Quartz 4

Practica 3

4 min read

Actividad 3

Relacionado: AES256. Alcance. Controles. IDOR. 2025 02 20 Seguridad iOS memoria permisos y sandboxing.

Enunciado:

  1. Analizar los pasos de implementación de un programa de seguridad siguiendo un marco (ISO/IEC 27000 u otro).

  2. Proponer un caso de uso con fuerte relación con TIC y relaciones con terceros.

  3. Planificar la aplicación de un marco de programa de seguridad.

  4. Indicar las tareas necesarias para desarrollar el programa de seguridad con el marco seleccionado.

  5. Distribuir las tareas del programa entre los integrantes del grupo.

Pasos de implantación de un programa de seguridad según ISO/IEC 27000

El marco ISO/IEC 27000 establece un enfoque sistemático para implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Los pasos clave son:

  1. Definir el alcance y compromiso de la dirección
    Se debe identificar claramente el alcance del SGSI: procesos, departamentos y ubicaciones cubiertas, y asegurar el respaldo explícito de la alta dirección, que es fundamental para el éxito del programa.

  2. Política de seguridad de la información
    Desarrollar una política que refleje los objetivos de seguridad y sirva como base de los controles que se aplicarán.

  3. Análisis y valoración de riesgos
    Identificar activos, amenazas, vulnerabilidades, impactos y probabilidades. Establecer criterios para evaluar riesgos y definir niveles de aceptabilidad.

  4. Tratamiento de riesgos
    Seleccionar e implementar controles que reduzcan los riesgos a niveles aceptables, de acuerdo con el documento de aplicabilidad (SoA - Statement of Applicability).

  5. Implementación de controles y procedimientos
    Operativizar los controles seleccionados a nivel organizativo, técnico y físico.

  6. Formación y concienciación
    Capacitar a los usuarios sobre políticas, procedimientos y prácticas de seguridad.

  7. Monitorización y revisión continua
    Establecer mecanismos de seguimiento mediante auditorías internas, revisiones y monitorización continua de eventos de seguridad (por ejemplo: mediante un SOC).

  8. Mejora continua
    Revisar y actualizar el SGSI periódicamente, asegurando su vigencia y eficacia frente a nuevos riesgos.

Caso de uso propuesto

TuRoute_SL, una empresa dedicada a ofrecer servicios de VPN a clientes corporativos y particulares, usando cifrado AES256 para proteger la confidencialidad de las comunicaciones.

Características del caso:

  • Fuerte dependencia de infraestructura TIC (servidores, redes y sistemas de cifrado).

  • Relaciones con terceros: clientes empresariales y proveedores de infraestructura cloud.

  • Información crítica: datos de clientes, tráfico de red cifrado, credenciales.

Planificación de la aplicación del marco de seguridad

  • Objetivo principal: proteger la confidencialidad, integridad y disponibilidad del servicio VPN y garantizar el cumplimiento normativo.

  • Alcance: toda la infraestructura TIC que soporta los servicios VPN, incluyendo sistemas en la nube y redes corporativas.

  • Respaldo de dirección: compromiso explícito del comité directivo de TuRoute_SL.

Tareas para desarrollar el programa de seguridad (con enfoque del director de seguridad)

Tarea 1: Definir alcance y políticas

  • Responsable: Director de seguridad

  • Descripción: establecer qué procesos y activos serán cubiertos, y redactar la política general de seguridad.

Tarea 2: Identificación y análisis de riesgos

  • Responsable: Responsable de análisis de riesgos

  • Descripción: inventariar activos TIC críticos (servidores, redes, datos), identificar amenazas y evaluar riesgos asociados.

Tarea 3: Tratamiento de riesgos y definición del documento de aplicabilidad (SoA)

  • Responsable: Director de seguridad + consultor externo

  • Descripción: seleccionar controles ISO/IEC 27001 aplicables al caso y documentar su aplicabilidad.

Tarea 4: Implementación de controles técnicos y organizativos

  • Responsable: Equipo técnico

  • Ejemplo: implementación de MFA para el acceso administrativo a la infraestructura VPN.

Tarea 5: Monitorización de eventos y operaciones de seguridad

  • Responsable: SOC interno/externalizado

  • Ejemplo: monitorizar logs y eventos en tiempo real para detectar incidentes y generar alertas.

Tarea 6: Revisión y auditoría interna

  • Responsable: Auditor interno

  • Descripción: verificar periódicamente la eficacia de los controles y detectar desviaciones.

Tarea 7: Formación y concienciación

  • Responsable: Departamento de formación

  • Descripción: capacitar al personal técnico y de soporte sobre buenas prácticas y procedimientos de seguridad.

Distribución de tareas en el grupo

  • Integrante 1: Definir alcance, políticas y objetivos (Tarea 1).

  • Integrante 2: Identificación y análisis de riesgos (Tarea 2).

  • Integrante 3: Tratamiento de riesgos y SoA (Tarea 3).

  • Integrante 4: Implementación de controles técnicos y operativos (Tarea 4).

  • Integrante 5: Monitorización y operaciones de seguridad (Tarea 5).

  • Integrante 6: Auditoría interna (Tarea 6).

  • Integrante 7: Formación y concienciación (Tarea 7).

Graph View

Backlinks