CASO PRCTICO

Enunciado
La empresa SPLASH S.L es una pequea empresa dedicada a la fabricacin de piscinas de
pequeo y mediano tamao.
En los ltimos aos, ha sufrido una importante evolucin, desde que han informatizado la
mayor parte de los procesos, desde el diseo, instalacin, gestin de clientes y proveedores,
etc. Este hecho ha generado una incremental dependencia en el Departamento de TI de
SPLASH S.L.
Con el objetivo de mejorar la gestin interna, as como mejorar la imagen que la empresa da a
sus clientes, deciden implementar y certificar la norma ISO 27001, limitando el alcance a los
sistemas TI, que soportan la mayor parte de los procesos de la organizacin.
Una de las primeras decisiones de la Direccin en designar al Responsable de TI como el
Responsable del SGSI.
El organigrama de la empresa es el siguiente:

Una vez implementado el Sistema de Gestin, solicitan a una entidad de certificacin realizar
la Auditora de certificacin.
EJERCICIOS
1. Siguiendo el modelo de procesos PDCA, obtener el diagrama que represente el cambio de
una poltica del nmero de caracteres de las contraseas de acceso al directorio LDAP
corporativo.

2. Eres el auditor jefe durante la certificacin de la empresa SPLASH S.L en ISO 27001 y
durante la auditora, solicitas el Programa de Auditora.

a. Elabora el programa de Auditora de SGSI, reflejando la certificacin y las

revisiones que esperara obtener SPLASH.

b. Sabiendo que la empresa, adems de implantar ISO 27001, ha implantado tambin

el estndar de gestin de servicios IT ISO 20000, que adems realizan auditoras de
hacking tico a la web corporativa, y las correspondientes a la legislacin sobre
privacidad y proteccin de datos personales, con una periodicidad anual, disea
una planificacin de Auditoras (plan de auditoras global) tal y como esperaras
recibir por parte de la empresa auditada, para el ao en curso.

3. Asumes el rol de Auditor Jefe, y tienes una entrevista con el responsable del SGSI de
SPLASH. Realiza una checklist con al menos 10 preguntas que realizaras a dicho
responsable. Puedes obtener la informacin de las clusulas 4 a 10 de la norma ISO 27001.

4. Desempeas el rol de Auditor jefe en la auditora de ISO 27001 en la empresa SPLASH.

Como auditor solicitas la Poltica del SGSI al responsable, quien te muestra el siguiente
documento:
 Declaracin de Poltica de Seguridad de la Informacin
La Direccin de SPLASH quiere dar a conocer a sus trabajadores, clientes, proveedores y otras
partes interesadas, a travs de este documento, su convencimiento de que la Seguridad de la
Informacin es un factor clave para el correcto desarrollo de la organizacin.
SPLASH considera que la Gestin de la Seguridad de la Informacin, junto con la dotacin de
formacin y recursos necesarios para el desarrollo de la actividad propia de la organizacin,
son los principales pilares en los que se fundamenta el trabajo y esfuerzo diario.
El SGSI tiene como objetivos generales:
Asegurar el cumplimiento de la legislacin, reglamentacin y normativas aplicables, as
como todos aquellos requisitos que la organizacin considere oportunos llevar a cabo
para mantener un Sistema de Gestin de Seguridad de la Informacin, que le permita
conseguir una mejora continua de su actuacin.
Asignacin eficaz de funciones y responsabilidades en el mbito de la seguridad.
Servicios con un nivel de seguridad de la informacin que satisfagan y superen las
necesidades de nuestros clientes.
Prevencin de posibles defectos y posibles incidentes de seguridad de la informacin
antes de que ocurran, trabajando orientados hacia la mejora continua y la
comunicacin.
Evolucin continua del Sistema de Gestin de Seguridad de la Informacin, con el fin
de adecuarnos a las exigencias de nuestros clientes, a travs de:
o Concienciacin y motivacin del personal de SPLASH sobre la importancia de la
implantacin y desarrollo de un Sistema de Gestin de Seguridad de la
Informacin.
o Analizar los riesgos a los que est expuesta la Organizacin, y gestionarlos de
la mejor forma posible para alcanzar el nivel de riesgo aceptado por la
Direccin. El SGSI proporciona los mecanismos para, basndose en la
metodologa MAGERIT 2, analizar y gestionar el riesgo, y determinar aquellos
riesgos que la Organizacin considera aceptables. El nivel de seguridad de
SPLASH queda establecido en la Metodologa de Anlisis y Gestin de Riesgos.
Esta poltica se revisar segn el ciclo de revisin previsto cada tres aos o un ciclo completo
de certificacin.
Madrid, 23 de Julio de 201X
Cecilia Juarez
Directora
General

Cuando preguntas sobre la forma en la que se ha aprobado y se distribuye el documento,

el responsable del SGSI comenta que se ha colgado en el tabln de una de las salas de
reuniones y en la zona de descargas de la intranet.
Cuando le preguntas si otras personas o empresas han sido informadas acerca de la
poltica del SGSI el responsable te indica que no han considerado necesario que lo
conozca personal externo por cuestiones de confidencialidad.
Crees que esta poltica es completa y adecuada?, razona tu respuesta.
5. Como parte del programa de auditora, tienes que elaborar el Plan de Auditora para la
auditora inicial que vas a realizar en SPLASH. Desarrolla el plan en base a la visita de fase 1
y fase 2 necesarias para llevar a cabo la auditora.

6. Como primer punto a tratar en la visita de fase 1, debers mantener una reunin de inicio.
Describe de forma detallada qu caractersticas debe tener, y qu deber tratarse en esta
reunin.

7. Durante la visita de fase 1, y preguntando por la metodologa para evaluar los riesgos que
se ha utilizado, el responsable del SGSI te indica que el mtodo empleado es sencillo:
como los activos los valora l, al ser el responsable de todos los activos del SGSI, dispone
de un documento Excel que indica cada activo y una serie de datos como el valor
cualitativo entre 1-10 y la lista de amenazas que considera apropiadas. Y que simplemente
multiplica los valores para obtener el nivel de riesgo en cada momento. Segn las medidas
implantadas modifica la probabilidad e impacto obteniendo el nuevo valor de riesgo sobre
la tabla.
Documento de Anlisis de Riesgos:
Activo Valor Amenaza Probabilidad Impacto RIESGO
Servidores 9 Avera Muy Baja (1) Muy Alto (10) 90
Equipos de usuario 6 Avera Media (5) Medio (5) 150
Sistemas operativos 6 Avera o Fallo Media (5) Medio (5) 150
Aplicacin web 7 Avera o Fallo Media (5) Medio (5) 175
Datos del sistema 9 Prdida Baja (2) Muy Alto (10) 180
Aplicaciones de escritorio 5 Avera Media (5) Medio (5) 125
Edificio y CPD 9 Incendio Muy Baja (1) Muy Alto (10) 90
Usuarios 7 Indisponibilidad Baja (2) Medio (5) 70

En base a este anlisis el responsable del SGSI indica que decidi las siguientes acciones
para disminuir los riesgos:
- Para los riesgos de servidores se acept dicho riesgo debido a la baja probabilidad de
que ocurrieran averas al ser servidores con menos de 2 aos de antigedad.
- Para equipos de usuario se compraron 2 unidades spare para tener previstas ante
averas de algn usuario, adems del mantenimiento que tienen contratado ante
averas.
- Para los fallos del sistema operativo haban implantado un proceso de actualizacin
de parches.
- Para los fallos de la aplicacin web haban implantado un procedimiento mejorado de
incidentes.
- Para la prdida de datos de la aplicacin haban mejorado el procedimiento de backup
incluyendo la externalizacin de la copia a un proveedor externo.
Todo lo que ha implantado para mejorar el sistema o disminuir los riesgos est justificado
en la tabla Excel, coment el responsable del SGSI.
Como auditor qu deficiencias encuentras en el proceso de evaluacin de riesgos
observado? Requisitos 6.1.3. y 8.2. Indica por cada deficiencia el requisito relacionado.

8. Durante la auditora, se solicitan las pruebas trimestrales de restauracin de backup del

ltimo ao, tal y como se establece en el procedimiento que tiene SPLASH. El auditor
observa que existen en total 5 anotaciones en el ltimo ao que indican que un usuario ha
solicitado restaurar un fichero y que se ha realizado correctamente.
 Por otro lado, analizando las medidas de seguridad aplicadas en los escritorios, para
comprobar lo indicado en la poltica de seguridad de que las sesiones se bloquearn
cuando no haya actividad pasados 15 minutos, se comprueba que la sesin el Responsable
no se bloquea as como el Director de RRHH, como se pudo comprobar durante la reunin
con l.
a. Decide si existe alguna no conformidad en las situaciones descritas anteriormente
y de qu tipo.
b. Asimismo, del ejercicio anterior, seleccione al menos No Conformidades y
clasifquelas.

9. Como auditor jefe, debes redactar el informe de auditora final:

a. Indica los apartados que debe contener el informe.
b. Redacta formalmente las No Conformidades que hayas seleccionado en el ejercicio
anterior.

10. Ha finalizado la auditora, por lo que a continuacin debes preparar la reunin de cierre,
teniendo en cuenta las No Conformidades detectadas anteriormente:
a. Describe de forma detallada qu caractersticas debe tener, y qu deber tratarse
en esta reunin.