de las
vulnerabilidades técnicas
de los sistemas de
 Carrera de Ingeniería en Tecnologías de la Información

información utilizados,
evaluar la exposición de la
organización a dichas
vulnerabilidades y adoptar
las medidas adecuadas para
afrontar el riesgo asociado.
No se aplicó este control
debido a que no entra en lo
Restricciones en definido por nuestro alcance
12.6.2 la instalación de ya que deberían establecer y
software aplicar reglas que rijan la
instalación de software por
parte de los usuarios.
Consideraciones
de auditoría de
12,7
sistemas de
información
No se aplicó este control
debido a que no entra en lo
Controles de
definido por nuestro alcance
auditoría de
12.7.1 en los requisitos y las
sistemas de
actividades de auditoría que
información
impliquen comprobaciones
en los sistemas operativos.
 Carrera de Ingeniería en Tecnologías de la Información

Anexos

Grupo No 1 Séptimo Paralelo A

Autores

Cédula Apellidos y Nombres

1350854814 Lucas Lucas Caroline Lisseth
1317233748 Meza Jiménez Winter Aníbal
1313614495 Pincay González Manuel Jarod
1316360526 Cedeño Salazar Juan Rodolfo
 Carrera de Ingeniería en Tecnologías de la Información

Criterios de Evaluación

No. Criterios de Evaluación Satisfactorio Parcialmente Satisfactorio Poco Satisfactorio Total

1 APLICABILIDAD DE LOS Por cada control seleccionado Por cada control seleccionado Los controles seleccionados y su
CONTROLES determina adecuadamente su determina su aplicabilidad o su aplicabilidad no guardan mayor
aplicabilidad o su exclusión y exclusión y determina las correspondencia.
determina las razones. razones de forma parcial.
3.0
Valor 3.0 -2.5 puntos. Valor 2.4 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
2 Estado de implementación de Valora adecuadamente el Valora parcialmente el estado de La valoración del estado de los
ISO 27001 estado de los requerimientos los requerimientos de la ISO requerimientos de la ISO 2700k en
de la ISO 2700k en la 2700k en la implementación de la implementación de un SGSI es
implementación de un SGSI. un SGSI. incompleta.
2.0
Valor 2.0 -1.5 puntos. Valor 1.4 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
3 Estado de controles de Por cada control seleccionado Por cada control seleccionado El estado de los controles no
seguridad determina correctamente el determina parcialmente el guarda relación entre los mismo y
estado en que se encuentra estado en que se encuentra no tienen un orden lógico.
(aplica las métricas (aplica las métricas
recomendadas). recomendadas). 3.0
Valor 3.0 - 2.5 puntos. Valor 2.4 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
4 Representación gráfica La representación gráfica del La representación gráfica del La representación presentada no
estado de requerimientos y de estado de requerimientos y de tiene mayor correspondencia con
los controles es coherente con los controles con las métricas los estados seleccionados. 2.0
las métricas seleccionadas. seleccionadas guardan relación
parcial. Valor 0.9 – 0.1 puntos.
Valor 2.0 - 1.5 puntos.
Valor 1.4 – 1.0 puntos.
10